Cloudflare Accessの利点
チームの生産性を向上
オンプレミスのアプリケーションがSaaSアプリと同じくらい使いやすくなります。ZTNAを使うと、VPNに比べリモートアクセスサポートのチケットが80%減少します。
マネジメントを簡素化
一度の統合、構成可能なソフトウェアコネクター、統合済みゼロトラストポリシーで、ZTNAのセットアップ・運用を簡素化します。
ラテラルムーブメントを排除
リソースごとにコンテキストに基づく最小特権アクセスを適用することにより、攻撃対象領域を縮小します。
ゼロトラストのスケーリングが容易
まずは重要アプリや最もリスクの高いユーザーグループを保護し、次にクラウドネイティブのZTNAを拡張してインフラとMCPサーバーを保護します。
仕組み
内部環境全体でアクセスを管理
Cloudflare Accessは、お客様のすべてのアプリケーション(セルフホスト、SaaS、非Web)で従業員とサードパーティのアクセスを検証・保護し、リスク軽減と円滑なユーザー体験を実現。
すべてのリクエストについてIDやデバイスポスチャなどの詳細コンテキストをチェックし、お客様のビジネス全体に高速かつ信頼性の高いアクセスを提供します。
CloudflareのSASEプラットフォームにおけるAccessの動作を解説
お客様の声
「Cloudflare AccessはBitsoにとってまさにゲームチェンジャーでした。ゼロトラストをいともたやすく簡単に実現できたのです。現在、当社は社内リソースへのアクセス管理を効率的に行っており、ロケーションデバイス、ネットワークに関係なく、適切なユーザーが適切なリソースに対し適正なレベルのアクセス権限を持つようになっています。」
Bitso、サイバーセキュリティ主任
Accessの主要ユースケース
Cloudflare Accessは内部アプリケーションへの簡単で安全なユーザーアクセスをVPNなしで実現
VPNの補強/置き換え
セキュリティ強化とユーザーエクスペリエンスの向上のため、重要アプリの負荷を軽減します。
サードパーティのアクセスを管理
クライアントレスのオプションやソーシャルIDプロバイダーなどを用いて、サードパーティユーザー(請負業者など)を認証します。
開発者を強力にサポート
権限のあるテクニカルユーザーが、パフォーマンスを犠牲にすることなく重要なインフラストラクチャに安全にアクセスできます。
世界中の組織がZero Trustに向けて前進できるよう支援します
価格設定
Cloudflare Accessの制御機能は、ゼロトラストプラットフォーム全体で利用可能です
Freeプラン
$0
無期限
ユーザー数50未満または企業での概念実証テストに最適です。
従量課金制
$7
1ユーザー/月(年払い)
ユーザー50人以上で、狭い範囲のSSEのユースケースの解決に取り組んでおり、それはエンタープライズサポートサービスを必要としないチームに最適です。
契約プラン
個別料金
1ユーザー/月(年払い)
最大限のサポートを必要とする、完全機能型SSEまたはSASEデプロイを目指し構築する組織に最適です。
Freeプラン
従量課金制
契約プラン
Freeプラン
従量課金制
契約プラン
アクセス制御(ゼロトラストプラットフォームに含まれています)
カスタマイズ可能なアクセスポリシー
カスタムアプリケーションとプライベートネットワークポリシー、さらにはポリシーテスターも利用できます。一時認証、目的正当化、およびIdPが提供するあらゆる認証方式をサポートします。
すべてのアプリとプライベートネットワークへのアクセスを保護
セルフホスティング、SaaS、非ウェブ(SSH、VNC、RDP)のアプリケーション、内部IPとホスト名、任意のL4-7 TCPまたはUDPトラフィックを保護します。
アイデンティティプロバイダー(IdP)による認証
企業やソーシャルIdPによる認証(複数IdPによる同時認証を含む)を行います。汎用SAMLコネクタ、OIDCコネクタも使用可能です。
IDベースのコンテキスト
IdPグループ、地理的位置情報、デバイスポスチャ、セッション時間、外部APIなどに基づくコンテキストに応じたアクセスを設定します。
デバイスポスチャーの統合
サードパーティのエンドポイント保護プロバイダーとの統合により、デバイスポスチャを検証します。
クライアントレスアクセスオプション
WebアプリケーションやブラウザベースのSSHまたはVNCのためのクライアントレスアクセスを提供します。
ブラウザベースのSSHとVNC
インブラウザターミナルによる特権SSHとVNCアクセス。
スプリットトンネル
ローカル接続またはVPN接続のスプリットトンネリングを実現します。
アプリケーションランチャー
Access外のアプリへのブックマークなど、すべてのアプリに対応したカスタマイズ可能なアプリランチャー。
トークン認証
自動化されたサービスのサービストークンのサポート。
内部DNS対応
ローカルドメインフォールバックを設定します。プライベートネットワークのリクエストを解決するために、内部DNSリゾルバを定義します。
Infrastructure-as-code の自動化(Terraform経由)
Cloudflareのリソースのデプロイメントと接続を自動化します。
mTLS認証
IoTおよびその他のmTLSユースケースの証明書ベースの認証。
コア機能
稼働率
安心のサービスレベル契約(SLA)に基づき、稼働率100%で信頼できるサービスを提供します。
詳細 >
標準的なログの保持
Zero Trustのログは、プランタイプと使用するサービスに基づいた期間にわたり保管されます。契約ユーザーの場合は、Logpushよりログをエクスポートできます。
技術ドキュメントを参照 >
アプリケーションコネクターソフトウェア
パブリックにルーティング可能なIPアドレスを使わず、Cloudflareに安全にリソースを接続。VMインフラは不要、スループット制限もなし。
技術ドキュメントを参照 >
デバイスクライアント(エージェント)ソフトウェア
エンドユーザーの端末からCloudflareのグローバルネットワークへ、トラフィックをセキュアかつプライベートに送信。デバイスポスチャールールの構築またはフィルタリングポリシーをあらゆる場所で強化するなどの能力を実現。自己展開またはMDM経由でデプロイ。
テクニカルドキュメントを見る>
ゼロトラストネットワークアクセス(ZTNA)
ZNTAは粒度の高い視覚情報、そして内部のセルフホスト型、SaaS、非Web(例:SSH)リソースのすべてへのコンテキストベースのアクセスを提供します。
技術ドキュメントを参照 >
Secure Web Gateway(SWG)
SWGは、L4~7ネットワーク、DNS、HTTPフィルタリングポリシーによりランサムウェア、フィッシング、その他の脅威から守り、より速く安全なインターネットブラウジングを実現します。
技術ドキュメントを参照 >
Digital Experience Monitoring(DEX)
Zero Trust組織全体にわたり、デバイス、ネットワーク、アプリパフォーマンスに関してユーザーが求めるデータを可視化します。
技術ドキュメントを参照 >
ネットワークフロー監視
ネットワークトラフィックを可視化し、ネットワークアクティビティに関する統合されたインサイトを取得できるリアルタイムのアラートを提供します。すべての方に無料でご利用いただけます。
技術ドキュメントを参照 >
クラウドアクセスセキュリティブローカー(CASB)
CASBは、SAASアプリの保存データを注意深くモニタリングし、構成ミスまたは脆弱なポスチャーによるデータ流出の可能性を検出します。
技術ドキュメントを参照 >
データ損失防止(DLP)
DLPは、漏洩または流出を食い止めるためのコントロールまたは修復ガイドを利用して、Web、SaaS、アプリにまたがって転送される機密データや保管中の機密データを検出します。
技術ドキュメントを参照 >
Log Explorer
Freeおよび従量課金プラン:最初の10GBは無料、それ以降は1GBごとに月1ドル
Enterprise:カスタム価格
リモートブラウザ分離(RBI)
RBIは、Cloudflareのグローバルネットワーク上ですべてのブラウザコードを実行することで、さまざまなブラウジングアクティビティにまたがり更なる脅威防御およびデータ保護コントロールレイヤーを設けます。
技術ドキュメントを参照 >
メールセキュリティ
メールセキュリティにより、マルウェアおよびビジネスメール詐欺を含む、マルチチャンネルのフィッシング脅威をブロックおよび隔離します。
技術ドキュメントを参照 >
SASE向けネットワークサービス
Cloudflare Oneは、上記のプランによって提供されているZero Trustセキュリティサービスとネットワークサービス(Magic WANおよびファイアウォールを含む)を統合する、シングルベンダーSASEプラットフォームです。
技術ドキュメントを参照 >
アクセス制御
カスタマイズ可能なアクセスポリシー
カスタムアプリケーションとプライベートネットワークポリシー、さらにはポリシーテスターも。一時的認証、目的正当化、およびIdPが提供するあらゆる認証方式をサポートします。
すべてのアプリとプライベートネットワークへのアクセスを保護
セルフホスティング、SaaS、非ウェブ(SSH、VNC、RDP)のアプリケーション、内部IPとホスト名、任意のL4-7 TCPまたはUDPトラフィックを保護します。
IDプロバイダー(IdP)による認証
企業やソーシャルIdPによる認証(複数IdPによる同時認証を含む)を行います。汎用SAMLコネクタ、OIDCコネクタも使用可能です。
IDベースのコンテキスト
IdPグループ、ジオロケーション、デバイスポスチャ、セッション時間、外部APIなどに基づくコンテキストに応じたアクセスを設定します。
デバイスポスチャーの統合
サードパーティのエンドポイント保護プロバイダーとの統合により、デバイスのポスチャを検証します。
クライアントレスアクセスオプション
WebアプリケーションやブラウザベースのSSHまたはVNCのためのクライアントレスアクセス
ブラウザベースのSSHとVNC
インブラウザターミナルによる特権SSHとVNCアクセス
スプリットトンネル
ローカル接続またはVPN接続用のスプリットトンネリング
アプリケーションランチャー
Access外のアプリへのブックマークなど、すべてのアプリに対応したカスタマイズ可能なアプリランチャー
トークン認証
自動化されたサービスのサービストークンのサポート
内部DNS対応
ローカルドメインフォールバックを設定します。プライベートネットワークのリクエストを解決するために、内部DNSリゾルバを定義します。
Infrastructure-as-code の自動化(Terraform経由)
Cloudflareのリソースのデプロイメントと接続を自動化します。
mTLS認証
IoTおよびその他のmTLSユースケースにおける証明書ベースの認証を可能にします。
脅威からの保護
包括的なセキュリティカテゴリー
ランサムウェア、フィッシング、DGAドメイン、DNSトンネリング、C2とボットネットなどのカテゴリをブロックします。
再帰DNSフィルタリング
セキュリティやコンテンツのカテゴリでフィルタリングします。当社のデバイスクライアントまたはルーター経由でロケーションに導入します。
HTTP(S)フィルタリング
送信元、送信先国、ドメイン、ホスト、HTTPメソッド、URLなどに基づいてトラフィックを制御します。TLS1.3インスペクションは無制限です。
L4ファイアウォールフィルタリング
ポート、IP、TCP/UDPプロトコルに基づいて、トラフィックを許可またはブロックすることができます。
アンチウイルス検査
アップロード/ダウンロードされた各種ファイル(PDF、ZIP、RARなど)をスキャン
脅威インテリジェンスの統合
当社独自のMLアルゴリズムとサードパーティの脅威情報フィードによる検知。
IPv6-onlyとデュアルスタックに対応
IPv4およびIPv6接続ですべての機能が利用可能です。
SSHプロキシ設定とコマンドロギング
ネットワークポリシーを作成し、アプリへのSSHアクセスを管理・監視します。
物理的拠点に対するネットワークレベルのポリシー
オフィスから直接DNSフィルタリングを行える安全な接続。
リモートブラウザ分離(ネイティブ統合型)
すべてのブラウザコードをローカルではなくエッジでレンダリングすることで、脅威を軽減します。デバイスクライアントの有無にかかわらず、デプロイできます。分離するアクティビティやタイミングを選択的に制御します。
Email Security
フィッシングとビジネスメール詐欺を阻止します。
PACファイル対応のためのプロキシエンドポイント
PACファイルを設定することにより、ブラウザレベルでHTTPポリシーを適用します。ユーザーデバイスにクライアントソフトウェアを導入することなく、フィルタを適用できます。
エグレス専用IP
一か所以上のCloudflareネットワークロケーションに位置するIP(IPv4またはIPv6)専用の範囲。
データ保護
データ漏洩を減らすZero Trustアクセス(ZTNAで)
アプリケーションごとに最小特権ポリシーを設定し、ユーザーが必要なデータにのみアクセスするようにします。
Mimeタイプに応じたファイルのアップロード/ダウンロード制御(SWGで)
Mimeタイプに応じたファイルのアップロード/ダウンロードを許可またはブロックします。
アプリおよびアプリタイプの制御(SWGで)
特定のアプリまたはアプリタイプへのトラフィックを許可またはブロックします。
SaaSアプリからのデータ漏洩リスクを検出するCASB
Cloudflare CASBを追加することで、SaaSアプリの設定ミスによって機密データが漏洩していないかチェックできます。対応する統合の全一覧をご確認ください。
データ損失防止(DLP)
機密情報の有無について、HTTPトラフィックとファイルを検査できます。無料ティアでは、財務情報などの既定のプロファイルに対応しており、完全機能の契約プランではさらにカスタムプロファイル、カスタムデータセット、OCR、DLPログなどに対応しています。
ブラウザ内のデータインタラクションの制御(RBIで)
ダウンロード、アップロード、コピー/ペースト、キーボード入力、印刷の動作を分離されたWebページやアプリケーション内に制限します。ローカルデバイスへのデータ流出を防止し、不審なWebサイトでのユーザー入力を制御します。デバイスクライアントの有無にかかわらず、デプロイできます。
SaaSアプリの保護
各SaaSアプリのインラインアクセスとトラフィック制御
すべてのアクセス制御、データ制御、脅威防御機能(前のセクションで説明)がSaaSアプリ全体に一貫して適用されます。
SaaSアプリのテナント制御
SaaSアプリの自社テナントへのトラフィックのみ許可します。個人や消費者のテナントへ機密データが漏れることを防止します。
シャドーITの発見
エンドユーザーが閲覧するアプリを評価します。それらのアプリに承認ステータスを設定します。
SaaSアプリケーションの緊密な統合
欠かせないSaaSアプリ(例:Google Workspace、Microsoft 365)とAPIで連携し、セキュリティ問題のスキャン、検出、監視を行います。対応する統合の全一覧をご確認ください。
データセキュリティリスクとユーザーアクティビティを継続的に監視
API統合により、SaaSアプリケーションの不審なアクティビティ、データ流出、無許可アクセスなどを継続的に監視します。
ファイル共有の検知
利用頻度の高いSaaSアプリケーションにおける不適切なファイル共有行為を特定します。
SaaSアプリのポスチャ管理と修正
SaaSアプリの設定ミスや不正なユーザー権限を発見します。セキュリティ上の問題が見つかれば、ステップバイステップの修正ガイドで即座に対処します。
クラウドベースのメールアプリのフィッシング検出
Cloudflareのメールセキュリティで、フィッシングやビジネスメール詐欺を阻止します。
可視性
標準的なアクティビティログの保持
契約プランの場合、DNSログは6か月間、HTTPログとネットワークログは30日間保存されます。
アクセスログと認証ログ
すべてのリクエスト、ユーザー、デバイスの包括的な詳細情報(ブロック理由を含みます)。ブロックポリシーによる決定は1週間、認証ログは6か月間保存されます。
アプリコネクター(トンネル)ログ
トンネルの接続状況や、アプリに新しいDNSレコードが登録された際のログを監査します。
シャドーITの可視化とアプリケーショングループの分類
アプリケーションエンドユーザーの訪問すべてについて、利用を追跡し、承認状況を確認します。
SSHコマンドのログ記録
SSHセッション中に実行された全コマンドのすべての記録を提供します。ネットワーク層でのSSHの可視化を可能にします。
Private Network Discovery
プライベートネットワークのトラフィックを受動的に監視し、検出したアプリとそのアプリにアクセスするユーザーのカタログを作成します。
個人を特定できる情報(PII)を排除
デフォルトでは、ログは従業員の個人情報(送信元IP、ユーザーのメールアドレス、ユーザーIDなど)を一切保存せず、組織内の全ロールでログ取得が不可になります。
Digital Experience Monitoring(DEX)
ユーザーの生産性を保つため、アプリケーションの障害、ネットワークの問題、パフォーマンスの低下に関して、予測されるインテリジェンス、過去のインテリジェンス、そしてリアルタイムのインテリジェンスを提供します。DEXで何ができるかご覧ください。
ネットワークパフォーマンスと接続オンランプ
グローバルエニーキャストネットワーク
125か国、330都市に広がる、ネットワークエッジ容量405Tbpのエニーキャストネットワーク
グローバルな相互接続
大手のISP、クラウドサービス、企業をはじめ、13,000の相互接続を実現します。
すべてのエッジサービスを単一のコントロールプレーンで管理
ネットワークアーキテクチャは、エッジで運用される各サービスが、各データセンターで実行され全顧客が利用可能なように構築されるように設計されています。
L3-L7トラフィックのシングルパス検査
すべてのトラフィックは、送信元に最も近いデータセンターでシングルパスで処理されます。バックホーリングはありません。
仮想バックボーンを活用したスマートルーティング
最適化されたルートで輻輳の問題を回避します。
デバイスクライアント(エージェント)ソフトウェア
主要なOS(Win、Mac、iOS、Android、Linux、ChromeOS)すべてで利用可能です。
マルチモードのデバイスクライアント(エージェント)
デフォルトモードでは、WireGuardトンネル経由でトラフィックを送信し、すべてのセキュリティ機能を有効にします。
DNSフィルタリングポリシーを適用するのみであればDoHモード、特定アプリへのトラフィックのみをフィルタリングするのであればプロキシモードを使用します。
マネージドデプロイメントとセルフエンロールメントのオプション
MDMツールを使ってデバイスフリート全体に展開できます。あるいは、ユーザー自身がデバイスクライアントをダウンロードして自己登録することも可能です。
アプリコネクター(トンネル)
パブリックにルーティング可能なIPアドレスを使わずにリソースをCloudflareに接続します。UI、API、またはCLIでデプロイします。
リソース
ブログ
Cloudflare Accessは最速のZero Trustプロキシ
パフォーマンステストで、CloudflareのZTNAサービスが競合より50~75%速いことが確認されました。
ホワイトペーパー
VPNの置き換えに向けた道筋
多くの企業がVPNのZTNAへの置き換える、またはそのプランを立てていますが、導入は難航しています。最新のセキュアなリモートアクセスへより迅速に移行する方法を学びましょう。