クラウドWebアプリケーションファイアウォール

444,528,000

前日中にトリガーされたWAFルール

CloudflareのエンタープライズクラスのWebアプリケーションファイアウォール(WAF)は、既存のインフラストラクチャに変更を加えることなく、SQLインジェクション攻撃、クロスサイトスクリプティング、クロスサイトリクエストフォージェリなどの一般的な脆弱性からインターネットプロパティを保護します。

WAFトリガーマップ

Cloudflareにより毎秒約290万件のリクエストがチェックされ、WAFにより新たな潜在的な脅威が継続的に特定およびブロックされています。

WAF map

    WAFの種類

自動WAFアップデート

Cloudflareのセキュリティエンジニアは、新たな脆弱性を発見するために常にインターネットを監視しています。Cloudflareの多くのユーザーに該当する脅威が見つかると、インターネットプロパティを保護するためにWAFルールが自動的に適用されます。最先端のハッキング技術への対策はCloudflareにお任せください。お客様は、攻撃者からの保護ではなく、有益な機能の作成に集中できます。

Automatic WAF updates

オンプレミスのファイアウォールはすぐに古くなってしまうため、新たな脅威から保護するために、プロのサービスによる定期的なルールの更新が必要となります。CloudflareのWAFでは、新たなセキュリティ脆弱性がリリースされると自動的に更新が行われるため、脅威の一歩先を行くことができます。Cloudflareのネットワーク上にある多くの脅威を軽減するために、Cloudflareは責任を持って新たな脅威に対応するルールを作成しています。従来のOWASPルールや顧客固有のルールも重要ですが、Cloudflareの自動WAF更新なしには十分とはいえません。

集合知

Cloudflareにより毎秒約290万件のリクエストがチェックされ、WAFにより新たな潜在的な脅威が継続的に特定およびブロックされています。他のWebプロパティの集合知を活用していないWebアプリケーションファイアウォールを使用している場合は、独自のWAFルールを最初からすべて作成して、自らインターネットセキュリティ全体を監視する必要があります。

Intelligent WAF

ある顧客から新しいカスタムWAFルールがリクエストされると、そのルールをネットワーク上の%_GlobalWebsiteCountWords_百万の全ドメインに適用すべきかどうかを分析します。適用する場合は、Cloudflareはネットワーク上のすべてのお客様に自動的にそのルールを適用します。ネットワーク上のWebプロパティが増えるほどWAFは強化され、Cloudflareのコミュニティはより安全になります。

マルチクラウドの総体的なセキュリティフレームワーク

Cloudflareは、複数のクラウド環境でホストされているWebサイト、アプリケーション、APIのセキュリティを管理するための単一のソースを提供します。マルチクラウドセキュリティでは、セキュリティイベントは可視化され、インターネットアセットが展開されているすべてのクラウドにおいて一貫したセキュリティ管理が可能になります。Cloudflareにおける攻撃トラフィックはすべて記録され、分析されます。Cloudflareのネットワークは、すべてのクラウドプロバイダーのインターネットアセットを保護します。

Muti-Cloud diagram

パフォーマンスの向上

<1ミリ秒

Web訪問者のレイテンシー

30秒

世界的なルールのプロパゲーション

Cloudflareは、セキュリティだけでなくパフォーマンスも考慮しています。CloudflareのWebアプリケーションファイアウォールは、グローバルCDN、HTTP/2、Web最適化機能で利用しているのと同じエニーキャストネットワーク上にあります。CloudflareのWAFルールセットのレイテンシーは1ミリ秒未満です。

PCI準拠

CloudflareのWAFを利用すれば、PCI準拠をコスト効率的に満たすことができます。消費者のクレジットカード情報を取り扱う業者の場合、PCI DSS 2.0および3.0要件6.6では、この要件を満たすために次の2つのオプションがあります。

  • WebサイトのフロントにWAFを展開する
  • または、すべての対象Webアプリケーションのアプリケーション脆弱性セキュリティレビューを実行する

OWASP、アプリケーション固有、カスタムルール

CloudflareのWAFでは、OWASP上位10種の脆弱性に対するWebプロパティの保護をデフォルトで利用できます。これらのOWASPルールには、ボタンをクリックするだけで適用できる148のビルトインWAFルールが追加されています。BusinessおよびEnterpriseのお客様は、カスタムWAFルールをリクエストすることで、特定の攻撃トラフィックを除外することもできます。

OWASP Top 10の脆弱性

  • インジェクション
  • 認証の不備とセッション管理
  • 秘密データの露出
  • XML External Entities(XXE)
  • アクセス制御の不備
  • 不適切なセキュリティ設定
  • クロスサイトスクリプティング(XSS)
  • 安全でないデシリアライゼーション
  • 既知の脆弱性があるコンポーネントの使用
  • 不十分なロギングとモニタリング

ゼロデイ脆弱性に対する保護

Cloudflareのセキュリティエンジニアは、長年にわたり多くのゼロデイ脆弱性に対処してきました。開発者のブログでCloudflareのネットワーク上のあらゆるWebサイトにおける仮想パッチのメリットを確認してください。

新たなWordPressブルートフォース増幅攻撃について

XMLリモートプロシージャープロトコルの脆弱性により、1回のHTTPリクエストでさまざまなブルートフォースパスワードを試すことができるようになりました。

続きを読む

Joomla Unserialize Vulnerability

Joomla Unserialize Vulnerabilityにより、サニタイズが不十分なUser-AgentやX-Forwarded-Forヘッダーのリモートコードが実行されました。

続きを読む

Windowsの重大な脆弱性に対する保護(CVE-2015-1635)

CloudflareのWAFは、非特権ユーザーがWindowsのWebサーバーでハングアップする重大なバグからユーザーを保護しました。

続きを読む

脅威のブロックとプライバシー機能

集合知で新たな脅威を特定する

IPアドレスで訪問者をブロックまたはチャレンジ

AS番号で訪問者をブロックまたはチャレンジ

国コードで訪問者をブロックまたはチャレンジ

Cloudflareの設定は簡単です

ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利用いただけます。コード変更は必要はありません。

Cloudflareの価格設定

Cloudflareは、あらゆるインターネットアプリケーションにメリットをもたらします。
ニーズに合ったプランをお選びください。

無料 $ 0 /月, Webサイトあたり
個人のWebサイトやブログを運営している方、またはCloudflareを試してみたい方向け。

詳細

無料プランには次の機能がすべて含まれます。
  • 定額制のDDoS攻撃軽減サービス
  • グローバルCDN
  • 共有SSL証明書
  • アカウント監査ログへのアクセス
  • 3つのPage Rule
すべての機能を比較
Pro $ 20 /月 Webサイトあたり
基本的なセキュリティやパフォーマンスを必要とするプロフェッショナルなWebサイト、ブログ、ポートフォリオ向け。

詳細

Proプランには無料プランの全機能のほか、次の機能が含まれます。
  • Cloudflareルールセットを使ったWebアプリケーションファイアウォール(WAF)
  • Polish™を使った画像最適化
  • Mirage™を使ったモバイル最適化
  • I'm Under Attack™モード
  • アカウント監査ログへのアクセス
  • 20のPage Rule
すべての機能を比較
Business $ 200 /月 Webサイトあたり
高度なセキュリティおよびパフォーマンス、PCI準拠、優先メールサポートが必要な小規模なeコマースWebサイトや企業向け。

詳細

Businessプランには、Proプランの全機能のほか、次の機能が含まれます。
  • 25のカスタムルールセットを使ったWebアプリケーションファイアウォール(WAF)
  • カスタムSSL証明書のアップロード
  • Modern TLS OnlyモードとWAFによるPCI準拠
  • Bypass Cache on Cookie
  • Railgun™により、動的コンテンツの配信を高速化
  • 優先メールサポート
  • アカウント監査ログへのアクセス
  • 50のPage Rule
すべての機能を比較
Enterprise お問い合わせ
エンタープライズクラスのセキュリティとパフォーマンス、24時間365日の優先電話、メール、チャットサポート、稼働の保証が必要な企業向け。

詳細

Enterpriseプランには、Businessプランの全機能のほか、次の機能が含まれます。
  • 電話、メール、チャットによる24時間365日のエンタープライズクラスのサポート
  • 稼働率100%保証と25倍の払い戻しを定めたSLA
  • ネットワークの優先順位付けによるエンタープライズクラスのDDoS攻撃対策
  • 無制限のカスタムルールセットを使った高度なWebアプリケーションファイアウォール(WAF)
  • マルチユーザーによるロールベースのアカウントアクセス
  • 複数のカスタムSSL証明書のアップロード
  • 未加工ログへのアクセス
  • アカウント監査ログへのアクセス
  • 専任のソリューションおよびカスタマーサクセスエンジニア
  • 中国のCDNデータセンターへのアクセス(有料)
  • 100のPage Rule
すべての機能を比較

無料

$ 0 /
 
個人のWebサイトやブログを運営している方、またはCloudflareを試してみたい方向け。

Pro

$ 20 /
ドメインあたり
基本的なセキュリティやパフォーマンスを必要とするプロフェッショナルなWebサイト、ブログ、ポートフォリオ向け。

Business

$ 200 /
ドメインあたり
高度なセキュリティやパフォーマンス、PCI準拠、優先メールサポートを必要とする小規模な電子商取引Webサイトや企業向け。

Enterprise

お問い合わせ
 
エンタープライズクラスのセキュリティとパフォーマンス、24時間365日の優先電話、メール、チャットサポート稼働の保証が必要な企業向け。

Cloudflareのお客様

8,000,000を超えるインターネットアプリケーションとAPI

技術的な詳細

CloudflareのWAFでは、OWASP ModSecurity Core Rule Setと次のアプリケーション固有のルールセットをデフォルトでご利使っただけます。

  • Drupal
  • Wordpress
  • Joomla
  • Flash
  • Magento
  • PHP
  • Plone
  • WHMCS
  • Atlassian Products

すべてのルールセットを有効にすることも、Webサイトに適用する個々のルールを選択することもできます。管理インタフェースを使用するコンテンツ管理システムの場合は、CloudflareのPage Ruleを作成して、より強力なWAFルールを管理セクションに適用できます。

BusinessおよびEnterpriseのお客様は、攻撃トラフィックログを提供し、適切なmod_securityルール構文を提案することにより、カスタムWAFルールをリクエストできます。

CloudflareのWAFには、IPアドレス、IP範囲、自律システム番号(ASN)、国(Torを含む)などに基づきトラフィックをホワイトリストまたはブラックリストに追加するIPファイアウォールも含まれています。