Cloudflare Gatewayのメリット
ユーザーのインターネットアクセスを加速
トラフィックのバックホーリングはもう不要です。当社のシングルパス検査は、SWGより50%速くなっています。
既知・未知の脅威をブロック
CloudflareのDNSとHTTPテレメトリ、脅威検出モデルによって、より多くのリスクを検出します。
ネットワーク全体のトラフィックを監視
ゼロトラストサービスをインラインでスタックすることで、すべてのユーザー、デバイス、ロケーションのインターネットトラフィックを包括的に可視化します。
実装と管理が容易
事前定義したカテゴリでポリシー作成と監査を合理化します。
仕組み
当社のグローバルネットワークからブラウザトラフィックを検査
当社のSecure Web GatewayはCloudflareグローバルネットワークの各所で稼働しており、従業員が居る場所を問わずトラフィックを検査できます。
また、当社のデータ損失防止機能やリモートブラウザ分離機能と連携して動作し、中断のない安全なブラウジングを提供します。
CloudflareのSASEプラットフォームにおけるGatewayの動作を解説
アナリストの評価
一流アナリストのコメント
お客様の声
「Algoliaは急速に成長しています。従業員が仕事のスピードを落とすことなく、企業ネットワーク全体を可視化する必要がありました。Gatewayが、それを簡単に実現してくれました」
インフラストラクチャ&セキュリティ担当ディレクター
Gatewayの主なユースケース
フィッシングやランサムウェアから保護
事前予防的なフィルタリングや検査のポリシーにより、全セキュリティカテゴリーで攻撃を阻止します。
分散したリモートオフィスを保護
DNSフィルタリングや高度な検査によって、ロケーションを問わずオフィスユーザーを保護します。
リモートワーカーを保護
ユーザーの勤務場所にかかわらず、オープンウェブでの安全を維持します。
世界中の組織のゼロトラスト移行を支援
価格設定
Zero Trustプラットフォーム全体の脅威保護機能
Freeプラン
$0
無期限
ユーザー数50未満または企業での概念実証テストに最適です。
従量課金制
$7
1ユーザー/月(年払い)
ユーザー50人以上で、狭い範囲のSSEのユースケースの解決に取り組み、エンタープライズサポートサービスを必要としないチームに最適です。
契約プラン
個別料金
1ユーザー/月(年払い)
最大限のサポートを必要とする、完全機能型SSEまたはSASEデプロイを目指し構築する組織に最適です。
Freeプラン
従量課金制
契約プラン
Freeプラン
従量課金制
契約プラン
脅威からの保護
包括的なセキュリティカテゴリー
ランサムウェア、フィッシング、DGAドメイン、DNSトンネリング、C2とボットネットなどのカテゴリをブロックします。
再帰DNSフィルタリング
セキュリティやコンテンツのカテゴリでフィルタリングします。当社のデバイスクライアントまたはルーター経由でロケーションに導入します。
HTTP(S)フィルタリング
送信元、送信先国、ドメイン、ホスト、HTTPメソッド、URLなどに基づいてトラフィックを制御します。TLS1.3インスペクションは無制限です。
L4ファイアウォールフィルタリング
ポート、IP、TCP/UDPプロトコルに基づいて、トラフィックを許可またはブロックすることができます。
アンチウイルス検査
アップロード/ダウンロードされた各種ファイル(PDF、ZIP、RARなど)をスキャンします。
脅威インテリジェンスの統合
当社独自のMLアルゴリズムとサードパーティの脅威情報フィードによる検知。
IPv6-onlyとデュアルスタックに対応
IPv4およびIPv6接続ですべての機能が利用可能です。
SSHプロキシ設定とコマンドロギング
ネットワークポリシーを作成し、アプリへのSSHアクセスを管理・監視します。
物理的拠点に対するネットワークレベルのポリシー
オフィスから直接DNSフィルタリングを行える安全な接続。
リモートブラウザ分離(ネイティブ統合型)
すべてのブラウザコードをローカルではなくエッジでレンダリングすることで、脅威を軽減します。デバイスクライアントの有無にかかわらず、デプロイできます。分離するアクティビティやタイミングを選択的に制御します。
メールセキュリティ
フィッシングとビジネスメール詐欺を阻止します。
PACファイル対応のためのプロキシエンドポイント
PACファイルを設定することにより、ブラウザレベルでHTTPポリシーを適用します。ユーザーデバイスにクライアントソフトウェアを導入することなく、フィルタを適用できます。
エグレス専用IP
一か所以上のCloudflareネットワークロケーションに位置するIP(IPv4またはIPv6)専用の範囲。
コア機能
稼働率
安心のサービスレベル契約(SLA)に基づき、稼働率100%で信頼できるサービスを提供します。
標準的なログの保持
Zero Trustのログは、プランタイプと使用するサービスに基づいた期間にわたり保管されます。契約ユーザーの場合は、Logpushよりログをエクスポートできます。
アプリケーションコネクターソフトウェア
パブリックにルーティング可能なIPアドレスを使わず、リソースを安全にCloudflareに接続できます。VMインフラは不要なうえ、スループット制限もありません。
デバイスクライアント(エージェント)ソフトウェア
エンドユーザーのデバイスからCloudflareのグローバルネットワークへ、トラフィックをセキュアかつプライベートに送信します。デバイスポスチャールールの構築またはフィルタリングポリシーをあらゆる場所で強化するなどの能力を実現できます。自己展開またはMDM経由でデプロイできます。
ゼロトラストネットワークアクセス(ZTNA)
ZNTAは、内部のセルフホスト型リソース、SaaSリソース、非Web(例:SSH)リソースすべてへのIDベースまたはコンテキストベースのアクセスを提供します。
セキュアWebゲートウェイ(SWG)
SWGは、L4~7ネットワーク、DNS、HTTPフィルタリングポリシーによりランサムウェア、フィッシング、その他の脅威から守り、より速く安全なインターネットブラウジングを実現します。
Digital Experience Monitoring(DEX)
Zero Trust組織全体にわたり、デバイス、ネットワーク、アプリパフォーマンスに関してユーザーが求めるデータを可視化します。
ネットワークフロー監視
ネットワークトラフィックを可視化し、ネットワークアクティビティに関する統合されたインサイトを取得できるリアルタイムのアラートを提供します。すべての方に無料でご利用いただけます。
クラウドアクセスセキュリティブローカー(CASB)
CASBは、SAASアプリの保存データを注意深くモニタリングし、構成ミスまたは脆弱なポスチャーによるデータ流出の可能性を検出します。
データ損失防止(DLP)
DLPは、漏洩または流出を食い止めるためのコントロールまたは修復ガイドを利用して、Web、SaaS、アプリにまたがって転送される機密データや保管中の機密データを検出します。
Log Explorer
Log Explorerは、HTTPログとセキュリティイベントログをネイティブで保存・保持し、分析を提供します。詳細はこちら
価格設定
- 従量課金制:最初の10GBは無料、それ以降は1GBごとに月1ドル。
- 契約:個別料金設定
リモートブラウザ分離(RBI)
RBIは、Cloudflareのグローバルネットワーク上ですべてのブラウザコードを実行することで、さまざまなブラウジングアクティビティにまたがり更なる脅威防御およびデータ保護コントロールレイヤーを設けます。
メールセキュリティ
メールセキュリティにより、マルウェアおよびビジネスメール詐欺を含む、マルチチャンネルのフィッシング脅威をブロックおよび隔離します。
SASE向けネットワークサービス
Cloudflare Oneは、上記のプランによって提供されているZero Trustセキュリティサービスとネットワークサービス(Magic WANおよびファイアウォールを含む)を統合する、シングルベンダーSASEプラットフォームです。
アクセス制御
カスタマイズ可能なアクセスポリシー
カスタムアプリケーションとプライベートネットワークポリシー、さらにはポリシーテスターも利用できます一時認証、目的正当化、およびIdPが提供するあらゆる認証方式をサポートします。
すべてのアプリとプライベートネットワークへのアクセスを保護
セルフホスト型、SaaS、非Web(SSH、VNC、RDP)のアプリケーション、内部IPとホスト名、任意のL4-7 TCPまたはUDPトラフィックを保護します。
IDプロバイダー(IdP)による認証
企業やソーシャルIdPによる認証(複数IdPによる同時認証を含む)を行います。汎用SAMLコネクタ、OIDCコネクタも使用可能です。
IDベースのコンテキスト
IdPグループ、地理的位置情報、デバイスポスチャ、セッション時間、外部APIなどに基づくコンテキストに応じたアクセスを設定します。
デバイスポスチャーの統合
サードパーティのエンドポイント保護プロバイダーとの統合により、デバイスポスチャを検証します。
クライアントレスアクセスオプション
WebアプリケーションやブラウザベースのSSHまたはVNCのためのクライアントレスアクセスを提供します。
ブラウザベースのSSHとVNC
ブラウザ内ターミナルによる特権SSHとVNCアクセスを提供します。
スプリットトンネル
ローカル接続またはVPN接続のスプリットトンネリングを実現します。
アプリケーションランチャー
Access外のアプリへのブックマークなど、すべてのアプリに対応したカスタマイズ可能なアプリランチャー。
トークン認証
自動化されたサービスに対するサービストークンの利用に対応します。
内部DNS対応
ローカルドメインフォールバックを設定します。プライベートネットワークのリクエストを解決するために、内部DNSリゾルバを定義します。
Infrastructure-as-code の自動化(Terraform経由)
Cloudflareのリソースのデプロイメントと接続を自動化します。
mTLS認証
IoTおよびその他のmTLSユースケースにおける証明書ベースの認証を可能にします。
データ保護
データ漏洩を緩和するZero Trustアクセス(ZTNA経由)
アプリケーションごとに最小特権ポリシーを設定し、ユーザーが必要なデータにのみアクセスするようにします。
Mimeタイプに応じたファイルのアップロード/ダウンロード制御(SWG経由)
Mimeタイプに応じたファイルのアップロード/ダウンロードを許可またはブロックします。
アプリおよびアプリタイプに基づく制御(SWG経由)
特定のアプリまたはアプリタイプへのトラフィックを許可またはブロックします。
SaaSアプリからのデータ漏洩リスクを検出するCASB
Cloudflare CASBを追加することで、SaaSアプリの設定ミスによって機密データが漏洩していないかチェックできます。対応する統合の全一覧をご確認ください。
データ損失防止(DLP)
機密情報の有無について、HTTPトラフィックとファイルを検査できます。無料ティアでは、財務情報などの既定のプロファイルに対応しており、完全機能の契約プランではさらにカスタムプロファイル、カスタムデータセット、OCR、DLPログなどに対応しています。
ブラウザ内のデータインタラクションの制御(RBI経由)
ダウンロード、アップロード、コピー/ペースト、キーボード入力、印刷の実行を分離されたWebページやアプリケーション内に制限します。ローカルデバイスへのデータ流出を防止し、不審なWebサイトでのユーザー入力を制御します。デバイスクライアントの有無にかかわらず、デプロイできます。
SaaSアプリの保護
各SaaSアプリのインラインアクセスとトラフィック制御
すべてのアクセス制御、データ制御、脅威防御機能(前のセクションで説明)がSaaSアプリ全体に一貫して適用されます。
SaaSアプリのテナント制御
SaaSアプリの自社テナントへのトラフィックのみ許可します。個人や消費者のテナントへ機密データが漏れることを防止します。
シャドーITの検出
エンドユーザーが閲覧するアプリを評価します。それらのアプリに承認ステータスを設定します。
SaaSアプリケーションの緊密な統合
最も利用頻度の高いSaaSアプリ(例:Google Workspace、Microsoft 365)と連携し、セキュリティ問題のスキャン、検出、監視を行います。対応する統合の全一覧をご確認ください。
データセキュリティリスクとユーザーアクティビティを継続的に監視
API統合により、SaaSアプリケーションの不審なアクティビティ、データ流出、不正アクセスなどを継続的に監視します。
ファイル共有の検知
利用頻度の高いSaaSアプリケーションにおける不適切なファイル共有行為を特定します。
SaaSアプリのポスチャ管理と修正
SaaSアプリの設定ミスや不正なユーザー権限を検知します。セキュリティ上の問題が見つかれば、ステップバイステップの修正ガイドで即座に対処します。
データ損失防止(DLP)
機密情報の有無について、HTTP(S)トラフィックとファイルを検査できます。無料ティアでは、財務情報などの既定のプロファイルに対応しており、全機能を利用できる契約プランではさらにカスタムプロファイル、カスタムデータセット、OCR、DLPログなどに対応しています。
クラウドベースのメールアプリのフィッシング検出
Cloudflareのメールセキュリティで、フィッシングやビジネスメール詐欺を阻止します。
可視性
標準的なアクティビティログの保持
契約プランの場合、DNSログは6か月間、HTTPログとネットワークログは30日間保存されます。
アクセスログと認証ログ
すべてのリクエスト、ユーザー、デバイスの包括的な詳細情報(ブロック理由を含みます)を提供します。ブロックポリシーによる判断は1週間、認証ログは6か月間保存されます。
アプリコネクター(トンネル)ログ
トンネルの接続状況や、アプリに新しいDNSレコードが登録された際のログを監査します。
シャドーITの可視化とアプリケーショングループの分類
利用状況を追跡し、アプリケーションエンドユーザーによるアクセスの承認ステータスを確認します。
SSHコマンドのログ記録
SSHセッション中に実行された全コマンドのすべての記録を提供します。ネットワーク層でのSSHの可視化を可能にします。
Private Network Discovery
プライベートネットワークのトラフィックを受動的に監視し、検出したアプリとそのアプリにアクセスするユーザーのカタログを作成します。
個人を特定できる情報(PII)を排除
デフォルトでログは従業員個人を特定できる情報(送信元IP、ユーザーのメールアドレス、ユーザーIDなど)を一切保存せず、組織内の全ロールが利用できないようにします。
Digital Experience Monitoring(DEX)
ユーザーの生産性を保つため、アプリケーションの障害、ネットワークの問題、パフォーマンスの低下に関して、予測されるインテリジェンス、過去のインテリジェンス、そしてリアルタイムのインテリジェンスを提供します。DEXで何ができるかご覧ください。。
CASBの発見事項
発見事項とは、SaaSアプリ内で発見された、ユーザー、保管中データ、その他の構成上の設定に関係するセキュリティ問題を意味します。無料ティアでは基本的な発見事項を確認でき、契約プランでは各事項についてより詳しい内容を確認できます。
PIIの秘匿化
特に指定されたものを除き、全権限ロール向けのログの個人情報(PII)を匿名加工することができます。
SIEMへのログプッシュ
Sumo Logic、Splunk、Datadogといった分析・SIEMツールと統合します。
Log Explorer
Log Explorerは、HTTPログとセキュリティイベントログをネイティブで保存・保持し、分析を提供します。詳細はこちら
価格設定
- 従量課金制:最初の10GBは無料、それ以降は1GBごとに月1ドル。
- 契約:個別料金設定
クラウドストレージへのログプッシュ
AWS、Azure、Google Cloud、すべてのS3互換APIなど、単一または複数のストレージの同時サポートを内蔵しています。
ネットワークパフォーマンスと接続のオンランプ
超高速のネットワーク速度
世界のインターネット接続人口の95%から50ミリ秒以内。
グローバルエニーキャストネットワーク
125か国、330都市に広がる、ネットワークエッジ容量388Tbpのエニーキャストネットワーク。
グローバルな相互接続
大手のISP、クラウドサービス、企業をはじめ、13,000の相互接続を実現します。
すべてのエッジサービスを単一のコントロールプレーンで管理
エッジで運用される各サービスが、各データセンターで実行され、全顧客が利用できるように、ネットワークが設計されています。
L3~7トラフィックのシングルパス検査
すべてのトラフィックは、送信元に最も近いデータセンターでシングルパスで処理されます。バックホーリングはありません。
仮想バックボーンを活用したスマートルーティング
最適化されたルートで輻輳の問題を回避します。
デバイスクライアント(エージェント)ソフトウェア
主要なOS(Win、Mac、iOS、Android、Linux、ChromeOS)すべてで利用可能です。
マルチモードのデバイスクライアント(エージェント)
デフォルトモードでは、WireGuardトンネル経由でトラフィックを送信し、すべてのセキュリティ機能を有効にします。
DNSフィルタリングポリシーを適用するのみであればDoHモード、特定アプリへのトラフィックのみをフィルタリングするのであればプロキシモードを使用します。
マネージドデプロイメントとセルフエンロールメントのオプション
MDMツールを使ってデバイスフリート全体に展開できます。あるいは、ユーザー自身がデバイスクライアントをダウンロードして自己登録することも可能です。
アプリコネクター(トンネル)
パブリックにルーティング可能なIPアドレスを使わずにリソースをCloudflareに接続します。UI、API、またはCLIでデプロイします。
リソース
Cloudflareのゼロトラストプラットフォームを紹介するインタラクティブツアー
模擬ダッシュボードで主要機能を説明し、25本以上の短いデモ動画でワークフローを確認します。
