Cloudflare Gatewayのメリット
ユーザーのインターネットアクセスを加速
トラフィックのバックホーリングはもう不要です。当社のシングルパス検査は、SWGより50%速くなっています。
既知・未知の脅威をブロック
CloudflareのDNSとHTTPテレメトリ、脅威検出モデルによって、より多くのリスクを検出します。
ネットワーク全体のトラフィックを監視
インラインゼロトラストサービスをスタックにし、すべてのユーザー、デバイス、ロケーションのインターネットトラフィックを総合的に可視化します。
実装と管理が容易
事前定義したカテゴリでポリシー作成と監査を合理化します。
仕組み
当社のグローバルネットワークからブラウザトラフィックを検査
当社のセキュアWebゲートウェイはCloudflareグローバルネットワークの各所で稼働しており、従業員が居る場所を問わずトラフィックを検査できます。
また、当社のデータ損失防止機能やリモートブラウザ分離機能と連携して動作し、中断のない安全なブラウジングを提供します。
CloudflareのSASEプラットフォームにおけるGatewayの動作を解説
お客様の声
「Algoliaは急速に成長しています。従業員が仕事のスピードを落とすことなく、企業ネットワーク全体を可視化する必要がありました。Gatewayが、それを簡単に実現してくれました」
インフラストラクチャ&セキュリティ担当ディレクター
Gatewayの主なユースケース
フィッシングやランサムウェアから保護
事前予防的なフィルタリングや検査のポリシーにより、全セキュリティカテゴリーで攻撃を阻止します。
分散したリモートオフィスを保護
DNSフィルタリングや高度な検査によって、ロケーションを問わずオフィスユーザーを保護します。
リモートワーカーを保護
ユーザーの勤務場所にかかわらず、オープンウェブでの安全を維持します。
世界中の組織のゼロトラスト移行を支援
価格設定
Zero Trustプラットフォーム全体の脅威保護機能
Freeプラン
0 ドル
無期限
ユーザー数50未満または企業での概念実証テストに最適です。
従量課金制
7 ドル
1ユーザー/月(年払い)
ユーザー50人以上で、狭い範囲のSSEのユースケースの解決に取り組み、エンタープライズサポートサービスを必要としないチームに最適です。
契約プラン
個別料金
1ユーザー/月(年払い)
最大限のサポートを必要とする、完全機能型SSEまたはSASEデプロイを目指し構築する組織に最適です。
Freeプラン
従量課金制
契約プラン
Freeプラン
従量課金制
契約プラン
脅威からの保護
包括的なセキュリティカテゴリー
ランサムウェア、フィッシング、DGAドメイン、DNSトンネリング、C2とボットネットなどによりブロックします。
再帰DNSフィルタリング
セキュリティやコンテンツのカテゴリでフィルタリングします。当社のデバイスクライアントまたはルーター経由でロケーションに導入します。
HTTP(S)フィルタリング
送信元、送信先国、ドメイン、ホスト、HTTPメソッド、URLなどに基づいてトラフィックを制御します。TLS1.3インスペクションが無制限。
L4ファイアウォールフィルタリング
ポート、IP、TCP/UDPプロトコルに基づいて、トラフィックを許可またはブロックすることができます。
アンチウイルス検査
アップロード/ダウンロードされた各種ファイル(PDF、ZIP、RARなど)をスキャン
脅威インテリジェンスの統合
当社独自のMLアルゴリズムとサードパーティの脅威情報フィードによる検知。
IPv6-onlyとデュアルスタックに対応
IPv4およびIPv6接続ですべての機能が利用可能です。
SSHプロキシ設定とコマンドロギング
ネットワークポリシーを作成し、アプリへのSSHアクセスを管理・監視
物理的拠点に対するネットワークレベルのポリシー
オフィスから直接DNSフィルタリングを行える安全な接続
リモートブラウザ分離(ネイティブ統合型)
すべてのブラウザコードをローカルではなくエッジでレンダリングすることで、脅威を軽減します。デバイスクライアントの有無にかかわらず、デプロイできます。分離するアクティビティやタイミングを選択的に制御します。
メールセキュリティ
フィッシングとビジネスメール詐欺を阻止します。
PACファイル対応のためのプロキシエンドポイント
PACファイルを設定することにより、ブラウザレベルでHTTPポリシーを適用します。ユーザーデバイスにクライアントソフトウェアを導入することなく、フィルタを適用できます。
エグレス専用IP
一か所以上のCloudflareネットワークロケーションに位置するIP(IPv4またはIPv6)の専用範囲。
コア機能
稼働率
安心のサービスレベル契約(SLA)に基づき、稼働率100%で信頼できるサービスを提供します。
標準的なログの保持
Zero Trustのログは、プランタイプおよびサービスに基づきそれぞれの期間に渡り保管されます。契約ユーザーは、Logpushよりログをエクスポートできます。
アプリケーションコネクターソフトウェア
パブリックにルーティング可能なIPアドレスを使わず、Cloudflareに安全にリソースを接続。VMインフラは不要、スループット制限もなし。
デバイスクライアント(エージェント)ソフトウェア
エンドユーザーの端末からCloudflareのグローバルネットワークへ、トラフィックをセキュアかつプライベートに送信。デバイスポスチャールールの構築またはフィルタリングポリシーをあらゆる場所で強化するなどの能力を実現。自己展開またはMDM経由でデプロイ。
ゼロトラストネットワークアクセス(ZTNA)
ZNTAは粒度の高い視覚情報、そして内部のセルフホスト型、SaaS、非Web(例:SSH)リソースのすべてへのコンテキストベースのアクセスを提供します。
セキュアWebゲートウェイ(SWG)
SWGは、L4~7ネットワーク、DNS、HTTPフィルタリングポリシーによりランサムウェア、ギッシング、その他脅威から守り、より速く安全なインターネットブラウジングを実現します。
Digital Experience Monitoring(DEX)
Zero Trust組織全体に渡り、ユーザーセントリックな可視性を端末、ネットワーク、アプリパフォーマンスにもたらします。
ネットワークフロー監視
ネットワークのトラフィックへの可視性、およびリアルタイムのアラートによるネットワークアクティビティの統合型洞察を提供します。全ての方に無料でご利用いただけます。
クラウドアクセスセキュリティブローカー(CASB)
CASBは、非稼働中のSAASアプリを注意深くモニタリングし、構成ミスまたはポスチャー検出の弱さによるデータ流出の可能性を検出します。
データ損失防止(DLP)
DLPは、転送される者及び保管中のものを含め、流出または曝露を食い止めるためのコントロールまたは修復ガイドと共にWeb、SaaS、アプリにまたがり機密情報を検出します。
Log Explorer
Log Explorerは、HTTPログとセキュリティイベントログのネイティブログストレージ、保持、分析を提供します詳細はこちら
価格設定
- 従量課金制:最初の10GBは無料、それ以降は1GBごとに月1ドル。
- 契約:個別料金設定
リモートブラウザ分離(RBI)
RBIは、Cloudflareのグローバルネットワーク上ですべてのブラウザコードを実行し、ブラウジングアクティビティにまたがり付加的な脅威防御およびデータ保護コントロールレイヤーを設けます。
メールセキュリティ
メールセキュリティにより、マルウェアおよびビジネスメール詐欺を含む、マルチチャンネルのフィッシング脅威をブロックおよび隔離します。
SASE向けネットワークサービス
Cloudflare Oneは、上記のプランからのZero Trustセキュリティサービスとネットワークサービス(Magic WANおよびファイアウォールを含む)を合体させる、弊社のシングルベンダーSASEプラットフォームです。
アクセス制御
カスタマイズ可能なアクセスポリシー
カスタムアプリケーションとプライベートネットワークポリシー、さらにはポリシーテスターも。一時的認証、目的正当化、およびIdPが提供するあらゆる認証方式をサポートします。
すべてのアプリとプライベートネットワークへのアクセスを保護
セルフホスティング、SaaS、非ウェブ(SSH、VNC、RDP)のアプリケーション、内部IPとホスト名、任意のL4-7 TCPまたはUDPトラフィックを保護します。
アイデンティティプロバイダー(IdP)による認証
企業やソーシャルIdPによる認証(複数IdPによる同時認証を含む)を行います。汎用SAMLコネクタ、OIDCコネクタも使用可能です。
IDベースのコンテキスト
IdPグループ、ジオロケーション、デバイスポスチャ、セッション時間、外部APIなどに基づくコンテキストに応じたアクセスを設定します。
デバイスポスチャーの統合
サードパーティのエンドポイント保護プロバイダーとの統合により、デバイスのポスチャを検証します。
クライアントレスアクセスオプション
WebアプリケーションやブラウザベースのSSHまたはVNCのためのクライアントレスアクセス。
ブラウザベースのSSHとVNC
インブラウザターミナルによる特権SSHとVNCアクセス。
スプリットトンネル
ローカル接続またはVPN接続用のスプリットトンネリング。
アプリケーションランチャー
Access外のアプリへのブックマークなど、すべてのアプリに対応したカスタマイズ可能なアプリランチャー。
トークン認証
自動化されたサービスのサービストークンのサポート。
内部DNS対応
ローカルドメインフォールバックを設定します。プライベートネットワークのリクエストを解決するために、内部DNSリゾルバを定義します。
Infrastructure-as-code の自動化(Terraformで)
Cloudflareのリソースのデプロイメントと接続を自動化します。
mTLS認証
IoTおよびその他のmTLSユースケースの証明書ベースの認証。
データ保護
データ漏洩を減らすZero Trustアクセス(ZTNAで)
アプリケーションごとに最小特権ポリシーを設定し、ユーザーが必要なデータにのみアクセスするようにします。
Mimeタイプに応じたファイルのアップロード/ダウンロード制御(SWGで)
Mimeタイプに応じたファイルのアップロード/ダウンロードを許可またはブロックします。
アプリおよびアプリタイプの制御(SWGで)
特定のアプリまたはアプリタイプへのトラフィックを許可またはブロックします。
SaaSアプリからのデータ漏洩リスクを検出するCASB
Cloudflare CASBを追加して、SaaSアプリの設定ミスによって機密データが漏れていないかチェックできます。対応する統合の全一覧をご確認ください。
データ損失防止(DLP)
機密情報の有無について、HTTPトラフィックとファイルを検査できます。無料ティアでは、財務情報などの既定のプロファイルに対応しており、完全機能の契約プランではさらにカスタムプロファイル、カスタムデータセット、OCR、DLPログなどに対応しています。
ブラウザ内のデータインタラクションの制御(RBIで)
ダウンロード、アップロード、コピー/ペースト、キーボード入力、印刷の動作を分離されたWebページやアプリケーション内に制限します。ローカルデバイスへのデータ流出を防止し、不審なWebサイトでのユーザー入力を制御します。デバイスクライアントの有無にかかわらず、デプロイできます。
SaaSアプリの保護
各SaaSアプリのインラインアクセスとトラフィック制御
すべてのアクセス制御、データ制御、脅威防御機能(前のセクションで説明)がSaaSアプリ全体に一貫して適用されます。
SaaSアプリのテナント制御
SaaSアプリの自社テナントへのトラフィックのみ許可します。個人や消費者のテナントへ機密データが漏れることを防止します。
シャドーITの発見
エンドユーザーが閲覧するアプリを評価します。それらのアプリに承認ステータスを設定します。
SaaSアプリケーションの緊密な統合
欠かせないSaaSアプリ(例:Google Workspace、Microsoft 365)とAPIで連携し、セキュリティ問題のスキャン、検出、監視を行います。対応する統合の全一覧をご確認ください。
データセキュリティリスクとユーザーアクティビティを継続的に監視
API統合により、SaaSアプリケーションの不審なアクティビティ、データ流出、無許可アクセスなどを継続的に監視します。
ファイル共有の検知
利用頻度の高いSaaSアプリケーションにおける不適切なファイル共有行為を特定します。
SaaSアプリのポスチャ管理と修正
SaaSアプリの設定ミスや不正なユーザー権限を発見します。セキュリティ上の問題が見つかれば、ステップバイステップの修正ガイドで即座に対処します。
データ損失防止(DLP)
機密情報の有無について、HTTPトラフィックとファイルを検査できます。無料ティアでは、財務情報などの既定のプロファイルに対応しており、完全機能の契約プランではさらにカスタムプロファイル、カスタムデータセット、OCR、DLPログなどに対応しています。
クラウドベースのメールアプリのフィッシング検出
Cloudflareのメールセキュリティで、フィッシングやビジネスメール詐欺を阻止します。
可視性
標準的なアクティビティログの保持
契約プランの場合、DNSログは6か月間、HTTPログとネットワークログは30日間保存されます。
アクセスログと認証ログ
すべてのリクエスト、ユーザー、デバイスの包括的な詳細情報(ブロック理由を含みます)。ブロックポリシーによる決定は1週間、認証ログは6か月間保存されます。
アプリコネクター(トンネル)ログ
トンネルの接続状況や、アプリに新しいDNSレコードが登録された際のログを監査します。
シャドーITの可視化とアプリケーショングループの分類
アプリケーションエンドユーザーの訪問すべてについて、利用を追跡し、承認状況を確認します。
SSHコマンドのログ記録
SSHセッション中に実行された全コマンドのフルリプレイ。ネットワーク層でSSHの可視性を提供します。
Private Network Discovery
プライベートネットワークのトラフィックを受動的に監視し、検出したアプリとそれにアクセスするユーザーを目録にします。
個人を特定できる情報(PII)を排除
デフォルトでは、ログは従業員の個人情報(送信元IP、ユーザーのメールアドレス、ユーザーIDなど)を一切保存せず、組織内の全ロールでログ取得が不可になります。
Digital Experience Monitoring(DEX)
アプリケーションの障害、ネットワークの問題、パフォーマンスの低下に関して過去、未来、リアルタイムのインテリジェンスを提供し、ユーザーの生産性を保ちます。機能性についてご覧ください。
CASBの発見事項
発見事項とは、SaaSアプリ内で発見された、ユーザー、保管中データ、その他コンフィグ設定に関係するセキュリティ問題を意味します。無料ティアでは基本的な発見事項が対象で、契約プランでは各事案についてより深い詳細を対象としています。
PIIの匿名加工
特に指定されたものを除き、全権限ロール向けのログの個人情報(PII)を匿名加工することができます。
SIEMへのログプッシュ
Sumo Logic、Splunk、Datadogといった分析・SIEMツールと統合します。
Log Explorer
Log Explorerは、HTTPログとセキュリティイベントログのネイティブログストレージ、保持、分析を提供します詳細はこちら
価格設定
- 従量課金制:最初の10GBは無料、それ以降は1GBごとに月1ドル。
- 契約:個別料金設定
クラウドストレージへログプッシュ
AWS、Azure、Google Cloud、すべてのS3互換APIなど、単一または複数のストレージの同時サポートを内蔵しています。
ネットワークパフォーマンスと接続のオンランプ
超高速のネットワーク速度
世界のインターネット接続人口の95%から50ミリ秒以内。
グローバルエニーキャストネットワーク
125か国、330都市に広がる、ネットワークエッジ容量388Tbpのエニーキャストネットワーク
グローバルな相互接続
大手のISP、クラウドサービス、企業をはじめ13,000の相互接続。
すべてのエッジサービスを単一のコントロールプレーンで管理
ネットワークアーキテクチャは、エッジで運用される各サービスが、各データセンターで実行され全顧客が利用可能なように構築されるように設計されています。
L3~7トラフィックのシングルパス検査
すべてのトラフィックは、送信元に最も近いデータセンターでシングルパスで処理されます。バックホーリングはありません。
仮想バックボーンでスマートルーティング
最適化されたルートで輻輳の問題を回避します。
デバイスクライアント(エージェント)ソフトウェア
主要なOS(Win、Mac、iOS、Android、Linux、ChromeOS)すべてで利用可能です。
マルチモードのデバイスクライアント(エージェント)
デフォルトモードでは、WireGuardトンネル経由でトラフィックを送信し、すべてのセキュリティ機能を有効にします。
DNSフィルタリングポリシーの適用だけならDoHモード、特定アプリへのトラフィックのみをフィルタリングするならプロキシモードを使用します。
マネージドデプロイメントとセルフエンロールメントのオプション
MDMツールを使って全デバイスに展開できます。あるいは、ユーザー自身がデバイスクライアントをダウンロードして自己登録(セルフエンロール)することも可能です。
アプリコネクター(トンネル)
パブリックにルーティング可能なIPアドレスを使わずにリソースをCloudflareに接続します。UI、API、またはCLIでデプロイします。
リソース
Cloudflareのゼロトラストプラットフォームを紹介するインタラクティブツアー
模擬ダッシュボードで主要機能を説明し、25本以上の短いデモ動画でワークフローを確認します。
