Cloudflare Accessの利点
チームの生産性を向上
オンプレミスのアプリケーションをSaaSアプリと同じくらい使いやすくしましょう。ZTNAを使うと、VPNに比べリモートアクセスサポートのチケットが80%減少します。
マネジメントを簡素化
堅牢なソフトウェアコネクタと統合ゼロトラストポリシーで、ZTNAのセットアップと運用を簡素化します。
ラテラルムーブメントを排除
リソースごとにコンテキストに基づく最小特権アクセスを適用することにより、攻撃対象領域を縮小します。
ゼロトラストのスケーリングが容易
まずは重要アプリや最もリスクの高いユーザーグループを保護し、次にクラウドネイティブのZTNAを拡張してビジネス全体を保護します。
How it works
Manage access across your internal environment
Cloudflare Access verifies and secures employee and third-party access across all of your self-hosted, SaaS, and non-web applications, including AI tools, helping mitigate risk and ensure a smooth user experience.
It checks granular context like identity and device posture for every request to provide fast, reliable access across your business.
CloudflareのSASEプラットフォームにおけるAccessの動作を解説
お客様の声
「Cloudflare AccessはBitsoにとってまさにゲームチェンジャーでした。Zero Trustがいとも容易く導入できました。現在、当社は社内リソースへのアクセス管理を効率的に行っており、ロケーションやデバイス、ネットワークに関係なく、適切なユーザーが適切なリソースに対し適正なレベルのアクセス権限を持つようになっています。」
Bitso、サイバーセキュリティ主任
Accessの主要ユースケース
Cloudflare Accessは内部アプリケーションへの簡単で安全なユーザーアクセスをVPNなしで実現
VPNの補強 / 代替え
セキュリティ強化とユーザーエクスペリエンス向上のため、重要アプリをオフロードしましょう。
サードパーティのアクセスを管理
スのオプションやソーシャルIDプロバイダーなどを用いて、サードパーティユーザー(請負業者など)を認証します。
開発者のエンパワーメント
権限のあるテクニカルユーザーが、パフォーマンスに影響を与えることなく重要インフラストラクチャに安全にアクセスできます。
世界中の組織のゼロトラスト移行を支援しています
価格設定
Zero Trustの全プラットフォームへのアクセス制御機能
Freeプラン
0 ドル
無期限
ユーザー数50未満または企業での概念実証テストに最適です。
従量課金制
7 ドル
1ユーザー/月(年払い)
ユーザー50人以上で、狭い範囲のSSEのユースケースの解決に取り組み、エンタープライズサポートサービスを必要としないチームに最適です。
契約プラン
個別料金
1ユーザー/月(年払い)
最大限のサポートを必要とする、完全機能型SSEまたはSASEデプロイを目指し構築する組織に最適です。
Freeプラン
従量課金制
契約プラン
Freeプラン
従量課金制
契約プラン
アクセス制御(Zero Trust Platformに含まれています)
カスタマイズ可能なアクセスポリシー
カスタムアプリケーションとプライベートネットワークポリシー、さらにはポリシーテスターも。一時的認証、目的正当化、およびIdPが提供するあらゆる認証方式をサポートします。
すべてのアプリとプライベートネットワークへのアクセスを保護
セルフホスティング、SaaS、非ウェブ(SSH、VNC、RDP)のアプリケーション、内部IPとホスト名、任意のL4-7 TCPまたはUDPトラフィックを保護します。
アイデンティティプロバイダー(IdP)による認証
企業やソーシャルIdPによる認証(複数IdPによる同時認証を含む)を行います。汎用SAMLコネクタ、OIDCコネクタも使用可能です。
IDベースのコンテキスト
IdPグループ、ジオロケーション、デバイスポスチャ、セッション時間、外部APIなどに基づくコンテキストに応じたアクセスを設定します。
デバイスポスチャーの統合
サードパーティのエンドポイント保護プロバイダーとの統合により、デバイスのポスチャを検証します。
クライアントレスアクセスオプション
WebアプリケーションやブラウザベースのSSHまたはVNCのためのクライアントレスアクセス
ブラウザベースのSSHとVNC
インブラウザターミナルによる特権SSHとVNCアクセス
スプリットトンネル
ローカル接続またはVPN接続用のスプリットトンネリング
アプリケーションランチャー
Access外のアプリへのブックマークなど、すべてのアプリに対応したカスタマイズ可能なアプリランチャー
トークン認証
自動化されたサービスのサービストークンのサポート
内部DNS対応
ローカルドメインフォールバックを設定します。プライベートネットワークのリクエストを解決するために、内部DNSリゾルバを定義します
Infrastructure-as-code の自動化(Terraformで)
Cloudflareのリソースのデプロイメントと接続を自動化します
mTLS認証
IoTおよびその他のmTLSユースケースの証明書ベースの認証
コア機能
稼働率
安心のサービスレベル契約(SLA)に基づき、稼働率100%で信頼できるサービスを提供します。
詳細 >
標準的なログの保持
Zero Trustのログは、プランタイプおよびサービスに基づきそれぞれの期間に渡り保管されます。契約ユーザーは、Logpushよりログをエクスポートできます。
技術ドキュメントを参照 >
アプリケーションコネクターソフトウェア
パブリックにルーティング可能なIPアドレスを使わず、Cloudflareに安全にリソースを接続。VMインフラは不要、スループット制限もなし。
技術ドキュメントを参照 >
デバイスクライアント(エージェント)ソフトウェア
エンドユーザーの端末からCloudflareのグローバルネットワークへ、トラフィックをセキュアかつプライベートに送信。デバイスポスチャールールの構築またはフィルタリングポリシーをあらゆる場所で強化するなどの能力を実現。自己展開またはMDM経由でデプロイ。
テクニカルドキュメントを見る>
ゼロトラストネットワークアクセス(ZTNA)
ZNTAは粒度の高い視覚情報、そして内部のセルフホスト型、SaaS、非Web(例:SSH)リソースのすべてへのコンテキストベースのアクセスを提供します。
技術ドキュメントを参照 >
セキュアWebゲートウェイ(SWG)
SWGは、L4~7ネットワーク、DNS、HTTPフィルタリングポリシーによりランサムウェア、ギッシング、その他脅威から守り、より速く安全なインターネットブラウジングを実現します。
技術ドキュメントを参照 >
Digital Experience Monitoring(DEX)
Zero Trust組織全体に渡り、ユーザーセントリックな可視性を端末、ネットワーク、アプリパフォーマンスにもたらします。
技術ドキュメントを参照 >
ネットワークフロー監視
ネットワークのトラフィックへの可視性、およびリアルタイムのアラートによるネットワークアクティビティの統合型洞察を提供します。全ての方に無料でご利用いただけます。
技術ドキュメントを参照 >
クラウドアクセスセキュリティブローカー(CASB)
CASBは、非稼働中のSAASアプリを注意深くモニタリングし、構成ミスまたはポスチャー検出の弱さによるデータ流出の可能性を検出します。
技術ドキュメントを参照 >
データ損失防止(DLP)
DLPは、転送される者及び保管中のものを含め、流出または曝露を食い止めるためのコントロールまたは修復ガイドと共にWeb、SaaS、アプリにまたがり機密情報を検出します。
技術ドキュメントを参照 >
Log Explorer
Freeおよび従量課金プラン:最初の10GBは無料、それ以降は1GBごとに月1ドル
Enterprise:カスタム価格
リモートブラウザ分離(RBI)
RBIは、Cloudflareのグローバルネットワーク上ですべてのブラウザコードを実行し、ブラウジングアクティビティにまたがり付加的な脅威防御およびデータ保護コントロールレイヤーを設けます。
技術ドキュメントを参照 >
メールセキュリティ
メールセキュリティにより、マルウェアおよびビジネスメール詐欺を含む、マルチチャンネルのフィッシング脅威をブロックおよび隔離します。
技術ドキュメントを参照 >
SASE向けネットワークサービス
Cloudflare Oneは、上記のプランからのZero Trustセキュリティサービスとネットワークサービス(Magic WANおよびファイアウォールを含む)を合体させる、弊社のシングルベンダーSASEプラットフォームです。
技術ドキュメントを参照 >
アクセス制御
カスタマイズ可能なアクセスポリシー
カスタムアプリケーションとプライベートネットワークポリシー、さらにはポリシーテスターも。一時的認証、目的正当化、およびIdPが提供するあらゆる認証方式をサポートします。
すべてのアプリとプライベートネットワークへのアクセスを保護
セルフホスティング、SaaS、非ウェブ(SSH、VNC、RDP)のアプリケーション、内部IPとホスト名、任意のL4-7 TCPまたはUDPトラフィックを保護します。
アイデンティティプロバイダー(IdP)による認証
企業やソーシャルIdPによる認証(複数IdPによる同時認証を含む)を行います。汎用SAMLコネクタ、OIDCコネクタも使用可能です。
IDベースのコンテキスト
IdPグループ、ジオロケーション、デバイスポスチャ、セッション時間、外部APIなどに基づくコンテキストに応じたアクセスを設定します。
デバイスポスチャーの統合
サードパーティのエンドポイント保護プロバイダーとの統合により、デバイスのポスチャを検証します。
クライアントレスアクセスオプション
WebアプリケーションやブラウザベースのSSHまたはVNCのためのクライアントレスアクセス
ブラウザベースのSSHとVNC
インブラウザターミナルによる特権SSHとVNCアクセス
スプリットトンネル
ローカル接続またはVPN接続用のスプリットトンネリング
アプリケーションランチャー
Access外のアプリへのブックマークなど、すべてのアプリに対応したカスタマイズ可能なアプリランチャー
トークン認証
自動化されたサービスのサービストークンのサポート
内部DNS対応
ローカルドメインフォールバックを設定します。プライベートネットワークのリクエストを解決するために、内部DNSリゾルバを定義します。
Infrastructure-as-code の自動化(Terraformで)
Cloudflareのリソースのデプロイメントと接続を自動化します。
mTLS認証
IoTおよびその他のmTLSユースケースの証明書ベースの認証
脅威からの保護
包括的なセキュリティカテゴリー
ランサムウェア、フィッシング、DGAドメイン、DNSトンネリング、C2とボットネットなどによりブロックします。
再帰DNSフィルタリング
セキュリティやコンテンツのカテゴリでフィルタリングします。当社のデバイスクライアントまたはルーター経由でロケーションに導入します。
HTTP(S)フィルタリング
送信元、送信先国、ドメイン、ホスト、HTTPメソッド、URLなどに基づいてトラフィックを制御します。 TLS1.3インスペクションが無制限。
L4ファイアウォールフィルタリング
ポート、IP、TCP/UDPプロトコルに基づいて、トラフィックを許可またはブロックすることができます。
アンチウイルス検査
アップロード/ダウンロードされた各種ファイル(PDF、ZIP、RARなど)をスキャン
脅威インテリジェンスの統合
当社独自のMLアルゴリズムとサードパーティの脅威情報フィードによる検知。
IPv6-onlyとデュアルスタックに対応
IPv4およびIPv6接続ですべての機能が利用可能です。
SSHプロキシ設定とコマンドロギング
ネットワークポリシーを作成し、アプリへのSSHアクセスを管理・監視
物理的拠点に対するネットワークレベルのポリシー
オフィスから直接DNSフィルタリングを行える安全な接続
リモートブラウザ分離(ネイティブ統合型)
すべてのブラウザコードをローカルではなくエッジでレンダリングすることで、脅威を軽減します。デバイスクライアントの有無にかかわらず、デプロイできます。分離するアクティビティやタイミングを選択的に制御します。
メールセキュリティ
フィッシングとビジネスメール詐欺を阻止します。
PACファイル対応のためのプロキシエンドポイント
PACファイルを設定することにより、ブラウザレベルでHTTPポリシーを適用します。ユーザーデバイスにクライアントソフトウェアを導入することなく、フィルタを適用できます。
エグレス専用IP
一か所以上のCloudflareネットワークロケーションに位置するIP(IPv4またはIPv6)の専用範囲。
データ保護
データ漏洩を減らすZero Trustアクセス(ZTNAで)
アプリケーションごとに最小特権ポリシーを設定し、ユーザーが必要なデータにのみアクセスするようにします。
Mimeタイプに応じたファイルのアップロード/ダウンロード制御(SWGで)
Mimeタイプに応じたファイルのアップロード/ダウンロードを許可またはブロックします。
アプリおよびアプリタイプの制御(SWGで)
特定のアプリまたはアプリタイプへのトラフィックを許可またはブロックします。
SaaSアプリからのデータ漏洩リスクを検出するCASB
Cloudflare CASBを追加して、SaaSアプリの設定ミスによって機密データが漏れていないかチェックできます。対応する統合の全一覧をご確認ください。
データ損失防止(DLP)
機密情報の有無について、HTTPトラフィックとファイルを検査できます。無料ティアでは、財務情報などの既定のプロファイルに対応しており、完全機能の契約プランではさらにカスタムプロファイル、カスタムデータセット、OCR、DLPログなどに対応しています。
ブラウザ内のデータインタラクションの制御(RBIで)
ダウンロード、アップロード、コピー/ペースト、キーボード入力、印刷の動作を分離されたWebページやアプリケーション内に制限します。ローカルデバイスへのデータ流出を防止し、不審なWebサイトでのユーザー入力を制御します。デバイスクライアントの有無にかかわらず、デプロイできます。
SaaSアプリの保護
各SaaSアプリのインラインアクセスとトラフィック制御
すべてのアクセス制御、データ制御、脅威防御機能(前のセクションで説明)がSaaSアプリ全体に一貫して適用されます。
SaaSアプリのテナント制御
SaaSアプリの自社テナントへのトラフィックのみ許可します。個人や消費者のテナントへ機密データが漏れることを防止します。
シャドーITの発見
エンドユーザーが閲覧するアプリを評価します。それらのアプリに承認ステータスを設定します。
SaaSアプリケーションの緊密な統合
欠かせないSaaSアプリ(例:Google Workspace、Microsoft 365)とAPIで連携し、セキュリティ問題のスキャン、検出、監視を行います。対応する統合の全一覧をご確認ください。
データセキュリティリスクとユーザーアクティビティを継続的に監視
API統合により、SaaSアプリケーションの不審なアクティビティ、データ流出、無許可アクセスなどを継続的に監視します。
ファイル共有の検知
利用頻度の高いSaaSアプリケーションにおける不適切なファイル共有行為を特定します。
SaaSアプリのポスチャ管理と修正
SaaSアプリの設定ミスや不正なユーザー権限を発見します。セキュリティ上の問題が見つかれば、ステップバイステップの修正ガイドで即座に対処します。
クラウドベースのメールアプリのフィッシング検出
Cloudflareのメールセキュリティで、フィッシングやビジネスメール詐欺を阻止します。
可視性
標準的なアクティビティログの保持
契約プランの場合、DNSログは6か月間、HTTPログとネットワークログは30日間保存されます。
アクセスログと認証ログ
すべてのリクエスト、ユーザー、デバイスの包括的な詳細情報(ブロック理由を含みます)。ブロックポリシーによる決定は1週間、認証ログは6か月間保存されます。
アプリコネクター(トンネル)ログ
トンネルの接続状況や、アプリに新しいDNSレコードが登録された際のログを監査します。
シャドーITの可視化とアプリケーショングループの分類
アプリケーションエンドユーザーの訪問すべてについて、利用を追跡し、承認状況を確認します。
SSHコマンドのログ記録
SSHセッション中に実行された全コマンドのフルリプレイ。ネットワーク層でSSHの可視性を提供します。
Private Network Discovery
プライベートネットワークのトラフィックを受動的に監視し、検出したアプリとそれにアクセスするユーザーを目録にします。
個人を特定できる情報(PII)を排除
デフォルトでは、ログは従業員の個人情報(送信元IP、ユーザーのメールアドレス、ユーザーIDなど)を一切保存せず、組織内の全ロールでログ取得が不可になります。
Digital Experience Monitoring(DEX)
アプリケーションの障害、ネットワークの問題、パフォーマンスの低下に関して過去、未来、リアルタイムのインテリジェンスを提供し、ユーザーの生産性を保ちます。機能性についてご覧ください。
ネットワークパフォーマンスと接続オンランプ
グローバルエニーキャストネットワーク
125か国、330都市に広がる、ネットワークエッジ容量405Tbpのエニーキャストネットワーク
グローバルな相互接続
大手のISP、クラウドサービス、企業をはじめ13000の相互接続
すべてのエッジサービスを単一のコントロールプレーンで管理
ネットワークアーキテクチャは、エッジで運用される各サービスが、各データセンターで実行され全顧客が利用可能なように構築されるように設計されています。
L3-L7トラフィックのシングルパス検査
すべてのトラフィックは、送信元に最も近いデータセンターでシングルパスで処理されます。バックホーリングはありません。
仮想バックボーンでスマートルーティング
最適化されたルートで輻輳の問題を回避します。
デバイスクライアント(エージェント)ソフトウェア
主要なOS(Win、Mac、iOS、Android、Linux、ChromeOS)すべてで利用可能です。
マルチモードのデバイスクライアント(エージェント)
デフォルトモードでは、WireGuardトンネル経由でトラフィックを送信し、すべてのセキュリティ機能を有効にします。
DNSフィルタリングポリシーの適用だけならDoHモード、特定アプリへのトラフィックのみをフィルタリングするならプロキシモードを使用します。
マネージドデプロイメントとセルフエンロールメントのオプション
MDMツールを使って全デバイスに展開できます。あるいは、ユーザー自身がデバイスクライアントをダウンロードして自己登録(セルフエンロール)することも可能です。
アプリコネクター(トンネル)
パブリックにルーティング可能なIPアドレスを使わずにリソースをCloudflareに接続します。UI、API、またはCLIでデプロイします。
リソース
ブログ
Cloudflare Accessは最速のZero Trustプロキシ
パフォーマンステストで、CloudflareのZTNAサービスが競合より50~75%速いことが確認されました。
ホワイトペーパー
VPNの置き換えに向けた道筋
多くの企業がVPNのZTNAへの置き換えプランを立てていますが、導入は難航しています。最新のセキュアなリモートアクセスへより迅速に移行する方法を学びましょう。