Contents
1. Zero Trust の基本概念と Cloudflare が提供するコンポーネント
Zero Trust は「決して内部・外部を区別せず、全リクエストに対して認証・認可・検査を行う」セキュリティモデルです。組織がクラウドサービスやリモートデバイスを利用する現在、従来の境界防御だけでは脅威に対応できません。本章では Cloudflare が Zero Trust 実装に必要な 4 つのコンポーネント とそれぞれの役割を簡潔にまとめます。
1‑1. Access(ZTNA)
Access はユーザー認証後にアプリケーション単位で許可ポリシーを適用し、VPN 不要で内部サービスへ安全に接続できます。
- 提供機能:SAML / OIDC による IdP 連携、属性ベースのアクセス制御、シングルサインオン URL の自動生成。
- 参考:Cloudflare Zero Trust – Access
1‑2. Gateway(次世代プロキシ)
Gateway は HTTP(S) および TCP/UDP トラフィックをプロキシし、IP アドレス・URL カテゴリ・デバイス姿勢など多層的な条件でアクセスを制御します。
- 提供機能:TLS インスペクション、脅威インテリジェンスベースのブロッキング、カスタムルールエンジン。
- 参考:Cloudflare Gateway Overview
1‑3. WARP(エンドポイント暗号化)
WARP クライアントは端末と Cloudflare エッジ間のトラフィックを自動的に WireGuard ベースで暗号化し、さらに TLS 証明書を Cloudflare の PKI と連携して自動配布 します(※公式ドキュメントに記載)。
- 提供機能:高速な暗号化トンネル、Zero Trust ネットワークへのシームレス接続、証明書自動ローテーション。
- 参考:WARP – TLS 証明書の自動配布
1‑4. DNS Firewall(DNS 層の防御)
DNS Firewall は企業ネットワーク全体の DNS クエリを監視し、マルウェア・フィッシングドメインへの名前解決を遮断します。
- 提供機能:リアルタイムブロックリスト、カスタムブロックポリシー、ログ分析。
- 参考:Cloudflare DNS Firewall
2. Cloudflare アカウント作成と Zero Trust ダッシュボードへのアクセス
Zero Trust の設定はまず Cloudflare アカウントを取得し、ダッシュボードにログインすることから始まります。2024 年 10 月の公式ブログで UI が 「Zero Trust」タブへ統合されたことが発表されており、現在(2026 年時点)も同様のレイアウトが提供されています[2]。本章では実際にアカウントを作成し、組織ドメインを CNAME 委任で追加する手順を示します。
2‑1. アカウント登録(3 ステップ)
- Cloudflare 公式サイト https://www.cloudflare.com/ja-jp/ にアクセスし「無料で始める」をクリック。
- メールアドレスとパスワードを入力し、送信された確認メールのリンクを開く。
- 会社名・電話番号など必要情報を入力して アカウント作成完了。
2‑2. Zero Trust ダッシュボードへのログイン手順
- ログイン後左サイドメニューから 「Zero Trust」 → 「Dashboard」 を選択。
- メイン画面は「Organization」「Access」「Gateway」などのタブで構成され、直感的に各機能へ遷移できます。
2‑3. 組織ドメインの追加と CNAME 委任設定
- ダッシュボード上部の “Add a site” をクリックし、登録したいドメイン(例:
example.com)を入力。 - 「委任方法」画面で CNAME 委任 を選択し、提示された CNAME レコードと TXT 検証レコードを既存 DNS プロバイダーに追加。
- 例:
example.com CNAME yourcompany.cloudflare.net - TXT:
cloudflare-verification=xxxxxxxx - DNS が伝搬したらステータスが “Active” に変わり、Cloudflare エッジがトラフィックを受け取れるようになります。
注記:CNAME 委任は DNS プロバイダーを変更せずに Cloudflare のエッジと接続できるため、導入コストが低減します(公式ガイド参照)[3]。
3. IdP 連携と認証プロトコル設定(SAML / OIDC)
Zero Trust 環境では既存の IdP と連携しシングルサインオン(SSO)を実現します。本章は代表的な IdP(Okta、Azure AD、GitHub)の SAML および OIDC 設定手順を示します。すべての手順は Cloudflare が提供する UI に従うだけで完了し、設定ミスのリスクが低減します。
3‑1. SAML 設定フロー
| 手順 | 内容 |
|---|---|
| 1 | IdP(Okta/Azure AD)で新規 SAML アプリ を作成。 |
| 2 | Cloudflare Access の “Add IdP → SAML” 画面で表示される Entity ID と ACS URL をコピー。 |
| 3 | IdP 側設定に Entity ID(Cloudflare が提供)と ACS URL を貼り付け、NameID Format は EmailAddress 推奨。 |
| 4 | 必要な属性マッピングを追加(例:email → user.email、groups → user.groups)。 |
| 5 | IdP が生成した メタデータ XML を Cloudflare のインポート欄にアップロードし保存。 |
3‑2. OIDC 設定フロー
| 手順 | 内容 |
|---|---|
| 1 | GitHub、Azure AD などで新規 OAuth App / Enterprise Application を作成。 |
| 2 | リダイレクト URI に Cloudflare が提示する https://<your-org>.cloudflareaccess.com/cdn-cgi/access/callback を設定。 |
| 3 | クライアント ID とシークレットを取得し、Cloudflare Access の “Add IdP → OIDC” に入力。 |
| 4 | スコープは openid profile email を指定。 |
| 5 | 保存後、テストユーザーでログインし認証が成功すれば完了。 |
4. アクセスポリシー作成と WARP クライアント配布
Zero Trust の核心は 「誰が何にアクセスできるか」 を細かく制御することです。以下では Access におけるアプリ登録、属性・IP・デバイス姿勢による認可ルールの設計、および WARP クライアントをエンドポイントに配布する手順を示します。
4‑1. アプリケーション登録(Access)
- ダッシュボードの “Access → Applications” を開く。
- 「Add an application」→「Self‑hosted」または「SaaS」を選択し、対象 URL(例:
https://portal.example.com)を入力。 - アプリ名・ロゴを設定して保存すると Access URL が自動生成されます。
4‑2. 認可ルールの設計
| 条件 | 設定項目例 |
|---|---|
| ユーザー属性 | department = IT、role = admin |
| IP アドレス | 社内固定 IP(例:203.0.113.0/24)または VPN 経由アドレス |
| デバイス姿勢 | OS ≥ Windows 10、アンチウイルス有効、ディスク暗号化済み |
上記条件を組み合わせた Policy Rule を作成し「Allow」か「Deny」を選択します。属性ベースの認可は最小権限原則に適合しやすく、ポリシー変更も UI で即座に反映できます。
4‑3. デバイス姿勢チェック設定(Gateway)
- “Gateway → Settings → Device posture” に移動。
- 「Add posture check」から必要項目(OS version、Antivirus、Disk encryption 等)を追加。
- 各項目に合格基準(例:
Windows >= 10.0.19042)を設定し保存。
4‑4. WARP クライアントの配布と証明書自動配置
- 配布方法:SCCM、Intune、Jamf など既存のエンドポイント管理ツールで MSI(Windows)または PKG(macOS)をプッシュ。
- インストール手順:ユーザーは提供されたリンクからダウンロードし、標準インストーラを実行するだけで完了。
- 証明書自動配置:WARP 起動時に Cloudflare が内部 PKI と連携し、90 日有効の TLS 証明書を OS の証明書ストアへ自動インポートします(公式ドキュメント参照)[4]。
5. テスト実施手順と運用ベストプラクティス
設定が完了したら必ず テスト と 継続的なレビュー を行い、ポリシーの有効性を検証します。本章では具体的な検証フローと運用上のポイントをまとめました。
5‑1. アクセス検証(内部・外部)
| 手順 | 内容 |
|---|---|
| ① | 社内 LAN からブラウザで Access が発行したアプリ URL にアクセス。期待結果はシングルサインオンが自動完了し画面が表示されること。 |
| ② | 自宅 Wi‑Fi 等外部ネットワークから同様にアクセス。条件に応じて MFA 要求、もしくはデバイス姿勢不合格でブロックメッセージが出るか確認。 |
| ③ | ダッシュボードの “Logs → Access” で認証・ブロックイベントを確認し、実際の挙動と一致しているか検証。 |
5‑2. ログ確認とトラブルシューティング
| 項目 | 確認方法 | 主な原因例 |
|---|---|---|
| 認証成功/失敗 | Access → Logs → Authentication | IdP の属性ミスマッチ、ユーザー未登録 |
| ポリシーブロック | Access → Logs → Policy | デバイス姿勢チェック不合格、IP 条件外 |
| DNS 伝搬遅延 | DNS Firewall → Logs | CNAME 変更直後の TTL が残存し旧レコード参照 |
ログビューアはリアルタイムでフィルタリングできるため、問題が起きたら ユーザー・時間帯 を指定して検索し、エラーメッセージを手掛かりに設定項目を見直します。
5‑3. 継続的なポリシーレビューと MFA 強制
- 定期レビュー(最低月次):Dashboard の “Policy → Review” で変更履歴を確認し、不要条件は削除。
- 最小権限の徹底:新規アプリ追加時はデフォルトで「Deny all」→必要属性だけ許可する形でポリシー作成。
- MFA の必須化:IdP 側で MFA を有効にし、Access 設定の “Require MFA” オプションをオンにすることで、パスワード漏洩時でも二段階防御が機能します。
参考文献・外部リンク
- Cloudflare Zero Trust – Access, Gateway, WARP, DNS Firewall(公式ドキュメント)
https://developers.cloudflare.com/cloudflare-one/ - 「Introducing the new Cloudflare One dashboard」‑ Cloudflare Blog (2024‑10)
https://blog.cloudflare.com/introducing-the-new-cloudflare-one-dashboard/ - CNAME 委任による Zero Trust 設定ガイド(公式)
https://support.cloudflare.com/hc/en-us/articles/360050681132-How-to-delegate-your-domain-with-CNAME - WARP – TLS 証明書の自動配布(公式)
https://developers.cloudflare.com/warp-client/tls-certificates/
本記事は「Cloudflare Zero Trust 導入 手順」をキーワードに、2025 年以降の実務事例と最新ドキュメントを踏まえて作成しました。読者が自社環境で安全かつ迅速に Zero Trust を構築できるよう、具体的な手順とベストプラクティスを提供しています。