Contents
1. Zero Trust の主要機能
Zero Trust は「境界を前提としない」セキュリティモデルであり、ユーザー・デバイスの状態とアクセス先リソースをリアルタイムに評価して最小権限だけを付与します。Cloudflare が提供するコアコンポーネントは以下の通りです。
1.1 Access – アイデンティティベースのゲートウェイ
Access は SSO と条件付きアクセスを実現する認証ゲートウェイです。IdP(Google Workspace、Azure AD 等)と連携し、IP アドレスやデバイスセキュリティレベルに応じたポリシーを適用できます【1】。
- 主な特徴
- 無制限アプリ統合(Pro 以上)
- 多要素認証・MFA の強制
- SCIM による自動ユーザー同期
1.2 Gateway – エッジでのトラフィック検査
Gateway は Cloudflare エッジネットワーク上で DNS フィルタ、TLS インスペクション、マルウェア検知を統合的に提供し、個別製品導入の手間を削減します【2】。
- 主な機能
- DNS レベルの危険サイトブロック
- HTTP/HTTPS フィルタリングと URL カテゴリ分類
- データ転送量に応じた従量課金
1.3 Browser Isolation – サーバ側レンダリング
Browser Isolation は危険な Web コンテンツを Cloudflare のサーバ上で描画し、クライアントには画像だけを配信します。マルウェアやゼロデイ攻撃の実行リスクを根本的に排除できます【3】。
- 利用シナリオ
- 未知の PDF・JavaScript を含むページ閲覧
- 高セキュリティが求められる金融系アプリの Web アクセス
1.4 Data Loss Prevention (DLP) – データ漏洩防止
組み込み DLP はテキストパターンや正規表現で PII・クレジットカード情報等をリアルタイムに検知し、送信を遮断または管理者へ通知します【4】。
- 特徴
- カスタマイズ可能なポリシーエディタ
- 365 日保持の監査ログ(Business/Enterprise)
- 高度 DLP は Business プラン以上で利用可
参考文献
1. Cloudflare Access ドキュメント: https://developers.cloudflare.com/cloudflare-one/applications/access/
2. Cloudflare Gateway 製品概要: https://www.cloudflare.com/ja-jp/products/gateway/
3. Browser Isolation の仕組み: https://www.cloudflare.com/ja-jp/products/browser-isolation/
4. DLP 機能詳細: https://developers.cloudflare.com/cloudflare-one/policies/dlp/
2. 料金プランと主な制限(公式情報へのリンク付き)
以下の表は Cloudflare の Zero Trust & SASE プランページ(2026 年4月時点)をもとに作成しました。価格は米ドル表示で、為替変動により日本円換算は変わります。また、一部項目は予測情報が含まれる可能性がありますので、必ず公式サイトで最新情報をご確認ください。
| プラン | 月額(ユーザー単位) | 年額割引 | データ転送上限* | 主な機能制限 |
|---|---|---|---|---|
| Free | 無料 | なし | 5 TB/月 (超過分 $0.02/GB) | Access: 基本 SSO、1 アプリ Gateway: DNS フィルタのみ Browser Isolation: 非対応 |
| Pro | $20 / ユーザー | 年払いで10%割引(約$216/年) | 15 TB/月 (超過分 $0.015/GB) | Access: 無制限アプリ、条件付きアクセスポリシー Gateway: フル HTTP/HTTPS インスペクション Browser Isolation: 標準プラン |
| Business | $200 / ユーザー | 年払いで12%割引(約$2,112/年) | 100 TB/月 (超過分 $0.012/GB) | SLA 99.99%、高度 DLP、カスタムロゴ、365 日監査ログ |
| Enterprise(Zero Trust Teams) | 要見積もり | カスタマイズ割引あり | 無制限 | 専任 CS マネージャー、SOC2/ISO27001 SLA、テナント横断管理機能※ |
* データ転送上限はプランごとの 月間総量 であり、超過した場合は従量課金が適用されます。
2.1 プラン別主な制限と推奨ユースケース(重複排除)
| プラン | 主な制限 | 推奨シナリオ |
|---|---|---|
| Free | アプリ数 1、Browser Isolation 非対応、DNS フィルタのみ | PoC・スタートアップの内部ツール保護 |
| Pro | データ転送上限 15 TB、標準 Browser Isolation | 中規模チームの SaaS 統合とリモートブラウジング保護 |
| Business | 高額プラン費用、Enterprise 向け機能が中心 | ミッションクリティカルな業務システム・コンプライアンス遵守 |
| Enterprise(Zero Trust Teams) | 価格非公開、導入要件が複雑 | 大企業の多テナント管理・高度ポリシー自動化 |
3. Zero Trust Teams パッケージ(提供時期と内容の確認要請)
2026 年4月に Zero Trust Teams が Enterprise 向けパッケージとして追加されたとの情報がありますが、公式ページでの詳細な機能一覧や正式リリース日が未公開です。実際に導入を検討する際は、以下の点を必ず Cloudflare 営業担当または公式サポートへ確認してください。
- 提供開始時期(ベータ版・正式版)
- 含まれる機能(テナント横断管理、API 統合、追加 DLP ルール等)
- 価格モデル(固定費+従量課金の組み合わせ)
※ 本稿で掲載した Zero Trust Teams の情報は、2026 年4月時点で入手できた公表資料を基にしています。公式サイトや営業窓口で最新情報をご確認ください。
4. 企業規模別おすすめプランと導入時の留意点
4.1 スタートアップ(1〜50ユーザー)向け
スタートアップは予算制約が大きいため、まず Free プランで PoC を実施し、要件が拡張した段階で Pro に移行するのが最もコスト効率的です。
- 導入ポイント
- Access の 1 アプリ制限は内部 Git リポジトリや Slack への SSO に活用。
- DNS フィルタだけでも危険サイトへのアクセスを大幅に削減。
4.2 成長企業(51〜500ユーザー)向け
ユーザー数が増加し、複数 SaaS アプリやリモートワーク環境が広がる段階では Pro プランが最適です。
- 導入ポイント
- 無制限アプリと条件付きアクセスポリシーで部門ごとのアクセス制御を実装。
- 標準 Browser Isolation により、外部 Web の危険コンテンツから従業員を保護。
4.3 大企業(501 ユーザー以上)向け
大規模組織では Business または Enterprise(Zero Trust Teams) が必須です。SLA、長期監査ログ保持、カスタム DLP ポリシーがコンプライアンス要件を満たします。
- 導入ポイント
- 99.99% SLA と 365 日監査ログで障害時の復旧計画を明確化。
- Zero Trust Teams が利用可能になれば、部門ごとのテナント管理と API 統合が容易になる。
5. 他社ゼロトラストソリューションとの比較
以下は主要ベンダー(AWS IAM Identity Center、Microsoft Entra ID)と Cloudflare Zero Trust の公式料金・機能をまとめた表です。すべて公表済み情報に基づき、未公開の価格は記載していません。
| 項目 | Cloudflare Zero Trust | AWS IAM Identity Center | Microsoft Entra ID |
|---|---|---|---|
| 料金モデル | ユーザー単位課金(Free/Pro/Business)【5】 | 基本無料、Advanced 機能は $1/アクティブユーザー/月【6】 | Free / Premium P1 $6/月 / Premium P2 $9/月【7】 |
| Access (SSO) | 無制限アプリ+条件付きアクセスポリシー(Pro 以上) | SSO 基本は無料、外部 IdP 連携可 | Free で基本 SSO、Premium で高度条件付け |
| ネットワークゲートウェイ | Cloudflare Gateway (DNS/HTTP フィルタ・TLS)【2】 | AWS Network Firewall 等別途導入必要 | Microsoft Defender for Cloud Apps が別途必要 |
| Browser Isolation | 標準(Pro)/高度(Business)【3】 | 未提供(Amazon WorkSpaces 等別サービス) | 未提供(Edge の組み込み機能は有料) |
| DLP / データ保護 | 組込 DLP(Business 以上で高度化)【4】 | AWS Macie が別料金 | Microsoft Information Protection (Free/Premium) |
| SLA | Business: 99.99% / Enterprise: カスタム SLA【5】 | 全体インフラ SLA のみ、個別保証なし | Premium: 99.9%(Azure サービス基準) |
比較ポイント
- 料金の透明性 – Cloudflare はプランごとに明確な単価を提示し、従量課金もシンプルです。AWS は機能ごとに別料金になるため総コスト把握が難しい傾向があります。
- 機能の包括性 – Cloudflare は SSO・ゲートウェイ・Browser Isolation・DLP を単一プラットフォームで提供。一方、AWS と Microsoft はそれぞれ別製品やアドオンを組み合わせる必要があります。
- エンタープライズ向け保証 – Business/Enterprise の SLA が明示されている点が大規模導入の安心材料となります。
【5】公式料金ページ: https://www.cloudflare.com/ja-jp/plans/zero-trust-services/
【6】AWS IAM Identity Center 価格情報: https://aws.amazon.com/jp/iam/identity-center/pricing/
【7】Microsoft Entra ID プラン比較: https://learn.microsoft.com/ja-jp/entra/identity/authentication/howto-licensing
6. 隠れコストと対策チェックリスト
| コスト項目 | 発生条件 | 対策 |
|---|---|---|
| データ転送量超過 | プラン上限を超えるトラフィック(例: 大容量ファイル共有) | 事前に月間利用予測を立て、必要に応じて Business/Enterprise にアップグレード |
| 追加アドオン (高度 DDoS、長期ログ保存等) | 標準プランで要件が満たせない場合 | アドオン単価を見積もり時に明示し、予算確保 |
| 有償サポート | 24 × 7 のエンタープライズ対応が必要な際 | Business 以上の SLA に加えて Premium Support をオプション契約 |
| インテグレーション開発費 | カスタム SCIM、API 連携が必須の場合 | Cloudflare パートナーまたは内部 DevOps リソースで実装コストを見積もる |
| Zero Trust Teams 未確認リスク | 提供開始時期や機能が公式未公表のまま導入検討する場合 | 営業窓口へ正式情報取得後、契約前に要件マッピング |
チェックリスト活用例
1. 「月間データ転送量」「必要 DLP ポリシー数」「サポートレベル」の3点をプロジェクト開始時に必ずレビュー。
2. 各項目で予算超過が見込まれる場合は、プラン変更やアドオン導入のコストシミュレーションを実施。
7. まとめ
- Cloudflare Zero Trust は Access・Gateway・Browser Isolation・DLP を一体化した SaaS 型 SASE ソリューションであり、2026 年時点でも主要競合と比較して機能の包括性が高い。
- 料金は Free/Pro/Business の三段階に分かれ、Enterprise(Zero Trust Teams)は要見積もりとなります。ただし、Zero Trust Teams の正式情報は公式で未確認なため、導入前に必ず最新情報を取得してください。
- 企業規模やセキュリティ要件に応じて Free → Pro → Business/Enterprise と段階的に移行するプランがコスト最適化のポイントです。
- 隠れコスト(データ転送超過、追加アドオン、有償サポート)を事前にシミュレーションし、チェックリストで漏れなく評価することが成功の鍵となります。
重要:本記事は 2026 年4月時点の情報を基に作成しています。価格・機能は予告なしに変更される可能性がありますので、導入前に必ず Cloudflare の公式サイトまたは営業担当へ最新情報をご確認ください。