HOME  /ZeroTrust
 /Cloudflare Raderによるサイトの評価確認と変更依頼
2024年10月02日

Cloudflare Raderによるサイトの評価確認と変更依頼


下図はWARPクライアントのインターネットアクセスの概念図です。

上図の右上の[­­Cloudflare Rader]は全世界のインターネット通信を常時監視しており、各サイトを[セキュリティカテゴリ]と[コンテンツカテゴリ]で分類しています。

上図の[Gateway]はこの分類を利用してサイトをブロックするか否かを判断しています。

 

そこでブロックされるサイトは[Gatewayでブロックされるサイトの許可]で許可ポリシーを作成するとアクセスできる様になりますが、そもそも[­­Cloudflare Rader]のサイト評価自体が間違っている事も多々あります。

 

そこでここでは[­­Cloudflare Rader]がサイトをどの様に評価しているのか?を調べ、ブロックの原因となっているカテゴリの変更依頼を行うやり方を解説します。

1.Cloudflare Raderのサイト評価を調べる

2.変更依頼の事例

3.特殊な事例

1.Cloudflare Raderのサイト評価を調べる

[Cloudflare Rader]がブロックしたサイトをどの様に評価しているかは下記の方法で調べる事ができます。

1.[セキュリティセンタ→調査]の起動

Cloudflareのホーム画面を開きます。

Zero Trustの上の方にある[セキュリティセンタ調査]を実行します。

■上記画面が英語の場合は、全体画面の右上にある言語選択で日本語を選択してください。

 

2.サイト検索の実行

下図の入力BOXに調べたいURLを入力し[検索する]ボタンを挿入します。

­ ­メモ

URL検査は100件/月まで実行できるようです。

又、調査した結果は履歴として残りますので、Cloudflare Raderがサイトの評価をどの様に変更したのかの履歴を見る事もできます。

 

3.公開方法の選択

下記画面が表示されます

限定公開:自分だけの情報として調べる場合に利用します。

公開:調べた結果をCloudflare Raderの情報として公開する時に利用します。

限定公開で[今すぐスキャン]で調査を実行します。

 

4.調査結果の表示

調べた結果の情報が下図の様な形で表示されます。

下記は株式会社SHIFT AIのAI副業が学べるスクールのサイトがセキュリティリスクの[Phishing]が設定されているという例です。

上記の[フィードバックを送信]から、もっと詳細な情報を調べてあと下記の様な画面から変更を依頼する事ができます。

上図の赤の[Phishing]が[セキュリティカテゴリ]で青の[CUPA Filter , Entertainment]が[コンテンツカテゴリ]です。

各々のカテゴリで変更依頼をリクエストする事ができます。

変更依頼が認められるか否かは[Cloudflare Rader]が決める事ですが、過去の経験から見るとかなりの確度で変更が認められています。

但し変更は即時ではなく、1日以上の時間が掛かります。

 

2.変更依頼の事例

ここでは[Cloudflare Rader]のカテゴリの変更依頼を掛けた結果、ブロック問題が解決した事例を紹介します。

①株式会社SHIFT AI

AI副業が学べるスクール[https://shiftai-career.studio.site/FD_RT_lp06_1]が[Phishing]でブロックされていましたがブロックが解除できました。

詳細は[AIのスクールサイトの[Phishing]問題]を参照して下さい。

 

②NHK+

NHKプラス[https://plus.nhk.jp/watch/ch/g1/]の[ログイン]画面が[DNS Tunneling]でブロックされていましたがブロックが解除できました。

詳細は[NHKプラスの [DNS Tunneling] 問題]を参照して下さい。

 

③タクシー求人サイト

タクシーの求人サイトの[https://www.tenshokudou.com/]が[Anonymizer]でブロックされていましたがブロックが解除できました。

詳細は[タクシー求人サイトの[Anonymizer]問題]を参照して下さい。

 

④エアコンサポートセンター

エアコン取り外し・取り付け工事[https://www.airconkoji.com/afb02/]がアダルトサイトに分類されていましたが、解除できました。

 

⑤ABCクリニック美容外科

ABCクリニック美容外科[https://www.abc-clinic.com/]がアダルトサイトに分類されていましたが、解除できました。

 

3.特殊な例

GoodPlus社の[https://goodplus-service.co.jp/]サイレントブロックが表示されアクセスできませんでした。

 

そこでGatewayでブロックされるサイトの許可で[goodplus-service.co.jp]を追加してもダメでした。

 

[Cloudflare Rader]で調べてみると[セキュリティカテゴリ]も[コンテンツカテゴリ]も問題ありません。

しかし[DNS resolution failed]との表示がありました。

 

そこで下記でアクセスして見ました。

・暗号化なしの[1.1.1.1]:OK

・暗号化通信(DoH、DoT):NG

すなわち[1.1.1.1]の暗号化通信に問題がある事が判りました。

 

[WARP Client Help Center]の[Submit a request]をクリックします。

リクエスト画面から問題があるサイトの情報を送った結果、この問題は解決しました。

 

結論

Cloudflareの1.1.1.1及びCloudflare Raderは完ぺきではないようです。

ユーザが育てていく事により安全なインターネット環境を構築する物と思われます。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。