HOME  /ZeroTrust
 /Cloudflare ZeroTrustのGatewayで[アダルトコンテンツ]をブロック
2024年10月16日

Cloudflare ZeroTrustのGatewayで[アダルトコンテンツ]をブロック

下図は[Zero Trust]に接続されたWARPクライアントの概念図です。

■Cloudflere社は全世界のインターネット通信を常時監視しており、そのレポートを[­­Cloudflare Rader]として公開しています。

またここでは総てのWEBサイトを[セキュリティカテゴリ]と[コンテンツカテゴリ]で分類しています。

■[WARP]クライアントが貴方の[セキュリティ空間]に[認証]され接続されると、[WARP]クライアントと[Gateway]間がVPN接続されます。

■この[Gateway]では下記の仕掛けが利用できます。

①[­­Cloudflare Rader]の[セキュリティカテゴリ]情報を利用して、セキュリティリスクがあるサイトをブロックする。

②[­­Cloudflare Rader]の[コンテンツカテゴリ]情報を利用して、会社として許可しないカテゴリをブロックする。

③ブラウザ分離機能[TLS decryption]を利用して、セキュリティリスクがあるサイトを無害化する。

④[AV scanning]機能を利用して、アップロードやダウンロードするファイルのウィルスチェックをする。

⑤貴方のセキュリティ空間専用のDNSリゾルバ[DNS Locations]を作成する。

 

ここでは上記の②の[コンテンツカテゴリ]と、⑤のDNSリゾルバ機能を使ったアダルトコンテンツのブロック方法を解説します。

1.アダルトコンテンツのブロック運用を理解する

2.セーフサーチ機能をONにする

3.コンテンツカテゴリでアダルトサイトをブロックする

4.Youtubeを制限付きモードをONにする

1.アダルトコンテンツのブロック運用を理解する

アダルトなコンテンツを表示させない方法としては、まず始めにDNSリゾルバのセーフサーチ機能でフィルタにかけ、ここから漏れたものを[コンテンツカテゴリ]の[Adult Themes]でブロックするという考え方になります。

 

1.検索エンジンのセーフサーチ機能を強制させる。

これは汎用DNSリゾルバの[1.1.1.3]のセーフサーチ機能を貴方のセキュリティ空間専用のDNSリゾルバにも適用させるものです。

これはブラウザでアダルトなキーワードを入力しても、記事タイトル自体が表示されない機能になります。

しかし、これが制御できる検索エンジンは[Google]、[Bing]、[DuckDuckGo],[Yandex]だけです。

­ ­ブラウザと検索エンジンの関係

ブラウザはどの検索エンジンを利用するか?を選択する事ができます。

下記はデフォルトの検索エンジンです。

・Google chrome:Google

・Microsoft Edge:Bing

・Mozilla Firefox:Google

しかし、上記以外のYahoo! Japanを検索エンジンに利用すると上記のセーフサーチは機能しません。

 

2.[­­Cloudflare Rader]の[コンテンツカテゴリ]が[Adult Themes]のサイトをブロックする。

セーフサーチから漏れたコンテンツは[DNSポリシー]に[Adult Themes]を[BLOCK]するポリシを設定する事によりブロックします。

この機能はアダルトなキーワードで検索すると、記事タイトルは表示されるがアクセスしようとするとブロックされる機能です。

又、ブロックの方法には下記の2つがあります。

①明示ブロック

下記の様に明らかにブロックされている事が判る画面なので、ブロックを解除したい場合は[ブロックされるサイトのアクセス許可]を行う事によりブロックを解除できます。

②サイレントブロック

サイレントブロックは下記の様な画面が表示されますが、これはブロックされたのか否かが良く分からないブロック方法です。

両方を運用して見た結果、広告等を表示しているWebサイトでは[Adult Themes]と勘違いされるサイトもかなりあるので、[明示ブロック]で運用し、もし勘違いされたサイトはブロックを解除する方法ががお勧めになります。

 

3.ブラウザのYoutubeに制限付きモードを強制させる。

これはセーフサーチ機能のYoutube版になります。

セーフサーチと同様にアダルトなコンテンツ自体が表示されない機能になります。

対象ブラウザに制限はありませんが、Youtubeアプリには適用されません。

 

2.セーフサーチ機能をONにする

ここでは[Split Tunnels]を[Include]で運用する事を想定しています。

よって、セーフサーチ機能の設定は[DNSポリシー]で行います。

1.ポリシー設定画面の起動

[Gateway → Firewall Policies]を実行します。

下図の[DNS]タブを選択し、[+ Add a Policy]ボタンを挿入します。

 

2.ポリシーの設定

①[Name your policy]欄の設定

■任意の名前を付けます。例)セーフサーチ設定

②Build an expression欄

ここに[Safe Search]するドメインの情報を入力します。

■Value欄は[google.com]追加し[Enter]で確定させ、他のドメインも追加します。

Selector Operator Value
▼から[Domain]を選択 ▼から[in]を選択 google.com

bing.com

duckduckgo.com
yandex.com

③Select an action欄

[Action]に[Safe Search]を選択します。

④登録

画面右下の[Save Policy]ボタンを挿入すると下図が表示されます

 

3.設定の確認

ポリシーのON/OFFでセーフサーチの設定を確認して下さい。

検索エンジン 確認URL
Google [https://www.google.com/safesearch]をアクセスします。セーフサーチ画面が表示されますがOFFには出来ません。
Bing [https://www.bing.com/account/]をアクセスします。セーフサーチ画面が表示されますがOFFには出来ません。
duckduckgo [https://duckduckgo.com/settings]をアクセスします。

セーフサーチをコントロールできますがセーフサーチ機能は働いています。

実際に[ヌード 動画]等で検索するとセーフサーチが機能している事が確認できます。
yandex [https://yandex.com/tune/?retpath=https%3A%2F%2Fyandex.com%2F]をアクセスします。Family modeになっている事が確認できます。

 

3.コンテンツカテゴリでアダルトサイトをブロックする

ここでは[Split Tunnels]を[Include]で運用する事を想定しています。

よって、セーフサーチ機能の設定は[DNSポリシー]で行います。

1.ポリシー設定画面の起動

[Gateway → Firewall Policies]を実行します。

下図の[DNS]タブを選択し、[+ Add a Policy]ボタンを挿入します。

 

2.ポリシーの設定

①[Name your policy]欄の設定

■任意の名前を付けます。例)アダルトドメイン

②どのカテゴリをブロックするのか条件を設定します。

[Build an expression]の下図の[Traffic]欄にブロックする条件を設定します。

■[Selector]の▼から[Content Categories]を選択します。

■[Operator]の▼から[in]を選択します。

■[Value]でブロックするカテゴリを指定します。

[Adult Themes]で検索し✓します。

③ブロックの指定

下図の[Select an action]の[Action]欄の▼で[Block]を選択します。

④ブロック方法の設定

[Configure policy settings]欄で下記を設定します。

Filter by resolved IP category :ON

(グローバルIP指定の場合は逆引きでドメインを探して検査する)

Ignore CNAME domain categories :ON

(CNAMEで指定されているドメインは無視する)

Display block page :ON

[Show a custom message]に✓し[Custom message]欄にブロックした時に表示するメッセージを入力します。

例)このサイトはアダルトコンテンツと判断されました。違う場合は連絡をください。

その他のブロックオプション

Display block notification for WARP Client

この機能はブロックの情報をもっと詳細に連絡できる機能ですが、Enterprise版が必須で、無償版では利用できません。

⑤保存する

画面の右下の[Save Policy]ボタンを挿入すると下図が表示されます。

 

3.設定の確認

設定が行われたかはCloudflreのテストURLで確認します。

https://adultthemes.testcategory.com

 

4.Youtubeを制限付きモードをONにする

ここでは[Split Tunnels]を[Include]で運用する事を想定しています。

よって、Youtubeの制限モードの設定は[DNSポリシー]で行います。

1.ポリシー設定画面の起動

[Gateway→Firewall Policies]を実行します。

下図の[DNS]タブを選択し[+ Add a Policy]ボタンを挿入します。

 

2.ポリシーの設定

①[Name your policy]欄の設定

任意名称を入力します。例)Youtube制限

②Build an expression欄

下表で設定します。

Selector Operator Value
[Domain]を選択 [in]を選択 youtube.com

③Select an action欄

[Action]に▼から[YouTube Restricted]を選択します。

④登録

画面右下の[Save Policy]ボタンを挿入すると下図が表示されます。

 

3.設定の確認

https://www.youtube.com/をアクセスする。
②画面の右上のアイコン又はメニュをクリックする

下図の様に制限付きモードがONになっている事が確認できます。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

VirusTotalでの情報流出をCloudflareのZero Trustでブロックし安全に使う

VirusTotal(バイアス・トータル)やVT4Browsersは便利なツールですが、これを利用する事による情報流出が問題となっています。ここではCloudflareのZero Trustを利用する事により、これらのツールを安全に利用する方法を解説しています。

WARPをインストールする前に設定する事

WARPをインストールしセキュリティ空間と接続すると[TLS decryption]や[AV scanning]機能が利用できますが、これを利用する為には利用宣言とCloudflareの証明書が必要になります。ここではその設定法を解説しています。

Cloudflare ZeroTrustのGatewayでエラーコード526でブロックされる

CloudflareのGatewayでHTTPポリシー経由にするとHTTPS優先が自動的にONになります。その結果、HTTPサイトはエラーコード526でブロックされます。このではこの対処方法を解説しています。

Cloudflare WARPの証明書の更新

ClopudflareのWARPが利用する証明書には有効期限があります。このドキュメントでは新しい証明書を作成し適用する方法を解説しています。

Cloudflare ZeroTrustのGatewayの[HTTPポリシー]でブロック

Cloudflare ZeroTrustのGatewayで[Split Tunnels]を[Include]で運用していてもHTTPポリシーを利用したブロックを行う事もできます。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロック

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトのアクセス許可

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustの Gatewayを利用する為の事前設定

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

Cloudflare Zero Trustから見たAIのスクールサイトの[Phishing]問題

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

Cloudflare Zero Trustから見たタクシー求人サイトの[Anonymizer]問題

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

Cloudflare Zero Trustから見たNHKプラスの [DNS Tunneling] 問題

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

Cloudflare Zero Trustから見た自治体HPの[DNS Tunneling]問題

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

Cloudflare Raderによるサイトの評価確認と変更依頼

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロック

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのブロック画面のカスタマイズ

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted を利用する

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

Cloudflare ZeroTrustのAccessに Private network を利用する

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

Cloudflare Zero Trustの ­­Accessに Bookmark を利用する

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下で SSH を利用する

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WebDAV を利用する

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

Cloudflare ZeroTrustの Access とアプリランチャ

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

Cloudflare ZeroTrustのWARPの Local Domain Fallback とは

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

Cloudflare ZeroTrustのWARPを[Exclude]で運用する

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

Cloudflare ZeroTrustのWARPを [Include] で運用する

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのWARP運用の[Exclude]と[Include]の違いを理解する

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

Cloudflare ZeroTrustにローカルネットワークを接続する

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

Cloudflare WARPのダウンロードと ZeroTrustとの接続

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

Cloudflare WARPの[TSL decryption]と[AV scanning]とは

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

Cloudflare ZeroTrustのWARP利用ユーザを設定する

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

Cloudflare ZeroTrustのGoogle認証の全体像を理解する

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Cloudflare ZeroTrustのIdPにGoogle認証を利用する方法

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

Cloudflare ZeroTrustのGoogle認証に必要な情報を作成する

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

企業用のGmailアドレスを取得する方法

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

Cloudflare One (Zero Trust) のセキュリティ空間を作成する

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。