HOME  /ZeroTrust
 /Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロック
2024年10月13日

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロック


下図は[Zero Trust]に接続されたWARPクライアントの概念図です。

■Cloudflere社は全世界のインターネット通信を常時監視しており、そのレポートを[­­Cloudflare Rader]として公開しています。

またここでは総てのWEBサイトを[セキュリティカテゴリ]と[コンテンツカテゴリ]で分類しています。

■[WARP]クライアントが貴方の[セキュリティ空間]に[認証]され接続されると、[WARP]クライアントと[Gateway]間がVPN接続されます。

■この[Gateway]では下記の仕掛けが利用できます。

①[­­Cloudflare Rader]の[セキュリティカテゴリ]情報を利用して、セキュリティリスクがあるサイトをブロックする。

②[­­Cloudflare Rader]の[コンテンツカテゴリ]情報を利用して、会社として許可しないカテゴリをブロックする。

③ブラウザ分離機能[TLS decryption]を利用して、セキュリティリスクがあるサイトを無害化する。

④[AV scanning]機能を利用して、アップロードやダウンロードするファイルのウィルスチェックをする。

⑤貴方のセキュリティ空間専用のDNSリゾルバ[DNS Locations]を作成する。

 

ここでは上記の②の[­­Cloudflare Rader]が分類した[コンテンツカテゴリ]を使ったブロック方法を解説します。

1.[コンテンツカテゴリ]のブロック運用を理解する

2.[コンテンツカテゴリ]のブロック

3.ブロックの確認方法

4.実際の[コンテンツカテゴリ]のブロック評価

1.[コンテンツカテゴリ]のブロック運用を理解する

コンテンツカテゴリは企業方針として[見せない]、[見ない方が良い]サイトをブロックする時に利用します。

下表が主要なコンテンツカテゴリです。

カテゴリ サブカテゴリ 内容
Gambling

ギャンブル

オンラインギャンブルを提供している、またはギャンブルに関連するサイト
Adult Themes

アダルト

Adult Themes ポルノ、ヌード、セクシュアリティ、その他の成人向けテーマに関連するコンテンツをホストしているサイト。
Nudity
Pornography
Security Risks

セキュリティリスク

New Domains [新しいドメイン]とは、過去 30 日以内に登録されたドメイン
Newly Seen Domains [新しく見つかったドメイン]とは、過去 30 日以内に初めてDNSで解決されたドメイン
Parked & For Sale Domains [パークおよび販売用ドメイン]とは、ホスティング サービスに接続されていないドメイン
Questionable Content

疑わしいコンテンツ

Deceptive Ads [欺瞞的な広告]とは、通知や警告要素など、アプリの機能を偽装する広告
Drugs [薬物]とは、薬物を扱ったコンテンツ
Hacking [ハッキング]とは、ハッキング関連コンテンツ
Profanity [冒涜]とは、下品で不敬な発言や行動に分類されるコンテンツ
Questionable Activities [疑わしい活動]とは、詐欺等の疑わしい活動を紹介するコンテンツ
Militancy, Hate & Extremism [戦闘性、憎悪、過激主義]とは、上記カテゴリのコンテンツ
School Cheating [学校での不正行為]とは、学校でのカンニング行為のコンテンツ
Unreliable Information [信頼できない情報]とは、信頼できないようなコンテンツ
Miscellaneous

ミスレイニアス

その他雑多な物

Login Screens [ログイン画面]とは、ログイン画面をホストするサイト
Miscellaneous [その他]とは、他のコンテンツ カテゴリに属さないサイト
No Content [コンテンツなし]とは、コンテンツがないサイト
Redirect [リダイレクト]とは、他のサイトにリダイレクトするドメイン
Unreachable [到達不能]とは、到達不能な IP アドレスに解決されるドメイン

 

1.Gambling(ギャンブル)サイトのブロック

2024年6月29日放送のNHK「調査報道 新世紀 File4 オンラインカジノ 底知れぬ闇」ではリモートワーク中の社員がオンラインカジノにハマり人生を台無したの事例が紹介されており、日本のオンラインカジノ利用者も数百万人と増大傾向にあると報道されました。

[­­Cloudflare Rader]が[Gambling]に分類したサイトをブロックすると、オンラインカジノや宝くじ等のサイトを会社のネットワークからアクセスできなくさせる事ができます。

どの様なサイトがブロックされるか?は[コンテンツカテゴリのブロック事例]を参照して下さい。

 

2.Adult Themes(アダルト)サイトのブロック

アダルトに関しては[Gateway]は下記の様な機能を提供しています。

①検索エンジンにセーフサーチ機能を強制させる。

汎用DNSサーバの[1.1.1.3]と同じ機能を貴方のセキュリティ空間専用のDNSリゾルバに適用します。

②ブラウザのYoutubeに制限付きモードを強制させる。

③[­­Cloudflare Rader]の[コンテンツカテゴリ]が[Adult Themes]のサイトをブロックする。

具体的な設定方法は[アダルトコンテンツをブロックする]を参照して下さい。

 

3.[Security Risks]、[Questionable Content]、[Miscellaneous]のブロック

コンテンツカテゴリの[Security Risks]は、デバイスに悪影響を及ぼすリスクではなく、新しく作成されたドメイン等なので見ない方が良いのでは?程度のものです。

[Questionable Content]は、あまりアクセスを推奨しないコンテンツ、[Miscellaneous]はログイン画面等の普通のサイトでないものが分類されます。

実際にこれらをブロックして見た結果、誤検知等ののサイトが多く、許可処理の方が面倒になります。

よってこれらのカテゴリはブロックしない運用をお勧めします

どの様なサイトがブロックされるか?は[コンテンツカテゴリのブロック事例]を参照して下さい。

 

4.ブロックされた時の対応

コンテントカテゴリのブロック運用を行っていると、アクセスが必要なサイトがこれでブロックされる事があります。

この様な場合は[ブロックされるサイトのアクセス許可]を行うとアクセスは可能になります。

又、[コンテンツカテゴリ]はデバイスに悪影響を及ぼすサイトではないので、[セキュリティカテゴリ]の時の様に[TLS decryption]機能を働かせる必要はありません。

また恒久対策としてブロックされるサイトを[Cloudflare Raderのサイト評価]で内容を確認し、[Cloudflare Rader]にコンテンツカテゴリーの変更申請を行う事もできます。

大半のサイトはこれで問題は解決します。

 

2.[コンテンツカテゴリ]のブロック方法

ここでは[Split Tunnels]を[Include]で運用する事を想定しています。

よって、コンテンツカテゴリのブロックは[DNSポリシー]で行います。

またここでは.Gambling(ギャンブル)サイトをブロックする事例で解説します。

1.ポリシー設定画面の起動

[GatewayFirewall Policies]を実行します。

下図の[DNS]タブを選択し[+ Add a Policy]ボタンを挿入します。

 

2.ポリシーの設定

①ポリシー名の設定

下図の[Name your policy]の[Policy name]欄でどの様なポリシーかが判る名前を付けます。

例)オンラインカジノ等のブロック

■上記で設定した名前が一覧リストに表示されます。

 

②どのカテゴリをブロックするのか条件を設定します。

[Build an expression]の下図の[Traffic]欄にブロックする条件を設定します。

■[Selector]の▼から[Content Categories]を選択します。

■[Operator]の▼から[in]を選択します。

■[Value]でブロックするカテゴリを指定します。

・[カテゴリ名]又は[サブカテゴリ名]で検索し、設定します。

・下図は[Gambling]の例です。

 

③ブロックの指定

下図の[Select an action]の[Action]欄の▼で[Block]を選択します。

 

④ブロック方法の設定

[Configure policy settings]欄で下記を設定します。

Filter by resolved IP category :ON

(グローバルIP指定の場合は逆引きでドメインを探して検査する)

Ignore CNAME domain categories :ON

(CNAMEで指定されているドメインは無視する)

Display block page :ON

[Show a custom message]に✓し[Custom message]欄にブロックした時に表示するメッセージを入力します。

例)オンラインカジノ依存症が多発しています。人生をダメにするので止めましょう。

­ ­その他のブロックオプション

Display block notification for WARP Client

この機能はブロックの情報をもっと詳細に連絡できる機能ですが、Enterprise版が必須で、無償版では利用できません。

 

⑤保存する

画面の右下の[Save Policy]ボタンを挿入すると下図が表示されます。

 

3.ブロックできたのか?を確認する方法

2項で設定したカテゴリがブロックされているか否かは下記のCloudflreのテストURLで確認します。

基本系:https://xxxxx.testcategory.com

xxxxは、カテゴリ名又はサブカテゴリ名の文字列の中の空白は削除、大文字は小文字に変換、&はandに変換した文字列になります。

例①[Gambling]の場合

https://gambling.testcategory.com

例②[Security Risks]のサブカテゴリ[Parked & For Sale Domains]の場合

https://parkedandforsaledomains.testcategory.com

 

4.[コンテンツカテゴリ]のブロック事例

下記で紹介しているサイトは実際にブロックされるサイトです。

1.ギャンブルコンテンツのブロック

オンラインカジノは下記の様な解説サイトから海外のオンラインカジノへと誘導する手法を取っています。

よって下記の様なサイトはブロック対象となります。

ベラジョンカジノ 違法って本当?逮捕の可能性と危険性について

オンラインカジノ プロモーションとは?各種類を詳しく紹介2024年

当然、上記のブロックは日本政府公認のギャンブル[オンライン競馬]、[オンライン競輪]、[ネット購入【宝くじ公式サイト】]等もブロックされます。

ギャンブルに誤検知されるサイトがあった場合は[ブロックされたドメインの許可]で解除して下さい。

 

2.[Security Risks]でブロックされるサイト

下記のサイトが[Security Risks]でブロックされます。

[Security Risks]は、デバイスに悪影響を及ぼすリスクではなく、新しく作成されたドメイン等なので見ない方が良いのでは?程度のものです。

登録するドメイン名 市町村のHP
city.shirakawa.fukushima.jp 福島県白河市
vill.yugawa.fukushima.jp 福島県湯川村
town.kotoura.tottori.jp 鳥取県琴浦町
town.keisen.fukuoka.jp 福岡県桂川町
town.kimino.wakayama.jp 和歌山県紀美野町

上記以外にも民間のサイトでも新しいドメインはブロックされます。

・株式会社アイ・ステーション

事業者様必見!おトクな新電力に切り替えてエアコン清掃無料キャンペーン

。株式会社ビートレーディング

最短翌日対応! ファクタリングサービス【ビートレーディング】

・株式会社FIRE

浮気・不倫専門の探偵社【そよかぜ探偵事務所】面談促進プロモーション

・高速情報協同組合

首都・阪神高速ETCカード(コーポレートカード)申込促進

よってこのカテゴリはブロックしない運用をお勧めします。

 

3.[Questionable Content]でブロックされるサイト

コンツカテゴリの[Questionable Content]は、詐欺や薬物等の分類されたサイトです。

下記URLは有名人を語った詐欺サイトだったのですが、現在はサイト自体は無くなりましたが、Cloudflare Rederではまだ残っている状態です。

http://www.ewoman.co.jp/winwin/63ia/

次に薬物関連ですが下記URLは大麻を産業用に使用する事を推進している団体のHPです。

一般社団法人北海道ヘンプ協会

上記サイトはブロックされますが、この団体の本部や他の地域組織のHPはブロックされません。

この様に[Questionable Content]の判定は難しいみたいで、一貫性がありません。

よってこのカテゴリはブロックしない運用をお勧めします。

 

4.[Miscellaneous]でブロックされるサイト

コンツカテゴリの[Miscellaneous]は、サイトがログイン画面だったりサイトがリダイレクトするサイトがこれに引っ掛かります。

下記は[Miscellaneous]でブロックされるサイトです。

・株式会社オズ・リンク

パーソナルジム【RACINE(ラシーヌ)】入会促進プロモーション

・株式会社スマートヴィレッジ

完全個室プライベートジム【世田谷フィジコ】申込促進プロモーション

・株式会社メディカル・コンシェルジュ

看護師の求人・転職・派遣なら【MC-ナースネット】 登録促進プロモーション

・株式会社センターモバイル

新世代格安スマホ「センターモバイル」契約促進プロモーション

データ容量無制限・5G対応の高速通信Wi-Fi【PLAIO WiMAX】申込促進プロモーション

。廃車ラボ

廃車・買取なら引き取り・手続き無料の【廃車ラボ】

・カーセブン

車買取・車査定なら【カーセブン】査定申込促進プロモーション

・株式会社MJリサーチ

総合探偵社「MJリサーチ」新規申込促進プロモーション

・J.P.Returns 株式会社

マンション投資のJPリターンズ【動画セミナー】登録促進プロモーション

・株式会社サローネ

痩身エステ【キレイサローネ】来店プロモーション

・株式会社メディカル・プリンシプル社

ドクターの求人【民間医局】申込促進プロモーション

何れのサイトも問題がないサイトなので[Cloudflare Raderのサイト評価]で内容を確認し、[Cloudflare Rader]にコンテンツカテゴリーの変更申請を行うと解決できると思います。

しかしこれも面倒なので、このカテゴリはブロックしない運用をお勧めします。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

ClopudflareのWARPが利用する証明書には有効期限があります。このドキュメントでは新しい証明書を作成し適用する方法を解説しています。

Cloudflare ZeroTrustのGatewayで[Split Tunnels]を[Include]で運用していてもHTTPポリシーを利用したブロックを行う事もできます。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。