Cloudflareコラム | Cloudflare One Agent ― モバイル環境における Zero Trust セキュリティ

はじめに

現在、業務はPCだけでなく、スマートフォンやタブレットなど、さまざまなプラットフォームから行われるようになっています。その中でモバイル端末からのアクセスを安全に保つことは、企業のセキュリティを考える上で欠かせない要素となっています。

Cloudflare社が提供しているCloudflare One Agent は、モバイル環境におけるセキュリティ課題に対し、Zero Trust の考え方をベースにした安全なアクセス制御 を提供します。

■ Cloudflare One Agentがモバイルを守る仕組み

モバイル端末からの通信を Cloudflare のグローバルネットワーク経由で制御し、場所やネットワークに依存しないセキュリティを実現します。これにより、社内ネットワーク・社外ネットワーク、公衆 Wi‑Fi のいずれに接続している場合でも、一貫したセキュリティポリシー を適用することが可能です。

主な機能

・Secure Web Gateway（SWG）

モバイル端末からの Webアクセス やアプリ通信を検査し、マルウェアやフィッシングなどの脅威から保護します。

・Zero Trust Network Access（ZTNA）

社内アプリケーションへのアクセスをインターネットに公開せずに提供します。

従来の VPN に依存しないアクセス制御を実現します。

・DNSフィルタリング

DNSの名前解決の段階で有害サイトなどへのアクセスをブロックし、リスクを未然に防止します。

・CASB(Cloud Access Security Broker）

SaaSの利用状況の可視化やShadow ITの検出、アクティビティ監視などが行えます。

・デバイスポスチャ

端末の状態（OSバージョン、管理状況）を確認し、安全と認められない端末からのアクセスをブロックします。

■WireGuardプロトコル

Cloudflare One Agent では、通信プロトコルとして WireGuard を採用しています。

WireGuard は UDP 上で動作する VPN プロトコルで、一般的に利用されている IPsec などと比較して、以下の利点を持ちます。

・IPアドレス変更への耐性が高い

・再接続時のハンドシェイクが高速

・実装が軽量でCPU負荷、バッテリー消費が少ない

WireGuard は、バッテリー消費を抑えつつ、Wi‑Fi やモバイル回線などネットワーク環境が頻繁に変わるモバイル特有の課題に適したプロトコルであると言えます。

■ MDM（Mobile Device Management） との連携

Cloudflare のモバイル運用では、MDMと連携することで 管理・運用の負担を大きく軽減 できます。

例としてMicrosoft Intuneと組み合わせることで、以下のような制御が可能です。

・Cloudflare One Agent の端末への自動インストールおよび削除

・ユーザー操作によるアプリ削除の禁止

・Cloudflare 用ルート証明書の配布

・アプリの自動更新を防止する

これにより、ユーザー操作に依存しない一貫したセキュリティ運用を実現します。

さいごに

本コラムでは、Cloudflare One Agent を活用したモバイル端末のセキュリティについてご紹介しました。

社内に存在するさまざまな端末に対して、共通のルールで安全なアクセスを担保すること は、今後ますます重要になります。

Cloudflare を利用した Zero Trust の導入により、モバイルを含めた安全な業務環境の構築を検討してみてはいかがでしょうか。

執筆者：
三井情報株式会社
ソリューション技術グループ ソリューション第二技術本部　インフラ第一技術部第二技術室

コラム一覧はこちら