2026-03-04 — 著者: Ankur Aggarwal、Alex Holland
この数分で読めます(約4分)
概要
理想的には、すべてのデバイスにCloudflare One Clientのような管理クライアントがインストールされ、深い可視性とシームレスな保護を提供します。しかし現実には、買収した企業の端末、仮想デスクトップ、またはエンドポイントにソフトウェアをインストールできない規制上の制約など、クライアントを配置できない状況がしばしば発生します。そうした管理できないデバイスからのトラフィックも保護するには、認証の課題をデバイスからネットワーク側へ移す必要があります。
ブラウザのネイティブなプロキシ機能と当社のグローバルネットワークを組み合わせることで、インターネットに接続できる任意のデバイス上でユーザを検証し、細かいポリシーを適用できます。これを実現するために、Gateway Authorization ProxyとProxy Auto-Configuration (PAC) File Hostingを構築し、未管理デバイスのCloudflare接続を自動化・簡素化しました。
問題点:IPアドレス(ナンバープレート)だけでは不十分なことがある
2022年にリリースしたプロキシエンドポイントは、トラフィックをCloudflare経由にルーティングしてフィルタリングを適用できるようにしましたが、「アイデンティティの危機」を抱えていました。あの仕組みは静的なIPアドレスでユーザを識別していたため、車(IPアドレス)しか見ない警備員のようなものでした。車が来れば入れるが、運転手が車を変えたり別の場所から働いたりすると判別できない――という問題です。
主な問題点:
- 匿名ログ: IPアドレスはわかるが、誰がアクセスしているかはわからない。
- 脆弱なポリシー: ユーザが引っ越したりオフィスを変えたりすると、エンドポイントが壊れたり更新が必要になったりする。
- 手作業のメンテナンス: プロキシを指示するPACファイル(ブラウザにプロキシを教える"GPS")を自身でホストする必要があり、運用負担が増える。
解決策:Authorization Proxy(認証付きプロキシ)
Gateway Authorization Proxyは入口に“バッジリーダー”を追加します。トラフィックの発生元だけを見るのではなく、Cloudflare Accessスタイルのログインでユーザを確認してからGatewayフィルタリングを適用します。これはナンバープレートベースの来客名簿から、個々人がバッジを持つ仕組みへ移行するようなものです。
主な利点:
- 真のアイデンティティ統合: プロキシエンドポイントに関するログが、どのユーザがどのサイトにアクセスしたかを正確に示します。Cloudflare One Clientを端末に入れていなくても、例えば「Financeチームだけがこの会計ツールにアクセスできる」といった具体的なルールを作成できます。
- 複数のIDプロバイダ対応: 大企業やM&Aのシナリオで強力です。どのIDプロバイダをユーザに提示するか選べ、OktaやAzure ADなど複数のログイン方法を同時に表示できます。競合他社が提供していない柔軟性です。
- 簡素化された課金: 各ユーザはCloudflare One Clientと同様に「シート」を消費します。追跡すべき複雑な新しい指標はありません。
これを実現するために、デバイスクライアントなしで各リクエストにユーザのアイデンティティを紐付けるという技術的な壁を克服しました。以下で仕組みを説明します。
Authorization Proxyがアイデンティティを追跡する仕組み
Authorization Proxyは署名付きのJWTクッキーを用いてアイデンティティを維持します。ただし注意点があります: プロキシ経由で新しいドメインに初めてアクセスした時点では、まだそのドメイン用のクッキーが存在しません。これは、建物ごとにバッジを見せるようなものです。
フローの要点:
- 初回アクセス(新しいドメイン):
- Gateway Authorization Proxyはドメイン固有のアイデンティティクッキーがあるか確認します。なければCloudflare Accessへリダイレクトします。
- Cloudflare Accessは既存のCloudflare Access用アイデンティティクッキーを確認します。既に認証済みであれば、そのドメイン専用の安全なトークン(JWTクッキー)を生成します。認証されていなければ、IDプロバイダ(OktaやAzure ADなど)でのログインへリダイレクトします。
- ユーザからはほとんど見えない:
- この処理はCloudflareのグローバルエッジネットワーク上でミリ秒単位で行われるため、リダイレクトは極めて高速で、ユーザはページが通常通り表示されると感じます。
- 再訪問は即時:
- クッキーが設定されると、そのドメイン(およびサブドメイン)への以降のリクエストは即時に認可されます。以後リダイレクトは不要です。
この方式により、ソフトウェアを端末にインストールすることなく、ユーザ単位でトラフィックのログ取得・フィルタリングが可能になり、必要に応じて即座にアクセスを取り消せます。
自前でPACファイルをホストする必要はなくなる
セットアップの"宿題"も減らしました。PACファイルはCloudflare上で直接ホストできるようになり、Proxy Auto-Configuration (PAC) File Hostingを提供します。スターターテンプレートを用意しているため、数分で導入を始められます。さらに、AIアシスタントのCloudyを統合し、コードを読み切らなくてもPACファイルが何をしているかを要約してくれます。
どんなチームに向いているか
Cloudflare One Clientを導入することでより高い制御と最良のユーザ体験が得られることは推奨しますが、Authorization Proxyは以下のような特定のシナリオに最適です:
- Virtual desktops (VDI): ユーザが仮想マシンにログインし、ブラウザからインターネットにアクセスする環境。
- Mergers and acquisitions: 異なる2社を迅速に一つのセキュリティドメインに統合する必要がある場合。
- Compliance constraints: 法的・技術的にエンドポイントへソフトウェアをインストールできない場合。
今後の展望
これはCloudflare Oneへのクライアントレスなセキュリティオプションを拡張するもので、Authorization Endpointsに関連するサポートする認証方式の拡張に取り組んでいます。Kerberos、mTLS、従来のusername/password認証などを順次追加し、認証方法の柔軟性を高める予定です。
Gateway Authorization ProxyとPAC File Hostingは、すべてのアカウントタイプでオープンベータとして本日利用可能です。Cloudflareダッシュボードの「Resolvers and Proxies」セクションから開始できます。
Cloudflareのconnectivity cloudは企業ネットワーク全体を保護し、インターネット規模のアプリケーション構築を効率化し、Webサイトやインターネットアプリケーションを加速し、DDoS攻撃を防ぎ、ハッカーを排除し、Zero Trustへの道を支援します。任意のデバイスから1.1.1.1にアクセスして、インターネットをより速く安全にする無料アプリを始めてください。
当社のミッションや採用情報に関心がある場合は、それぞれのページをご覧ください。