1개의 제품으로 VPN과 DNS의 2개에 대응해, SSO도 할 수 있는 Cloudflare Zero Trust를 채용 공공 LAN으로부터의 액세스에 있어서, 정보 시스템부가 필요하다고 생각한 보안의 포인트는 2점입니다. 첫 번째는 통신이 도청되지 않도록 VPN을 통해 통신 경로를 암호화하는 것입니다. 두 번째는 DNS 정보를 변조하는 DNS 캐시 포이즈닝과 같은 공격으로부터 통신을 보호하는 것입니다. 따라서 2가지 요구사항에 대응하는 보안 솔루션을 조사한 결과, 최종적으로 채용에 이르렀던 것이 Cloudflare Zero Trust였습니다. Cloudflare Zero Trust는 CDN 분야에서 최고 수준의 점유율을 가진 Cloudflare가 제공하는 제로 트러스트 서비스입니다. 전세계에 전개되고 있는 Cloudflare사의 CDN용의 설비를 활용해, VPN이나 ​​인증등의 서비스를 제공하고 있습니다. Cloudflare Zero Trust는 사용자 인증 기능을 제공하는 'Cloudflare Access'와 콘텐츠 필터링 등의 게이트웨이 기능을 제공하는 'Cloudflare Gateway', VPN 서비스의 'Cloudflare WARP'로 구성되어 Cloudflare WARP를 켜면 이용 단말기 와의 사이가 VPN으로 연결되어 DNS를 보호한 다음 모든 통신이 Cloudflare 플랫폼에서 Cloudflare Gateway를 통해 인터넷으로 나갑니다. Cloudflare Gateway는 웹 필터링 기능도 제공하므로 회사 측에서 규칙을 설정하여 금지하려는 사이트에 대한 액세스를 차단할 수 있습니다. Cloudflare가 보유한 블랙리스트를 기반으로 위험한 사이트 액세스를 차단하는 기능도 있습니다. 또한 Cloudflare Access는 Azure AD와도 연동할 수 있으며 Azure AD 계정으로 싱글 사인온(SSO)할 수 있습니다. 2018년 8월에 검토를 시작한 당초, 정보 시스템부가 생각하고 있던 것은, 기존의 프록시 서버와 Cloudflare사의 터널링 서비스(Argo Tunnel)를 조합하는 것으로, 전세계 어디에서라도 사내 프록시를 이용 가능하게 하는 것이 었습니다. 그러나, 당시는 기존의 프록시에 대응하고 있지 않았던 것으로부터 단념. 그 후, 단말을 방어하는 Cloudflare Zero Trust의 존재를 알고, 2021년 9월에 검증을 실시해, 2주간 정도로 간단하게 도입할 수 있는 것을 확인해 채용에 이르렀습니다. "채용의 가장 큰 이유는 Cloudflare WARP 애플리케이션을 사용하여 버튼 하나로 VPN을 켜고 DNS를 안전한 서버로 전환하는 것이 었습니다. 하지만, 당시의 자사의 환경에는 매치하고 있지 않았습니다.기존의 VPN을 상시 온으로 해, 모든 통신을 프록시 서버로 보호하는 것도 시도했지만, 온라인 회의의 접속이 불안정해지는 등 반대로 Cloudflare Zero Trust는 Cloudflare WARP가 항상 켜져 있어도 온라인 회의가 안정적이었습니다. 에 의한 SSO도 할 수 있는 Cloudflare Zero Trust를 채용했습니다”(식목) 이용시는 Cloudflare WARP를 「온」으로 ​​할 뿐, 정시스의 부담도 거의 제로 도입은 2021년 10월 일부 영업직 직원을 대상으로 기능 검증을 실시. 그 후, 2022년 2월에 사내 각부의 ISMS(정보 보안 매니지먼트 시스템) 담당자 약 10명을 대상으로 업무 영향 테스트를 실시해, 거기에서의 평가 결과를 받아 2022년 5월의 장기 연휴 후에 MDM 툴을 모든 직원에게 Cloudflare WARP 애플리케이션을 배포했습니다. 직원은 PC의 작업 트레이에 표시되는 Cloudflare WARP의 아이콘을 클릭하여 "켜기"로 설정하면 설정이 종료. 처음에만 Azure AD와의 연동만으로도 사용할 수 있습니다. 「대부분의 사원은 1분 이내에 설정이 되어 있을 것입니다. 도입・이용 순서서도 준비는 했지만, 결과적으로는 사용하지 않고 도입은 끝났습니다」(식목) 클래스 메소드에서는 현재, 2021 해에 선행 도입한 해외 오피스(베를린/밴쿠버/뉴델리/방콕/서울/호치민)를 포함해 거의 전 직원에 해당하는 약 550명이 Cloudflare Zero Trust를 이용하고 있습니다. PC는 Mac과 Windows의 2개의 OS를 대상으로 하고 있습니다만, 스마트폰에 대해서는 어플리케이션의 문제로 현시점에서는 대상외로 하고 있습니다. "기본적으로는 카페나 코워킹 스페이스 등에서 PC를 이용할 때는 Cloudflare WARP를 켜서 사용하는 규칙입니다. 단, 집에서 켜져 있어도 통신에 영향을 미치지 않으므로 강제로 없는 것의 상시 온으로 하는 것을 추천하고 있습니다.도입 후에는 사원으로부터 불만의 소리가 들리는 일도 없고, 정보 시스템부에 전해지는 문의도 거의 제로로, 정보 시스템부에 있어서도 고마운 서비스입니다」(식목 ) Cloudflare Zero Trust의 도입은 외부의 공공 LAN에서 사용할 수 있을 뿐만 아니라 보안 강화에도 기여했습니다. 현재 1주일에 3,700만 요청을 처리하는 중 4,000건을 위험한 사이트로 차단하고 있습니다. 이는 위험한 사이트에 대한 직접 액세스 차단뿐만 아니라 보안 사이트에 광고나 비콘 등의 형태로 숨어 백그라운드에서 무단 액세스를 도모하는 움직임에 대한 방지도 포함합니다. 또, 사내의 텔레워크 환경의 정비도 일원적이 되어, 정보 시스템부가 개별 대응하는 것이 없어졌습니다. 영업직에 지급하고 있는 모바일 Wi-Fi 라우터의 대출수도 줄어들 것으로 예상하고 있어, 비용의 저감이 기대되고 있습니다. 전사의 VPN 환경의 단일화나 스마트폰으로의 이용 확대를 검토 앞으로는 Cloudflare Zero Trust에 의한 전사의 VPN 환경의 일체화나 스마트폰으로의 이용 확대를 검토해 나갈 예정입니다. 또한 탈 PPAP (비밀번호가있는 zip 파일 해소) 및 맬웨어 방지를 위해 Cloudflare 사의 메일 보안 서비스의 검증도 진행하고 있습니다. “Cloudflare Zero Trust는 텔레워크가 많은 기업, PC를 가지고 다니며 사외에서 이용할 기회가 많은 기업에게 추천하는 서비스입니다. 2021년에 한국에 신사무소를 출시할 때 Cloudflare Zero Trust를 이용하여 조기에 네트워크 환경을 준비할 수 있습니다. "(식목) 클래스 메소드는, Cloudflare사의 얼라이언스 파트너로서, 동사의 각종 솔루션의 제공과 기술 지원도 실시하고 있으므로, 흥미가 있는 분은 상담해 주세요.