3年ほど前、"製品やサービスを直感的に使えるようにしたい "という思いから、ダッシュボードナビゲーション内の「 Firewallタブ 」に複数の機能を導入しました。 機能提供の拡大 における過去3年間の我々の努力による、Cloudflare WAF (Webアプリケーションファイアウォール)の直感性を評価する機会を改めて持ちたいと思います。
お客様ファーストの新WAF
セキュリティ環境は急速に変化しており、Webアプリケーションの種類は急速に増加しています。また、業界内でも、WAFが何を含み、何を提供できるかについて、さまざまなアプローチが行われています。Cloudflareは、エンタープライズ・アプリケーションだけでなく、何百万もの個人ブログ、コミュニティサイト、中小企業の店舗もプロキシしています。このような多様なユースケースは、私たちが提供するさまざまな製品で網羅されていますが、現在これらの製品は分散しているため、アクティブな保護ルールの可視性が不明確になっています。このため、WAFの価値を最大限に引き出すために、お客様の期待に応えられるような明確なサービスを提供することが求められます。
数ヶ月前、私たちはお客様に、「WAFとは何だと思いますか」というシンプルな質問をしました。そのために、カードソーティング、ツリーテスト、デザイン評価、アンケートなど、さまざまなユーザー調査の手法を採用しました。その結果、お客様がWAFについてどのように考え、どのような意味を持ち、どのようなユースケースをサポートしているかが明らかになりました。この結果を受けて、製品チームは、単なるWAFを超えた、(Webアプリケーション)セキュリティとは何かを考え、その範囲を広げることにしました。
何百人ものお客様の声をもとに、ユーザーリサーチチームとプロダクトデザインチームが製品管理部門と協力し、セキュリティ体験を見直しました。私たちの思い込みを検証し、デザインコンセプトの有効性を評価して、お客様のメンタルモデルを反映した構造(または情報アーキテクチャ)を作り上げました。
この新構造では、ファイアウォールルール、マネージドルール、レート制限ルールが統合され、WAFの一部となります。新しいWAFは、悪意のあるトラフィックとクリーンなトラフィックの区別に関連するWebアプリケーションセキュリティのワンストップショップとなることを目指しています。
本日より、ナビゲーションが以下のように変更されます:
- ファイアウォール は セキュリティに名称が変更されます。
- セキュリティの下にWAF が表示されます。
- ファイアウォールルール、マネージドルール、レート制限ルールが WAF に表示されるようになりました。
今後、 WAF、 と表記する場合は、この3つの構成要素を指すことになります。
さらに、これらの構成要素に対して、いくつかの重要な更新が予定されています。高度なレート制限ルールがセキュリティ・ウィークの一環として発表され、また、すべての顧客が すべてのトラフィックを目立った脆弱性から保護する一連のマネージドルールを無料で入手することができます 。さらに、今後数ヶ月の間に、ファイアウォールルールは ルールセットエンジン に移行し、新しいルールセット API により、より強力な機能が追加される予定です。わくわくしてきましたね?
お客様はWAFの未来をどのように形作ったのか
このユーザー調査には、約500名のお客様が参加され、ニーズや使用状況について知ることができました。調査方法は4つあり、いずれも司会者なしで行われたため、世界中のユーザーが好きな時間に好きな場所からリモートで参加することができました。
- カードソーティングでは、参加者が自身にとって合理的と思われるカテゴリーにナビゲーション要素をグループ分けしました。
- ツリーテストでは、提案されたナビゲーション要素について、当社のターゲットオーディエンスにとってのパフォーマンスの良し悪しを評価しました。
- デザイン評価では、タスクベースのアプローチでデザインコンセプトの有効性と実用性を測定しました。
- 調査の質問は、結果の詳細を知ると同時に参加者像を描くのに役立ちました。
この4つの柱からなる調査の結果、WAFとセキュリティの両方について、以下のような変更を行いました。
新しいWAF体験
最終的に、WAFは、ボット、DDoS、API Shield、Page Shieldを含む、より広いセキュリティカテゴリの一部であることが明らかになります。この先では、ルール(a.k.aファイアウォールルール)の作成、Cloudflareマネージドルールのデプロイ、レート制限条件の設定などが可能で、Webアプリケーションを保護するための便利なツールも含まれています。
すべてのプランのお客様には、WAF製品が以下のように整理されて表示されるようになりました:
- ファイアウォールルールでは、HTTPリクエストのすべての構成要素と、ボットスコアなどCloudflareが計算するダイナミックフィールドを活用したトラフィックをブロックまたは許可することで、カスタムでユーザー定義のロジックを作成することが可能です。
- レート制限ルールには、2018年に発売した従来のIPベースの商品と、ENTのお客様向けのアドバンスドプランの新しい高度なレート制限があります(近日発売予定)。
- マネージド・ルール により、お客様は、Cloudflareのアナリストチームが管理するルールセットをデプロイすることができます。これらのルールセットには、現在展開中の無料を含む全プラン向け「Cloudflare Free Managed Ruleset」や、全て有料プラン向けのCloudflare Managed、OWASP実装、Exposed Credentials Checkが含まれています。
- ツール では、IP Accessルール、Zone Lockdown、User Agent Blockingにアクセスすることができます。まだ活発にサポートされていますが、これらの製品はファイアウォールルールを使用して網羅できる特定のユースケースをカバーしています。しかし、利便性のためにWAFツールボックスの一部であり続けています。
WAFの体験を再構築する
ゲシュタルトデザインの原理は、「近接する要素は、同じような機能や特徴を共有していると認識される」ことを示唆しています。お客様からいただいたご意見に加え、この原則を基にデザインを決定しました。
当社で調査回答を検討した結果、ダッシュボード上でセキュリティ製品をすぐ見つけられるようにすることの重要性と、特定の製品間の関係性と連携の仕組みを明確にする必要性が理解できました。
重要なのは、そのページに次のことが必要だということです:
- ファイアウォールルール、レート制限ルール、マネージドルールなど、当社がサポートするルールの種類をそれぞれ表示
- 各種類の使用量を表示
- お客様に新しいルールを追加し、既存のルールを管理する機能を提供
- お客様が既存のドラッグ&ドロップの動作でルールの優先順位を変更可能
- 将来WAF機能の追加や統合を行うのに十分な柔軟性
当社では、縦並び主体のページレイアウト、表ベースのページレイアウト、アコーディオンベースのページレイアウトなど、複数のオプションがあることを繰り返し伝えました。ただし、いずれのオプションでも、ページ上の類似機能のボタンを複製するしかありませんでした。さらなる混乱のリスクがあったため、当社はこれらのオプションを放棄して、横並びのタブレイアウトに変えました。
入手方法は?
本日から、この新デザインのWAFを一般公開します。同時に、Cloudflare WAFの力を最大限に活かす方法を順に解説したドキュメントも更新します。
これからのこと
これは、Cloudflare WAFを強力なだけでなく、お客様のニーズに合わせやすいものにするための私たちの旅の出発点なのです。私たちは、お客様のwebアプリケーションを保護する際の意思決定プロセスを強化するためのアプローチを評価しています。情報量の増加とルール作成の可能性により、脅威の検出(セキュリティ概要など)から、その脅威を軽減するための正しいルールの設定までの道のりを短縮したいと考えています。ご期待ください。