Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

新しいWAF体験

Loading...

3年ほど前、"製品やサービスを直感的に使えるようにしたい "という思いから、ダッシュボードナビゲーション内の「  Firewallタブ  」に複数の機能を導入しました。  機能提供の拡大  における過去3年間の我々の努力による、Cloudflare WAF (Webアプリケーションファイアウォール)の直感性を評価する機会を改めて持ちたいと思います。

お客様ファーストの新WAF

セキュリティ環境は急速に変化しており、Webアプリケーションの種類は急速に増加しています。また、業界内でも、WAFが何を含み、何を提供できるかについて、さまざまなアプローチが行われています。Cloudflareは、エンタープライズ・アプリケーションだけでなく、何百万もの個人ブログ、コミュニティサイト、中小企業の店舗もプロキシしています。このような多様なユースケースは、私たちが提供するさまざまな製品で網羅されていますが、現在これらの製品は分散しているため、アクティブな保護ルールの可視性が不明確になっています。このため、WAFの価値を最大限に引き出すために、お客様の期待に応えられるような明確なサービスを提供することが求められます。

数ヶ月前、私たちはお客様に、「WAFとは何だと思いますか」というシンプルな質問をしました。そのために、カードソーティング、ツリーテスト、デザイン評価、アンケートなど、さまざまなユーザー調査の手法を採用しました。その結果、お客様がWAFについてどのように考え、どのような意味を持ち、どのようなユースケースをサポートしているかが明らかになりました。この結果を受けて、製品チームは、単なるWAFを超えた、(Webアプリケーション)セキュリティとは何かを考え、その範囲を広げることにしました。

何百人ものお客様の声をもとに、ユーザーリサーチチームとプロダクトデザインチームが製品管理部門と協力し、セキュリティ体験を見直しました。私たちの思い込みを検証し、デザインコンセプトの有効性を評価して、お客様のメンタルモデルを反映した構造(または情報アーキテクチャ)を作り上げました。

この新構造では、ファイアウォールルール、マネージドルール、レート制限ルールが統合され、WAFの一部となります。新しいWAFは、悪意のあるトラフィックとクリーンなトラフィックの区別に関連するWebアプリケーションセキュリティのワンストップショップとなることを目指しています。

本日より、ナビゲーションが以下のように変更されます:

  1. ファイアウォール セキュリティに名称が変更されます。
  2. セキュリティの下にWAF が表示されます。
  3. ファイアウォールルール、マネージドルール、レート制限ルールが WAF に表示されるようになりました。
今後、 WAF、 と表記する場合は、この3つの構成要素を指すことになります。

さらに、これらの構成要素に対して、いくつかの重要な更新が予定されています。高度なレート制限ルールがセキュリティ・ウィークの一環として発表され、また、すべての顧客が  すべてのトラフィックを目立った脆弱性から保護する一連のマネージドルールを無料で入手することができます 。さらに、今後数ヶ月の間に、ファイアウォールルールは  ルールセットエンジン  に移行し、新しいルールセット API により、より強力な機能が追加される予定です。わくわくしてきましたね?

お客様はWAFの未来をどのように形作ったのか

このユーザー調査には、約500名のお客様が参加され、ニーズや使用状況について知ることができました。調査方法は4つあり、いずれも司会者なしで行われたため、世界中のユーザーが好きな時間に好きな場所からリモートで参加することができました。

  • カードソーティングでは、参加者が自身にとって合理的と思われるカテゴリーにナビゲーション要素をグループ分けしました。
  • ツリーテストでは、提案されたナビゲーション要素について、当社のターゲットオーディエンスにとってのパフォーマンスの良し悪しを評価しました。
  • デザイン評価では、タスクベースのアプローチでデザインコンセプトの有効性と実用性を測定しました。
  • 調査の質問は、結果の詳細を知ると同時に参加者像を描くのに役立ちました。

この4つの柱からなる調査の結果、WAFとセキュリティの両方について、以下のような変更を行いました。

新しいWAF体験

最終的に、WAFは、ボット、DDoS、API Shield、Page Shieldを含む、より広いセキュリティカテゴリの一部であることが明らかになります。この先では、ルール(a.k.aファイアウォールルール)の作成、Cloudflareマネージドルールのデプロイ、レート制限条件の設定などが可能で、Webアプリケーションを保護するための便利なツールも含まれています。

すべてのプランのお客様には、WAF製品が以下のように整理されて表示されるようになりました:

  1. ファイアウォールルールでは、HTTPリクエストのすべての構成要素と、ボットスコアなどCloudflareが計算するダイナミックフィールドを活用したトラフィックをブロックまたは許可することで、カスタムでユーザー定義のロジックを作成することが可能です。
  2. レート制限ルールには、2018年に発売した従来のIPベースの商品と、ENTのお客様向けのアドバンスドプランの新しい高度なレート制限があります(近日発売予定)。
  3. マネージド・ルール により、お客様は、Cloudflareのアナリストチームが管理するルールセットをデプロイすることができます。これらのルールセットには、現在展開中の無料を含む全プラン向け「Cloudflare Free Managed Ruleset」や、全て有料プラン向けのCloudflare Managed、OWASP実装、Exposed Credentials Checkが含まれています。
  4. ツール では、IP Accessルール、Zone Lockdown、User Agent Blockingにアクセスすることができます。まだ活発にサポートされていますが、これらの製品はファイアウォールルールを使用して網羅できる特定のユースケースをカバーしています。しかし、利便性のためにWAFツールボックスの一部であり続けています。

WAFの体験を再構築する

ゲシュタルトデザインの原理は、「近接する要素は、同じような機能や特徴を共有していると認識される」ことを示唆しています。お客様からいただいたご意見に加え、この原則を基にデザインを決定しました。

当社で調査回答を検討した結果、ダッシュボード上でセキュリティ製品をすぐ見つけられるようにすることの重要性と、特定の製品間の関係性と連携の仕組みを明確にする必要性が理解できました。

重要なのは、そのページに次のことが必要だということです:

  • ファイアウォールルール、レート制限ルール、マネージドルールなど、当社がサポートするルールの種類をそれぞれ表示
  • 各種類の使用量を表示
  • お客様に新しいルールを追加し、既存のルールを管理する機能を提供
  • お客様が既存のドラッグ&ドロップの動作でルールの優先順位を変更可能
  • 将来WAF機能の追加や統合を行うのに十分な柔軟性

当社では、縦並び主体のページレイアウト、表ベースのページレイアウト、アコーディオンベースのページレイアウトなど、複数のオプションがあることを繰り返し伝えました。ただし、いずれのオプションでも、ページ上の類似機能のボタンを複製するしかありませんでした。さらなる混乱のリスクがあったため、当社はこれらのオプションを放棄して、横並びのタブレイアウトに変えました。

入手方法は?

本日から、この新デザインのWAFを一般公開します。同時に、Cloudflare WAFの力を最大限に活かす方法を順に解説したドキュメントも更新します。

これからのこと

これは、Cloudflare WAFを強力なだけでなく、お客様のニーズに合わせやすいものにするための私たちの旅の出発点なのです。私たちは、お客様のwebアプリケーションを保護する際の意思決定プロセスを強化するためのアプローチを評価しています。情報量の増加とルール作成の可能性により、脅威の検出(セキュリティ概要など)から、その脅威を軽減するための正しいルールの設定までの道のりを短縮したいと考えています。ご期待ください。

Cloudflareは 企業のネットワーク全体 を保護し、お客様が インターネット規模のアプリケーションを効率的に 構築するためのお手伝いをします。また、すべての Webサイトまたはインターネットアプリケーション を迅速化し、 DDoS攻撃を阻止して、 ハッカーを封じ込めます。 さらに、 Zero Trustを始める、あるいは導入のあらゆるフェーズにいる お客様を支援します。

インターネットを高速化し、安全性を高めるには、ご使用のデバイスから 1.1.1.1 にアクセスすることで、Cloudflareの無料アプリをご利用いただけます。

より良いインターネットの構築を支援するというCloudflareの使命について詳しくは、 こちら をご覧ください。新たなキャリア形成をお考えの方は、 求人情報 にアクセスしてください。

セキュリティウィーク WAF (JP) セキュリティ

Follow on Twitter

Cloudflare |Cloudflare

Related Posts

March 25, 2021 1:01PM

Page Shield:ブラウザ上のユーザーデータを保護する

本日、新たにクライアント側のセキュリティ製品であるPage Shieldをご紹介いたします。この製品は、お客様側で、エンドユーザー側のブラウザで発生した攻撃を検出するためにご利用いただく製品です。...

March 18, 2022 1:00PM

Zero Trustへの架け橋

本日、従来のネットワークアーキテクチャからZero Trustへの移行を支援するパズルのピースをもう一つ発表できることを嬉しく思います。それが、軽量ローミングエージェント( WARP )をインストールしたユーザーデバイスからのトラフィックを、マジックIP層トンネル(エニーキャストGRE 、 IPsec 、またはCNI )に接続された任意のネットワークにルーティングすることができる機能です...

March 16, 2022 12:59PM

Cloudflare APIゲートウェイを発表

本日は、CloudflareAPIゲートウェイを発表します。既存のゲートウェイをわずかな費用で完全に置き換えることができます。また、当社のソリューションでは、Workers、ボット管理、Access、および変換ルールの背後にあるテクノロジーを使用した、市場で最も高度なAPIツールセットを提供します...

March 30, 2021 4:14PM

エンドユーザーセキュリティ:Cloudflareでのアカウント乗っ取り対策

エンドユーザーアカウントのセキュリティは常に最優先事項ですが、解決するのは難しい問題です。さらに厄介なことに、ユーザーの認証は困難です。 認証情報のデータセットの流出が一般的になり、Webをクローリングする高度なボットがクレデンシャルスタッフィング攻撃が仕掛けられる中で、認証エンドポイントの保護や監視をすることは、セキュリティに重点を置いたチームにとって課題となります。これに加えて、多くの認証エンドポイントは依然として正しいユーザー名とパスワードを提供することだけに依存しているため、検出されないクレデンシャルスタッフィングが、悪意のある行為者によるアカウントの乗っ取りにもつながります。...