クラウドフレア導入支援サービス

ウェブサイトのセキュリティとパフォーマンスを最適化。クラウドフレアを専門的に設定し、攻撃から保護しながらサイト速度を向上。一貫したサポートで、安全かつ高速なウェブ体験を提供します。

なぜクラウドフレアなのか？

クラウドフレアは、DDoS攻撃やサイバー攻撃からの防御を提供しつつ、ウェブサイトの読み込み速度を最適化する世界トップクラスのインフラサービスです。私たちは、これまでのフィッシングテイクダウンやセキュリティ対策の成功実績を元に、最適なクラウドフレア導入支援を行います。

クラウドフレアは「外壁」、ウェブサイトは「城」、サイバー攻防は「攻城戦」

クラウドフレアという「万里の長城」を導入しましょう

私たちの強み

1 豊富なフィッシング対策の実績

私たちは、大規模なフィッシングサイトのテイクダウンに成功しており、その経験を基に、サイバー攻撃に対する高い防御力を誇るクラウドフレアの運用サポートを行います。セキュリティに関する豊富なノウハウを活かし、どんな規模のウェブサイトでも安全な運用を実現します。
2 24のメディアに掲載された信頼

フィッシングサイトの再発防止策の新アプローチである「善良なスクワッティング戦略」を発案提唱実行し、この実績が認められ、24の著名なメディアでご紹介頂きました。この信頼をもとに、安心してお任せいただけるサービスを提供しています。

導入メリット

                    
                        security
                    
                    DDoS攻撃防御
                
クラウドフレアのネットワークは、DDoS攻撃からウェブサイトを守ります。

                        flash_on
                    
                    ウェブサイトの高速化
                
CDN（コンテンツデリバリーネットワーク）により、世界中のどこからでも高速なアクセスを提供。

                        lock
                    
                    SSL対応で安全な通信
                
セキュアな通信を実現し、SEOにも有利。

                        trending_down
                    
                    サーバー負荷の軽減
                
トラフィックの負荷を軽減し、パフォーマンスを最大化。

                        phishing
                    
                    フィッシング対策

クラウドフレア導入支援サービス内容

1 クラウドフレア導入コンサルティング

最適なプランの選定から導入手続きまで、クラウドフレアを最大限に活用するためのコンサルティングを提供します。セキュリティニーズやパフォーマンス要件をヒアリングし、カスタマイズした導入プランを提案します。過去のインシデントに基づいたカスタムルールの策定も行います。
2 セットアップと設定サポート

クラウドフレア導入の際には、DNSの設定やSSL証明書の発行、最適なキャッシュポリシーの設定など、複雑な作業をすべてサポートします。専門的な知識が不要で、安心して導入を進められます。
3 継続的なパフォーマンスモニタリング

導入後のパフォーマンス向上を確認し、トラフィック分析や攻撃の兆候をリアルタイムでモニタリング。常に最適な状態を保つためのサポートを継続します。
4 セキュリティ強化オプション

フィッシングサイトやDDoS攻撃への対応が可能な、より強固なセキュリティ対策を提案します。WAF（Web Application Firewall）の設定やセキュリティレベルの最適化、ボット対策からカスタムルールの策定もサポートします。
5 パフォーマンス最適化とキャッシュ設定

ウェブサイトの表示速度を最適化するためのキャッシュポリシー設定や、CDNを最大限に活用したパフォーマンスチューニングを実施。アクセス解析を基に、サイトの改善提案を行います。

サービスのアピールポイント

フィッシング対策にはクラウドフレアが有効です

フィッシングサイト対策＝スクレイピング対策＝クラウドフレア（WAF）

資本金数十億円の国内金融機関をターゲットとしたフィッシングサイトテイクダウン事案、においても、クライアント企業の正規サイトをコピーした「コピーサイト」が作られ、それを踏み台として、フィッシングサイトへの誘導が行われました。このコピーサイトは、外見から内容まで、正規サイトを完全にコピーしたもので、スクレイピングを行い正規サイトからデータが集められたと思われます。クラウドフレアなどのBot対策機構を持つサービスを導入することにより、正規サイトへのスクレイピングやBotをブロックすることができるため、正規サイトのデータをコピーを目的として取得されることを防ぐことができ、それが結果として、コピーサイトを踏み台とするタイプの「フィッシングサイト構成」を作られることを防ぐことに繋がります。つまり、フィッシングサイト対策として、クラウドフレア導入は、予防措置として有効です。

クラウドフレアWAFで不正サイトを作らせない体制に

このケースでは、正規サイトは数千ページ近くになる大規模サイトでした。にも関わらず、コピーサイトは大半のページを完璧にコピーしており、これは、大規模なスクレイピングが行われたことを暗示しています。何故なら、この規模のサイトのデータを取得する場合、人力では不可能であり、ボットによるスクレイピングがなければ事実上不可能だからです。

よって、クラウドフレアなどのスクレイピング対策システムを導入しておけば、コピーサイトとしてブランドが踏み台として利用される事態は防ぐことができたわけで、言い換えると、スクレイピングが容易に行える状態になっていることは、コピーされ踏み台として利用されるリスクが常に高レベルで存在する、ということを示しているということです。

手軽に試せるWAF導入として有効

WAFは必須

WAF（Webアプリケーションファイアウォール）は現代のウェブサイトセキュリティにおいて欠かせません。DDOS攻撃、クロスサイトスクリプティング攻撃を始めとするクライアントサイド脆弱性を悪用した攻撃、既知の悪意ある攻撃方法、など、サイバー攻撃の「定石」を事前に設定されたルールによりブロックすることができ、サイバー攻撃の成功率を大幅に下げることができます。

しかし過検知が運用上の問題

WAFはオープンソースで使えるものも多く、代表的なものはModsecurityなどです。もちろんこれらでWAFとしての機能は十分に高度で効果的ですが、誤検知や過検知などの問題がWAFにはつきまとうため、導入後の継続監視と着脱の容易さ、が保守の観点から不可欠です。Modsecurity等の場合、着脱の容易さという点で、専門知識が必要になるため、相応のリソースが不可欠になり、これが導入のハードルとなる可能性が高いです。独自開発のアプリケーションや繊細な入出力を伴うミッションクリティカルなアプリケーションの場合、過検知リスクは重大問題となり、場合によっては、事業基盤を影響を与えるような要因です。

「着脱容易さ」からクラウドフレアWAFが最適解

よって、WAFは「導入が手軽で、いつでも着脱が容易にできること」が運用上の必要条件と言えます。クラウドフレアのWAFの場合、着脱が容易であり、GUIでオンオフを切り替えるだけなので、過検知が発生した場合でもすぐに外すことができます。これが、繊細なアプリケーションに導入する際のハードルを大きく下げます。現実問題として、過検知や誤検知は運用上あってはならないことであり、これを最小限にとどめつつつ、過検知が発生してもすぐに「離脱」できるような、リスク管理の行き届いたレベルのWAFサービスが、ビジネスに組み込むには必要です。クラウドフレアのWAFは、この条件を満たしたものであると当社は考えます。

フィッシング業者もクラウドフレアを使用することが多い。

敵と同じレベルで戦うには、同じツールが必要。

サイバー犯罪者の多くがプロキシとしてクラウドフレアを利用しており、攻撃者にとって、ウェブサイトがクラウドフレアを導入しているかどうかは、セキュリティリテラシーが一目瞭然になるポイントになっている、という過酷な現実があります。クラウドフレアの導入により、抑止力の強化が達成できると言えます。

自社サイトの脆弱性が修復できなくても、プロキシレベルでカバーすればOK、という戦略が取れるように

OWASP TOP10対応のマネージドルールセットで、脆弱性を「外壁」からカバー

OWASP TOP10で挙げられているような代表的な脆弱性が自社サイトやアプリケーションに見つかったとして、それが修復できない、という事態は現実問題としてあります。しかし、結果としてこれをカバーする方法として、クラウドフレアのマネージドルールセットによる「プロキシレベルでの」脆弱性のカバー、があります。

攻撃者の視点からみた時、突破しなければならないハードルの高さは、最も高い壁の高さですが、これは自社サイトである必要はなく、プロキシでもいいわけです。つまり、プロキシレベルで主要な脆弱性を狙った攻撃を弾くことで、サーバーレベルでそれら脆弱性が残存していても、事実上の「最も高い壁」はOWASP TOP10マネージドルールセットが起動しているクラウドフレア（プロキシ）のセキュリティ機構になるので、自社サイト（サーバー）のレイヤーで同じ水準が達成できなくても、実質的に高いセキュリティ水準を「外壁」レベルで得られればいい、という方法で達成ができます。つまりクラウドフレアを導入することで、自社サイト（城）の外側に新たなセキュリティレイヤー（外壁）を追加し、そこで攻撃を弾くことで、OWASP TOP10レベルのセキュリティを自社インフラ全体で「結果的に」達成する、という戦略が可能になります。

クラウドフレア導入前後の効果を、セキュリティスコアで見える化

Qualysなどの脆弱性スコアを元に、導入前後でセキュリティスコアの変化を可視化し、導入の効果を見える化します。

スコアはセキュリティDXの証拠として使えます。

OSINT調査サービスの結果を元に、「潜在的脅威」を監視下に

弊社OSINT調査サービスを同時にお申し込み頂ければ、調査結果の「潜在的脅威」を、クラウドフレアの監視ルール、という形に具体化し、適切な予防を行う監視体制を「自動化」して確立することができます。言うなれば、「哨戒」がクラウドフレア上で常時巡回し、予防的対応が取れる状態を確立できます。

OSINT調査サービス詳細はこちら

脆弱性診断の結果を、クラウドフレアの設定に反映可能

ウェブサイト脆弱性診断サービス、を同時にお申し込み頂ければ、診断にて判明した脆弱性を、クラウドフレアのレベルでカバーできるような設定を提案実装させていただきます。これにより、実際の脆弱性の状態に基づき、クラウドフレア設定（外壁の高さ)を適切に調整することができ、セキュリティを多層的に強化できます。

ウェブサイト脆弱性診断サービスについてはこちら

クラウドフレア導入率＝フィッシング脆弱性

米国上場企業のクラウドフレア導入率：30％ : Fortune 1000企業の~30%がCloudflareを利用

日本上場企業のクラウドフレア導入率：1.7％：大幅に低く、特にフィッシングサイトに対する対策が不十分であることを含意。フィッシングパイプラインの「踏み台」として正規サイトがコピーされるリスクが極めて高い状態であることを明示しています。

導入の流れ

            1
            
            初回ヒアリングと無料コンサルティング
            
お客様の現状や目指す成果をヒアリングし、最適なプランを提案いたします。無料相談もお気軽にどうぞ。

            2
            
            NDAとサービス契約の締結
            
            3
            
            クラウドフレアのセットアップ
            
DNS設定、SSL証明書の設定、WAFの構築など、必要なすべての手続きを当社がサポートします。

            4
            
            導入後のサポート
            
導入後も、継続的なモニタリングとパフォーマンス向上のための調整を行います。新たなサイバー脅威にも迅速に対応します。

用意して頂くもの

以下はご用意頂くとスムーズに進めることができます。

導入予定のドメインのリスト
サーバー構成情報
Wordpressプラグインの一覧（Wordpressの場合のみ）
Nginxの設定内容
DNS情報

FAQ - クラウドフレア導入支援サービス

Q1. クラウドフレア導入のメリットは何ですか？
クラウドフレアを導入することで、以下のような効果が期待できます：
- セキュリティ強化：DDoS攻撃やフィッシング対策、WAF（Webアプリケーションファイアウォール）による防御。
- ウェブサイトの高速化：CDN（コンテンツデリバリーネットワーク）を活用し、世界中で高速なページロードを実現。
- サーバー負荷の軽減：トラフィックを最適化し、パフォーマンスを向上。
- SEO効果：SSL対応による安全な通信と高速なサイト速度で、検索エンジンの評価が向上。
Q2. クラウドフレアの導入はどのように進められますか？
当社では、以下のステップで導入をサポートします：
1. 無料相談：お客様の要望をヒアリングし、最適なプランを提案。
2. 契約の締結：NDAおよびサービス契約を取り交わします。
3. セットアップと設定：DNS設定、SSL証明書の発行、WAFの構築を行います。
4. 導入後サポート：モニタリングと調整を継続的に行い、最新のサイバー脅威にも対応します。
Q3. クラウドフレアの導入に技術的な知識は必要ですか？

いいえ、必要ありません。当社がDNS設定やSSL証明書の設定、キャッシュポリシーの調整など、技術的な作業を全て代行します。専門知識がなくても安心して導入いただけます。
Q4. クラウドフレア導入後、具体的にどのようなサポートを受けられますか？
導入後も以下のサポートを提供します：
- パフォーマンスモニタリング：トラフィックやサイト速度の分析。
- セキュリティ対策：新たな攻撃兆候の検知と対応。
- キャッシュとCDN最適化：継続的なパフォーマンス向上を実現。
Q5. フィッシングサイト対策としてクラウドフレアはどのように効果的ですか？

クラウドフレアのWAFやボット管理機能により、正規サイトへのスクレイピングや不正アクセスを防ぎます。これにより、コピーサイトを利用したフィッシング攻撃の抑止力を強化できます。また、マネージドルールセットを活用することで、OWASP TOP10の主要な脆弱性にも対応可能です。
Q6. 他社との違いは何ですか？
当社は以下の点で他社に差別化されています：
- 実績の豊富さ：フィッシングサイトのテイクダウンやセキュリティ対策で成功事例多数。
- 継続的サポート：単なる導入支援ではなく、導入後の最適化と保守を一貫してサポート。
Q7. WAF（Webアプリケーションファイアウォール）の運用で注意すべき点はありますか？

WAF運用では、過検知や誤検知が課題となる場合があります。当社はクラウドフレアの柔軟なGUIを活用し、過検知が発生しても迅速に調整可能な体制を整えています。これにより、ビジネスへの影響を最小限に抑えます。
Q8. 脆弱性診断やOSINT調査も依頼できますか？

はい、当社ではウェブサイトの脆弱性診断やOSINT調査サービスも提供しています。診断結果や調査結果を基に、クラウドフレアの設定を最適化し、より高いセキュリティレベルを実現します。
Q9. クラウドフレア導入の費用感はどのようになりますか？

費用はウェブサイトの規模や必要な機能により異なります。初回ヒアリングで詳細な見積もりを提示いたしますので、お気軽にお問い合わせください。
Q10. クラウドフレアの導入効果をどのように確認できますか？

当社では、Qualysなどの脆弱性スコアを用いて、クラウドフレア導入前後のセキュリティスコアを可視化します。これにより、導入効果を具体的な数値で確認可能です。