営業ナレッジ アクセス管理🔗
営業ナレッジサイト(sales.denba.co.jp 想定)へのアクセス制御の運用ルール。
方針🔗
🛡️ ドメイン許可+例外ブロック方式
- 原則:
@denba.co.jpメールアドレスのみアクセス可 - 例外:問題発生時は特定メールアドレスをBlock Listに登録
- 緊急時:Cloudflare Access の Revoke Session で即時強制ログアウト
- 将来:Microsoft Entra ID SSO への移行を予定(運用安定後)
仕組み🔗
[ユーザーがサイトにアクセス]
↓
[Cloudflare Access ログイン画面]
メールアドレス入力
↓
[ポリシー判定]
① Block List に該当? ─Yes→ 拒否
② @denba.co.jp で終わる? ─Yes→ 認証コード送信
③ それ以外 ─→ 拒否
↓
[メールに6桁コードが届く]
↓
[コード入力で認証成功]
↓
[営業ナレッジサイト表示]
運用フロー🔗
✅ 新入社員がアクセスできるようにする🔗
何もしなくてOK。Microsoft 365 で @denba.co.jp メールアドレスが発行された時点で、自動的にアクセス可能。
🚫 退職者・異動者のアクセスを止める🔗
推奨:Microsoft 365 アカウント無効化🔗
- 情シスが Microsoft 365 で対象者のアカウントを無効化
- → メール受信不可になるため、Cloudflare Access のメール認証コードが届かなくなる
- → 自動的にアクセス不可
追加対応:Cloudflare Block List に登録(情報漏洩リスク時)🔗
- Cloudflare Zero Trust dashboard にログイン
- 「Access」→「Applications」→ 営業ナレッジ
- Policy「Block退職者リスト」に対象メールアドレス追加
- Save
⚠️ 緊急時:今すぐ追い出したい🔗
Revoke Session(強制ログアウト): 1. Cloudflare Zero Trust dashboard → 「Logs」→「My Team」 2. 対象ユーザーを検索 3. 「Revoke session」ボタン 4. 同時に Block List 登録も推奨
Cloudflare Access 初期設定(実装済みチェックリスト)🔗
セットアップ担当者は以下を順番に実施。所要時間:1〜2時間
Phase 1:Cloudflare Zero Trust の有効化🔗
- Cloudflare ダッシュボード(既存)から「Zero Trust」を開く
- 初回ならチームドメインを設定(例:
denba)→denba.cloudflareaccess.com - プラン選択:
- 50ユーザー以下なら Free
- 70ユーザー超なら Pay-as-you-go($7/ユーザー/月)
Phase 2:Identity Provider 設定🔗
- 左メニュー「Settings」→「Authentication」
- 「Login methods」で One-time PIN を Add
- Save
Phase 3:Application 作成🔗
- 左メニュー「Access」→「Applications」→「Add an application」
- Type: Self-hosted
- Application Name:
営業ナレッジ - Session Duration:
24時間(または7日) - Application Domain:
- Subdomain:
sales(要確定) - Domain:
denba.co.jp - Path: 空白(サイト全体に被せる)
- Identity providers: One-time PIN にチェック
- Save
Phase 4:Policy 設定(重要)🔗
Policy 1:Allow @denba.co.jp(最下位優先度)🔗
- Policy name:
@denba.co.jp ドメイン許可 - Action: Allow
- Configure rules:
- Selector: Emails ending in
- Value:
@denba.co.jp - Save
Policy 2:Block 退職者リスト(上位優先度・最重要)🔗
- Policy name:
退職者・要ブロック - Action: Block
- Configure rules:
- Selector: Emails
- Value: 個別メールアドレス(初期は空でOK)
- Policy 1 より上位に配置(Block が優先されるように)
- Save
Phase 5:DNS・カスタムドメイン🔗
- Cloudflare Pages プロジェクトで
sales.denba.co.jpをカスタムドメインに追加 - DNS レコードは自動設定される
- Cloudflare Access が自動的に被さる
Phase 6:動作確認🔗
-
https://sales.denba.co.jpにアクセス - ログイン画面が表示される
-
自分のメール@denba.co.jp入力 → 6桁コード受信 → ログイン成功 ✅ -
自分のメール@gmail.com等で試す → Access denied が表示 ✅ - Block List にテスト用
@denba.co.jpメールを追加 → ログイン不可になることを確認 ✅
Block List の運用🔗
管理画面のアクセス🔗
- Cloudflare Zero Trust dashboard → Access → Applications → 営業ナレッジ → Policies → 「退職者・要ブロック」
追加・削除手順🔗
Block 追加: 1. Policy「退職者・要ブロック」を開く 2. Configure rules の Emails リストに対象を追加 3. Save → 即時反映(次回のログイン試行から有効)
Block 解除: 1. 同じ Policy を開く 2. リストから対象を削除 3. Save
Block List 記録(このファイルに記載)🔗
| メールアドレス | ブロック日 | 理由 | 担当者 | 解除予定 |
|---|---|---|---|---|
| (該当なし) |
⚠️ 記録は機密扱い。退職理由や個人情報を詳細に書かない。「退職」「異動」「漏洩懸念」程度に留める。
監査・ログ確認🔗
アクセスログ🔗
- Zero Trust dashboard → 「Logs」→「Access」
- 「いつ誰がどのページにアクセスしたか」が記録
- 不審なアクセスパターンは月次でチェック
主要監査項目🔗
- 🔍 同一IPから複数アカウントでログイン → 共用アカウントの懸念
- 🔍 深夜・休日の頻繁なアクセス → 漏洩可能性
- 🔍 退職者のメールアドレスからの認証試行 → Block List 漏れ
- 🔍 短時間に大量のページアクセス → スクレイピング懸念
コスト管理🔗
現在の想定コスト🔗
| 項目 | 月額 |
|---|---|
| Cloudflare Zero Trust(70ユーザー) | $7 × 70 = 約 ¥73,000 |
| Cloudflare Pages(営業ナレッジホスティング) | $0(Free) |
| 合計 | 約 ¥73,000/月 |
コスト最適化案🔗
- 50人以下に絞れる場合は Free プランで運用(営業企画+管理職限定など)
- 年契約で割引交渉
- Microsoft Entra ID SSO 移行で他のSaaSと統合し、サブスク見直し
将来:Microsoft Entra ID SSO 移行🔗
運用が安定したら以下に切り替えると、退職処理が完全に自動化される。
移行手順(概要)🔗
- Microsoft Entra ID 管理者と協議
- Entra ID 側で「Cloudflare Access」を Enterprise Application として登録
- Cloudflare Zero Trust の Identity Provider に Microsoft Entra ID を追加
- Application Policy を Entra ID Groups ベースに変更(例:「営業部」グループ許可)
- One-time PIN を無効化
Entra ID SSO のメリット🔗
- 退職処理が Microsoft 365 だけで完結(Cloudflare 側操作不要)
- グループ別アクセス制御(営業部/管理部/代理店)
- MFA(多要素認証)を組織ポリシーで強制可能
緊急連絡先🔗
| 状況 | 連絡先 |
|---|---|
| ログインできない | (要記入:情シス窓口) |
| 退職者・要ブロック | (要記入:情シス/総務) |
| 緊急の漏洩対応 | (要記入:情シス+経営者) |
| Cloudflare 障害 | https://www.cloudflarestatus.com/ |