プログラマブル SASE
という新しい定義

SASE プラットフォームを、自分たちで "拡張する" 時代へ

Mini Session #2 / 15 min  ·  Cloudflare Blog (2026-03-02) より

"プログラマブル" という言葉は、業界で薄まっている

「プログラマビリティ」という言葉は、業界によって意味が薄められてしまった。 — Cloudflare Blog, The truly programmable SASE platform

公開 API

たいていのベンダーが提供している

Terraform Provider

IaC 対応はもはや前提

Webhook / アラート

Slack 通知などはもはや当たり前

これらは 最低限の前提。"プログラマブル" を名乗るには、まだ足りない。

本質は "判断" を組み立てられること

従来 — "通知" の世界

  • ポリシーが発火 → Webhook で通知
  • 判断はあくまで人間 / 別システム
  • 定義済みアクション: 許可 / ブロック / 隔離 / 検疫

プログラマブル — "判断" の世界

  • セキュリティイベントを 捕まえて
  • 外部コンテキストで 情報を足して
  • その場で リアルタイムに判断・実行
ポリシーは単にアラートを発火させただけではない — ポリシーが "判断" を下したのだ。 — Cloudflare Blog, The truly programmable SASE platform
Part 01

なぜ Cloudflare だけが
"プログラマブル SASE" を作れるのか

SASE と開発者プラットフォームが、同じネットワーク・同じサーバーで動いているから

SASE と開発者プラットフォームが "同じ網" で動く

業界をリードする SASE プラットフォームと開発者プラットフォームが、同じ "サーバー" の上で並んで動いている。 — Cloudflare Blog, The truly programmable SASE platform

330+ 都市

世界中の都市にエッジ。インターネット利用者の 95% から約 50ms 圏内。

同じメタルの上で動く

すべてのサーバーで すべてのサービスが動く。SASE と Workers が同居している。

最初から一体

後付けの統合ではなく、最初から一体として設計。だから組み合わせも拡張も自在。

他社 SASE は別クラウドに自動化基盤を建てる必要がある。Cloudflare は Worker が インラインで SASE を拡張 する。

定義済みアクションから、カスタムロジックへ

従来の Gateway アクション

  • 許可 / ブロック
  • 隔離 (ブラウザ分離)
  • 検疫

→ 用意された選択肢から選ぶだけ

カスタムロジックを呼び出す

  • ID クレームに基づき 動的にヘッダーを注入
  • 外部リスクエンジンを呼んで リアルタイム判定
  • 勤務地 / 勤務時間で アクセス制御
  • ブラウザ属性を検証して経路を変える
Gateway HTTP ポリシーがマッチしたら、許可/ブロック/隔離 ではなく Worker を直接呼び出せる 方向へ。

アクションは "マネージド" と "カスタム" の二階建て

マネージドアクション

  • よくあるシナリオのテンプレート集
  • IT サービス管理 (ITSM) 連携
  • リダイレクト / コンプライアンス自動化
  • ベストプラクティスを再利用できる

カスタムアクション

  • ロジックを 完全に自分で定義
  • Gateway HTTP ポリシーのマッチで Cloudflare Worker を呼び出す
  • エッジでリアルタイム実行、リクエスト情報にフルアクセス
"機能要望を出してロードマップに乗ることを祈る" 時代はもう終わり。今日、自分で作れる。

"Worker を作る" は、もう開発者だけの仕事じゃない

これまでの "Worker を作る" 印象

  • JavaScript / TypeScript が分かる開発者の仕事
  • ローカル環境構築・wrangler セットアップ
  • テスト・デプロイ・ロールバック手順を整える
  • セキュリティ運用チームには 距離があった

2026年: AI エージェントで一変

  • 自然言語で "やりたいこと" を伝えるだけ
  • バイブコーディングで Worker が即生成
  • デプロイまで エージェントが自動化
  • "動くもの" が 数分〜数十分で手に入る

Workers の特性

小さな単位で作れる · 起動が速い · 1ファイルでも完結

AI の得意分野

小さなコードの生成 · パターンの応用 · API 呼び出し

相性の良さ

Workers と AI エージェントは
構造的にハマる

"プログラマブル" のハードルは、もう "作りたいものをちゃんと言葉にできるか" だけ。

実例 ① ブロック画面に "業務継続の選択肢" を埋め込む

1ユーザーがリスクサイトにアクセス
2Gateway が 直接接続をブロック
3Workers が 警告画面 (右) を動的生成
4ユーザーが同意 → 監査ログ記録
5Clientless RBI でサイトを描画
  • サイトのコードは Cloudflare 上で実行、マルウェアは端末に到達しない
  • 端末には描画結果のみ送信。コピー / DL / 印刷などを制御可能
  • NVR (特許技術) による軽量・高忠実度の描画ストリーム
  • 通常のブラウジングと 遜色ない体感速度でウェブ閲覧
  • ゼロデイ攻撃から端末を保護
Cloudflare Block + RBI 画面

構成: Cloudflare Zero Trust (Gateway) + Workers + Browser Isolation。"許可/拒否" の二択ではなく "安全に閲覧する第3の道" を Worker で作り込んだ例。

実例 ② デバイスセッションの自動失効

課題

VPN のような 定期的な再認証を Cloudflare One Client にも強制したい。標準のセッション制御はアプリ単位で、グローバルな時間ベースの失効ができない。

解決方法

Scheduled Worker が Devices API を叩き、しきい値を超えて非アクティブな端末を検出し、登録を失効。結果として IdP 経由で再認証が強制される。

device-revoke.js  ·  cron: 0 */4 * * * 
export default {
  async scheduled(event, env, ctx) {
    // 全デバイスの登録一覧を Devices API から取得
    const devices = await fetchAllDevices(env);
    for (const d of devices) {
      const mins = (new Date() - new Date(d.last_seen_at)) / 60000;
      if (mins > env.REVOKE_INTERVAL_MINUTES) {  // しきい値超え
        await fetch(`.../devices/registrations/${d.id}`, { method: 'DELETE' });
      }
    }
  }
};

ベンダーのロードマップ待ちなら数ヶ月。Cloudflare なら、数時間で本番化。以来、動き続ける。

Part 02

会話そのものを、変える

セキュリティ基盤は "あなたと一緒に育つ" もの。あなたを縛るものではない。

プログラマブル SASE が変える "会話" と "未来"

セキュリティチーム

"機能要望を出して祈る" のをやめて、今日、自分で作る

パートナー / MSSP

業界特化・規制特化のソリューションを プラットフォーム上で提供。カスタム統合が差別化に。

お客様

"簡単" は "一律" という意味ではない。必要なものを作れる基盤。

エンタープライズセキュリティの未来は、すべてを抱え込む一枚岩ではなく — 組み合わせ可能で、プログラマブルなプラットフォームである。 — Cloudflare Blog, The truly programmable SASE platform

2026 年を通じて、Gateway のカスタムアクション、外部 DB を使った動的ポリシー、リクエスト情報の引き継ぎ機能が順次追加されていく。

Thank you

プログラマブル SASE = SASE を "組み立てる" 時代の Cloudflare One