HOME  /Cloudflare
 /CloudflareのCDNの詳細設定(セキュリティ)
2025年05月30日

CloudflareのCDNの詳細設定(セキュリティ)

ここではCloudflareのCDNの[セキュリティ]メニュの詳細を解説します。

 

[セキュリティ]メニュには下記のサブメニュがあります。

サブメニュ 概要
1.分析 ここにはウェブサイトのアクセスログとセキュリティに関連する情報が表示されます。
2.イベント ここにはブロックされたログが表示されます。
3.WAF ここはWAFの設定情報やカスタムルールの設定が行える所です。
4.Page Shield ここはクライアントで実行されるJavaScriptを監視する機能の設定が行える所です。
5.ボッド ここはボッドをブロックするか否かの設定が行える所です。
6.API Shield ここはAPI通信を特定の人だけに限定させる為のルールを設定する所です。
7.DDoS ここはDDoSの設定情報とオーバライド設定が行える所です。
8.設定 上記以外のセキュリティに関する設定が行える所です。

下記に各項目を解説します。

1.分析

ここではウェブサイトのアクセスログとセキュリティに関連する情報が表示されます。

ログは、無償版は24H、Pro版で7日間、Enterpriseプランで最長1年が保存されます。

よって本格的にログ監視を行うなら有料版が必須になります。

 

尚、ここに表示される[アクセスしたIP]には自分のアクセスも表示されるので、間違って自分のIPをブロックしない様に注意する事が重要です。

特に[アカウントの不正使用]欄は自分が管理者モードをアクセスしてもここに表示されますので誤って自分のIPをブロックしないで下さい。

■茶が外部からのログイン操作で、緑が自分のログイン操作です。

 

2.イベント

ここではブロックされたログが表示されます。

どの様なルールでブロックされてのかはサービス欄で確認できます。

管理ルール

CloudflareのデフォルトWAFルール(3.WAFの管理ルール)でブロックした時に表示されます。

カスタムルール

ユーザが作成したWAFルール(3.WAFのカスタムルール)でブロックした時に表示されます。

ボッドファイトモード

Cloudflareが不正なボット(5.ボット)と認識しブロックしたものが表示されます。

 

3.WAF

WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を狙った攻撃からWebサイトを保護するセキュリティシステムで、ここではWAFに関する情報やカスタムルールの設定が行えます。

 

[管理ルール]タブに[Cloudflare フリー管理ルールセット]が有効化されている事を確認します。

 

[カスタムルール]タブ

URLの特定のパスや、特定のIPや地域をブロックする時に利用します。

設定できるルールは無償版では5個です。

例えばWordPressでは/wp-adminやL/wp-login.phpを管理者に限定する時にこれを利用します。

しかし、CloudflareのZero Trustを利用している場合はAccess設定でURLの特定のパスを管理者に限定する事ができます。

詳細は[Zero TrustのAccessに Self-hosted を利用する]を参照して下さい。

よってあえてこの機能を利用する必要はありません。

 

[レート制限]タブ

特定の期間内に一定量を超えるトラフィックが発生するアクションを制限する場合に利用します。

ルールは無償版で1個しか設定できません。

 

4.Page Shield

Page Shield(ページシールド)は、クライアントに読み込まれるJavaScriptスクリプトを監視し、不正な変更や未承認のスクリプトを検出した時に警告する機能です。

Page Shieldが有効化されている事を確認します。

 

有効になってない場合は画面に表示された[Page Shieldを有効にする]をクリックします。

但し、無償版ではPage Shieldの一部の機能しか利用できず本格利用する為には有償版を利用する必要があります。詳しくは比較表を参照して下さい。

 

[Page Shieldの主な機能]

1.スクリプトの監視と検証

ウェブページに読み込まれるJavaScriptスクリプトを監視し、不正な変更や未承認のスクリプトを検出します。これにより、サプライチェーン攻撃(例: Magecart攻撃)のように、外部のサードパーティスクリプトを悪用したデータ窃取を防ぎます。

 

2.CSP(Content Security Policy)の生成

Page ShieldはCSPを生成し、自動的に適用することで、信頼できるスクリプトだけがウェブページで実行されるように制限します。これにより、攻撃者が悪意のあるスクリプトを挿入するのを防ぎます。

 

3.通知とレポート

不審なスクリプトの検出時にアラートを送信し、問題を早期に発見できるようにします。詳細なレポートにより、どのスクリプトが問題を引き起こしているかを特定可能です。

 

5.ボッド

ボットとは、指定された作業を自動的に実行するプログラムやアプリケーションの総称で下記のボッド対策があります。

ボット ファイト モード

ONにします。

悪意のあるボット(スクレイピング、脆弱性スキャンなど)を検出してブロックまたは妨害します。

ブロックした結果は2.イベントで[ボット ファイト モード]として表示されます。

 

AI ボットをブロック

ONにします。

AI技術を活用したボット(例えばチャットボットやデータ収集を目的としたAI)がアクセスするのをブロックします。

但し、この機能は無償版では機能しない可能性があり、ブロックイベントには登場しません。

 

6.API Shield

API通信とは、異なるソフトウェアやプログラム間で情報を共有し、連携するための手段です。

API Shield(シールド)は、API通信を特定の人だけに利用させる為のルールを設定する所です。

下記で説明する方法を取ると、ここで複雑な設定を行う必要はありません。

 

例えばWordPressには管理画面を通さずにWordPressの投稿を更新、削除するAPI通信機能があり、これをREST APIと呼びます。

これを特定の人だけに許可する時にこのAPI Shield機能を利用します。

しかし、CloudflareのZero Trustを利用している場合はAccess設定でREST APIを利用する人を限定する事ができます。

詳細は[Zero TrustのAccessに Self-hosted を利用する]を参照して下さい。

 

7.DDoS

CloudflareのDDoS対策は

・SSL/TLS DDoS 攻撃からの保護

・ネットワーク層 DDoS 攻撃からの保護

が自動でONになっている事を確認します。

 

更に、ここにはDDoSオーバーライド機能もあります。

これは実際にDDoS攻撃があった時にCloudflareのルールを一時的に置き換えDDoS対策する機能ですが普通は使いません。

 

下記にCloudflareが行ってくれるDDoS対策を解説します。

1.SSL/TLSを使った攻撃

SSL/TLSのDDoS攻撃とは、攻撃者が大量の SSL/TLS 接続リクエストを送り、サーバーの暗号化プロセスを過負荷にする攻撃です。

暗号化と復号化は計算負荷が高いため、サーバーのリソースを消耗させることが目的です。

具体的には大量の HTTPS ハンドシェイクを要求したり、検証負荷が高い証明書リクエストを多量に送信する攻撃です。

これらの攻撃に対しCloudflareのCDNサーバは暗号化/復号化を行う過程で、特定の IP からの異常なリクエストをブロックしたり、ボットトラフィックを検出して無効化したり、攻撃者のトラフィックに対して追加の検証ステップを挿入する事などによりこれらの攻撃をブロック又は緩和してくれます。

 

2.ネットワーク層への攻撃

ネットワーク層のDDoS攻撃とは、IP プロトコルスタックの下層(レイヤー3・4)を標的にした攻撃で、
攻撃者は大量のパケットを送り付けて、ネットワーク帯域やシステムの処理能力を飽和させます。

具体的には下記の様な攻撃です

・UDP Flood: 大量の UDP パケットを送信

・SYN Flood: TCP 接続ハンドシェイクを中途半端にしてリソースを消耗させる。

・ICMP Flood: Ping パケットを大量送信

これらの攻撃に対しCloudflareのCDNサーバは攻撃トラフィックをグローバルに分散したり、 異常なパケットをリアルタイムで分析・除去したり、特定のパケットタイプや送信元を制限したり、 必要に応じて帯域幅を制御する事によりこれらの攻撃をブロック又は緩和してくれます。

 

[注意]

DDoS攻撃には上記以外にオリジンIPを狙った攻撃もあります。[DDoS対策はCloudflareのCDNだけで大丈夫か?]を参照して下さい。

 

8.設定

ここでは下記の各項目の設定ができます。

1.セキュリティ レベル

標準で運用します。

サイトが攻撃を受けている場合は「高(High)」または「i,m Under Attack」に切り替え、一時的な防御を強化することが推奨されています。

 

2.Security.txt を有効にする

これはVulnerability Report(脆弱性レポート)を受け取る為の設定です。

ONにする方法は[Cloudaflareで管理するドメインにsecurity.txtを設定する方法]を参照して下さい。

 

3.チャレンジ経路

Cloudflareがアクセスを検証し、このIPアドレスは安全と判断した結果を保持する時間を指定します。

・一般的なサイト: デフォルトの30分に設定します。
・攻撃が頻繁な場合: 10〜15分
・メンバーだけがアクセスするサイト: 60分以上

上記が推奨設定値です。

 

4.ブラウザ整合性チェック

ウェブサイトにアクセスしてくるブラウザが正当なものであるかを確認し、一般的に使用されるブラウザと異なる動作を示すリクエスト(例: 不正なスクリプト、ボット、または偽装されたユーザーエージェント)を検出した場合ブロックする機能です。

ONで運用します。

誤検知等が発生した時は「WAFのカスタムルール」で特定のトラフィックを許可します。

 

5.安全でない JavaScript ライブラリを置き換える

Cloudflareは、ウェブページを解析しjQuery等のJavaScriptライブラリが最新のものが使われているのかを確認し、もし古い場合は新しいバージョンをブラウザに送ります。

ONで運用します。

この機能を有効にすることで、特にセキュリティ更新が遅れているサイトの防御力を強化できます。

 


上記ドキュメントはClodflareのCDNの解説資料の一部で全体像はCDNドキュメント一覧を参照して下さい。


 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「cloudflare」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

WordPrssでCloudflareのCDNを利用する為には[Cloudflare]プラグインが必須になります。このプラグインはWPのコンテンツを更新した時にはCDNネットワーク内の関連キャッシュをクリアしてくれます。

ここではCloudflareのCDNの詳細設定メニュの(ネットワーク)について解説しています。

ここではCloudflareのCDNの詳細設定メニュの(Caching)について解説しています。

ここではCloudflareのCDNの詳細設定メニュの(スピード)について解説しています。

ここではCloudflareのCDNの詳細設定メニュの(SSL/TSL)について解説しています。

ここではCloudflareで管理しているドメインやサブドメインにHSTS (Strict-Transport-Security)を適用させる方法を解説しています。

Cloudflareに追加したドメインにVulnerability Reportがもらえる様にsecurity.txtを追加する方法を解説しています。これにより個々のWebサーバにsecurity.txtを追加する必要がなくなります。

CloudflareのCDNにWebサーバを登録する方法には①IPv4接続②IPv6接続③トンネル接続がありますが、③のトンネル接続は、サーバの負荷分散、変動IPでも更新タスクが不要、オリジンIPに対するDDoS対策が簡単等の多くのメリットがあります。

Cloudflareの[Email Routing]はCloudflareで管理しているドメインにメールアドレスを定義し、これを他のメールシステム(Gmail等)に転送するアプリケーションです。この機能を利用するとメールサーバを立てなくても企業ドメインのメールシステムが構築できます。

IPv4、IPv6アドレスを調べるとインターネットからのポート開放状況や利用しているCDNベンダを調べる事ができます。ここではこれらを調査する方法を詳しく解説しています。

DDoS攻撃には1.DNSサーバに対する攻撃、2.グローバルIPに対する攻撃、3.オリジンIPに対する攻撃があります。CloudflareのCDNを利用してDDoS攻撃対策をする為にはオリジンIPに対する攻撃も考慮する必要があります。

CloudflareのCDNは、Cloudflareの高速ネットワークの中にコンテンツをキャッシュしてくれると共に、1.IPv6対応、2.DDoS対策、3.WAF対策、4.ボット対策を行ってくれるCDNサービスです。

SynologyのWebサーバをCloudflareにtトンネルで接続する為には①Cloudflareとサーバ間にトンネルを作成する②トンネルにWebサーバを定義する皇都で行います。

SynologyのWebサーバをCloudflareにIPv6で接続する為には①Cloudflareに仮のAAAAレコードを作成し、Synology側からこのAAAAレコードを更新する方法で行います。

CloudfalreのCDNを利用する為には①Cloudflareアカウントの作成、②ドメインの追加、③CDNの設定に順番で設定していきます。また④Cloudflareアカウントの2要素認証も重要になります。

ここではXserverからドメイン名を取得する方法を解説しています。