ここではCloudflareのCDNの[セキュリティ]メニュの詳細を解説します。
[セキュリティ]メニュには下記のサブメニュがあります。
| サブメニュ | 概要 |
| 1.分析 | ここにはウェブサイトのアクセスログとセキュリティに関連する情報が表示されます。 |
| 2.イベント | ここにはブロックされたログが表示されます。 |
| 3.WAF | ここはWAFの設定情報やカスタムルールの設定が行える所です。 |
| 4.Page Shield | ここはクライアントで実行されるJavaScriptを監視する機能の設定が行える所です。 |
| 5.ボッド | ここはボッドをブロックするか否かの設定が行える所です。 |
| 6.API Shield | ここはAPI通信を特定の人だけに限定させる為のルールを設定する所です。 |
| 7.DDoS | ここはDDoSの設定情報とオーバライド設定が行える所です。 |
| 8.設定 | 上記以外のセキュリティに関する設定が行える所です。 |
下記に各項目を解説します。
1.分析
ここではウェブサイトのアクセスログとセキュリティに関連する情報が表示されます。
ログは、無償版は24H、Pro版で7日間、Enterpriseプランで最長1年が保存されます。
よって本格的にログ監視を行うなら有料版が必須になります。
尚、ここに表示される[アクセスしたIP]には自分のアクセスも表示されるので、間違って自分のIPをブロックしない様に注意する事が重要です。
特に[アカウントの不正使用]欄は自分が管理者モードをアクセスしてもここに表示されますので誤って自分のIPをブロックしないで下さい。

■茶が外部からのログイン操作で、緑が自分のログイン操作です。
2.イベント
ここではブロックされたログが表示されます。
どの様なルールでブロックされてのかはサービス欄で確認できます。
・管理ルール
CloudflareのデフォルトWAFルール(3.WAFの管理ルール)でブロックした時に表示されます。
・カスタムルール
ユーザが作成したWAFルール(3.WAFのカスタムルール)でブロックした時に表示されます。
・ボッドファイトモード
Cloudflareが不正なボット(5.ボット)と認識しブロックしたものが表示されます。
3.WAF
WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を狙った攻撃からWebサイトを保護するセキュリティシステムで、ここではWAFに関する情報やカスタムルールの設定が行えます。
[管理ルール]タブに[Cloudflare フリー管理ルールセット]が有効化されている事を確認します。
[カスタムルール]タブ
URLの特定のパスや、特定のIPや地域をブロックする時に利用します。
設定できるルールは無償版では5個です。
例えばWordPressでは/wp-adminやL/wp-login.phpを管理者に限定する時にこれを利用します。
しかし、CloudflareのZero Trustを利用している場合はAccess設定でURLの特定のパスを管理者に限定する事ができます。
詳細は[Zero TrustのAccessに Self-hosted を利用する]を参照して下さい。
よってあえてこの機能を利用する必要はありません。
[レート制限]タブ
特定の期間内に一定量を超えるトラフィックが発生するアクションを制限する場合に利用します。
ルールは無償版で1個しか設定できません。
4.Page Shield
Page Shield(ページシールド)は、クライアントに読み込まれるJavaScriptスクリプトを監視し、不正な変更や未承認のスクリプトを検出した時に警告する機能です。
Page Shieldが有効化されている事を確認します。
有効になってない場合は画面に表示された[Page Shieldを有効にする]をクリックします。
但し、無償版ではPage Shieldの一部の機能しか利用できず本格利用する為には有償版を利用する必要があります。詳しくは比較表を参照して下さい。
[Page Shieldの主な機能]
1.スクリプトの監視と検証
ウェブページに読み込まれるJavaScriptスクリプトを監視し、不正な変更や未承認のスクリプトを検出します。これにより、サプライチェーン攻撃(例: Magecart攻撃)のように、外部のサードパーティスクリプトを悪用したデータ窃取を防ぎます。
2.CSP(Content Security Policy)の生成
Page ShieldはCSPを生成し、自動的に適用することで、信頼できるスクリプトだけがウェブページで実行されるように制限します。これにより、攻撃者が悪意のあるスクリプトを挿入するのを防ぎます。
3.通知とレポート
不審なスクリプトの検出時にアラートを送信し、問題を早期に発見できるようにします。詳細なレポートにより、どのスクリプトが問題を引き起こしているかを特定可能です。
5.ボッド
ボットとは、指定された作業を自動的に実行するプログラムやアプリケーションの総称で下記のボッド対策があります。
①ボット ファイト モード
ONにします。
悪意のあるボット(スクレイピング、脆弱性スキャンなど)を検出してブロックまたは妨害します。
ブロックした結果は2.イベントで[ボット ファイト モード]として表示されます。
②AI ボットをブロック
ONにします。
AI技術を活用したボット(例えばチャットボットやデータ収集を目的としたAI)がアクセスするのをブロックします。
但し、この機能は無償版では機能しない可能性があり、ブロックイベントには登場しません。
6.API Shield
API通信とは、異なるソフトウェアやプログラム間で情報を共有し、連携するための手段です。
API Shield(シールド)は、API通信を特定の人だけに利用させる為のルールを設定する所です。
下記で説明する方法を取ると、ここで複雑な設定を行う必要はありません。
例えばWordPressには管理画面を通さずにWordPressの投稿を更新、削除するAPI通信機能があり、これをREST APIと呼びます。
これを特定の人だけに許可する時にこのAPI Shield機能を利用します。
しかし、CloudflareのZero Trustを利用している場合はAccess設定でREST APIを利用する人を限定する事ができます。
詳細は[Zero TrustのAccessに Self-hosted を利用する]を参照して下さい。
7.DDoS
CloudflareのDDoS対策は
・SSL/TLS DDoS 攻撃からの保護
・ネットワーク層 DDoS 攻撃からの保護
が自動でONになっている事を確認します。
更に、ここにはDDoSオーバーライド機能もあります。
これは実際にDDoS攻撃があった時にCloudflareのルールを一時的に置き換えDDoS対策する機能ですが普通は使いません。
下記にCloudflareが行ってくれるDDoS対策を解説します。
1.SSL/TLSを使った攻撃
SSL/TLSのDDoS攻撃とは、攻撃者が大量の SSL/TLS 接続リクエストを送り、サーバーの暗号化プロセスを過負荷にする攻撃です。
暗号化と復号化は計算負荷が高いため、サーバーのリソースを消耗させることが目的です。
具体的には大量の HTTPS ハンドシェイクを要求したり、検証負荷が高い証明書リクエストを多量に送信する攻撃です。
これらの攻撃に対しCloudflareのCDNサーバは暗号化/復号化を行う過程で、特定の IP からの異常なリクエストをブロックしたり、ボットトラフィックを検出して無効化したり、攻撃者のトラフィックに対して追加の検証ステップを挿入する事などによりこれらの攻撃をブロック又は緩和してくれます。
2.ネットワーク層への攻撃
ネットワーク層のDDoS攻撃とは、IP プロトコルスタックの下層(レイヤー3・4)を標的にした攻撃で、
攻撃者は大量のパケットを送り付けて、ネットワーク帯域やシステムの処理能力を飽和させます。
具体的には下記の様な攻撃です
・UDP Flood: 大量の UDP パケットを送信
・SYN Flood: TCP 接続ハンドシェイクを中途半端にしてリソースを消耗させる。
・ICMP Flood: Ping パケットを大量送信
これらの攻撃に対しCloudflareのCDNサーバは攻撃トラフィックをグローバルに分散したり、 異常なパケットをリアルタイムで分析・除去したり、特定のパケットタイプや送信元を制限したり、 必要に応じて帯域幅を制御する事によりこれらの攻撃をブロック又は緩和してくれます。
[注意]
DDoS攻撃には上記以外にオリジンIPを狙った攻撃もあります。[DDoS対策はCloudflareのCDNだけで大丈夫か?]を参照して下さい。
8.設定
ここでは下記の各項目の設定ができます。
1.セキュリティ レベル
標準で運用します。
サイトが攻撃を受けている場合は「高(High)」または「i,m Under Attack」に切り替え、一時的な防御を強化することが推奨されています。
2.Security.txt を有効にする
これはVulnerability Report(脆弱性レポート)を受け取る為の設定です。
ONにする方法は[Cloudaflareで管理するドメインにsecurity.txtを設定する方法]を参照して下さい。
3.チャレンジ経路
Cloudflareがアクセスを検証し、このIPアドレスは安全と判断した結果を保持する時間を指定します。
・一般的なサイト: デフォルトの30分に設定します。
・攻撃が頻繁な場合: 10〜15分
・メンバーだけがアクセスするサイト: 60分以上
上記が推奨設定値です。
4.ブラウザ整合性チェック
ウェブサイトにアクセスしてくるブラウザが正当なものであるかを確認し、一般的に使用されるブラウザと異なる動作を示すリクエスト(例: 不正なスクリプト、ボット、または偽装されたユーザーエージェント)を検出した場合ブロックする機能です。
ONで運用します。
誤検知等が発生した時は「WAFのカスタムルール」で特定のトラフィックを許可します。
5.安全でない JavaScript ライブラリを置き換える
Cloudflareは、ウェブページを解析しjQuery等のJavaScriptライブラリが最新のものが使われているのかを確認し、もし古い場合は新しいバージョンをブラウザに送ります。
ONで運用します。
この機能を有効にすることで、特にセキュリティ更新が遅れているサイトの防御力を強化できます。