Webアプリケーション
セキュリティの推奨事項

🔑 主要用語の解説

📋 推奨セットアップ順序

📦 機能別プラン要件

🛡️ セキュリティ用語集（入門向け）

Security SQLi（SQLインジェクション）

危険度：🔴 高 攻撃者が悪意のあるSQLコードをWebフォームなどから送信し、データベースを不正操作する攻撃。顧客情報の窃取やデータ改ざんに繋がる。WAFマネージドルールで自動検出・ブロック可能。

Security XSS（クロスサイトスクリプティング）

危険度：🔴 高 攻撃者が悪意のあるJavaScriptをWebページに埋め込み、ユーザーのブラウザで実行させる攻撃。Cookie窃取やフィッシング詐欺に利用される。Rule ID: 882b37d6... で検出。

Security RCE（リモートコード実行）

危険度：🔴 極めて高 攻撃者がサーバー上で任意のコードを実行できる脆弱性。サーバー完全乗っ取りに繋がる最も危険な攻撃の一つ。WAF攻撃スコア（cf.waf.score.rce）で検出。

Cloudflare JA3フィンガープリント

TLS接続時のクライアント特性（暗号化方式・拡張機能等）をハッシュ化した文字列。同じツールは同じJA3値を生成するため、自動化ボットの識別に有効。フィールド: cf.bot_management.ja3_hash

Cloudflare JA4フィンガープリント

JA3の改良版。TLS接続とHTTPヘッダー情報を組み合わせたより詳細なクライアント識別を実現。TLS 1.3やQUICプロトコルにも対応し、より正確なボット・ツール検出が可能。フィールド: cf.bot_management.ja4

Cloudflare mTLS（相互TLS認証）

通常のTLSではサーバーのみが証明書を提示するが、mTLSではクライアントも証明書を提示して双方向認証を行う。APIアクセスやデバイス認証の強化に使用。Section 2.12参照。

API JWT（JSON Web Token）

APIの認証・認可に使用されるトークン形式。ヘッダー・ペイロード・署名の3部構成。ペイロード部分にユーザー情報（role等）を含むため、WAFルールで内容をチェック可能。Section 2.13参照。

マネージドルールセットはゾーン全体に適用する前に簡単にレビューを行い、その後デプロイすることが広く推奨されています。必要に応じて、特定の例外ルールを作成してください。

📋 入門向け：ステップバイステップ設定手順

参考： Cloudflare マネージドルールセット | Security Events

Cloudflare WAF Managed Rulesは、数千のルールで構成されており、各ルールには固有のRule ID、タグ（攻撃タイプ・カテゴリ）、説明が付与されています。デフォルトでコアルールセットが有効化されていますが、追加の、そしてより厳格なセキュリティ対策が必要な場合は、以下の推奨ルールの一部またはすべてをデプロイすることを検討してください：

OWASPコア・ルールセットは、SQLインジェクション・XSS・コマンドインジェクションなど幅広い攻撃パターンに対応するルールセットです。ただし、誤検知が発生しやすいため、段階的なアプローチでデプロイすることを強く推奨します。

WAF Attack Scoreは、Cloudflareの機械学習モデルが各リクエストに割り当てる攻撃可能性スコア（1-99）です。従来のシグネチャベースルール（Managed Rules）を置き換えるものではなく、補完するもので、ゼロデイ攻撃や難読化された攻撃など、Managed Rulesが捕捉できない攻撃のバリエーションを検出します。

⚙️ 設定場所： Attack Scoreの閾値設定はWAF Custom Rulesで行います（Managed Rulesでは設定できません）。Attack ScoreとBot Scoreは異なるMLモデルを使用し、それぞれ異なる目的を持ちます：

3つのサブスコア

設定アプローチ

Phase 1: 観察モード

上記の例では、Attack Scoreが20以下のトラフィックをフィルタリングして分析しています。過去24時間で618リクエストがあり、そのうち414件が悪意のあるリクエストでOriginに到達しています。これらはWAF Managed Rulesや他のApp Securityフィーチャーで防げなかったトラフィックです。

Security Eventsで確認すべき項目：

• 攻撃対象のパス・エンドポイント（どのURLが狙われているか）
• 送信元の国・地域（地理的な攻撃パターンの特定）
• User-Agent・IPアドレス（ボットネットや既知の攻撃ツールの検出）
• スコアが20以下のトラフィックの共通点（閾値の妥当性を検証）

Phase 2: ログの調査

上記のログ例では、Attack Score = 1（攻撃）、SQLインジェクション サブスコア = 2 となっています。このスコアから、このリクエストはSQLインジェクション攻撃の可能性が非常に高いと判定できます。

スコア解釈のポイント：

• 総合スコアが1 = 攻撃確実（最高リスク）
• SQLiサブスコアが2 = SQLインジェクション攻撃として検出
• 総合スコアとサブスコアを組み合わせて、攻撃の種類と信頼度を判断
• このようなログパターンを見つけたら、即座にCustom Ruleでブロックまたはチャレンジを検討

Phase 3: ブロックモード (高リスク)

スコア20未満の高リスクトラフィックを即座にブロック

サブスコアを使った精密な保護

参考: WAF attack score documentation

一般的に、カスタムルールの中でも最上位に近い位置に、検証済みボット（GoogleBotなどの検索エンジンクローラー）を許可するSKIPカスタムルールを設定することが推奨されています。cf.client.bot はCloudflareが検証した正規のボット（Googlebot・Bingbotなど）を示すフィールドで、悪意のあるボットは含まれません。
📌 SKIPアクションはマッチしたリクエストに対して以降のWAFルール処理をバイパスします。BLOCKとは逆で「通過させる」アクションです。ルールは上から順に評価されるため、このルールは必ずリスト最上位に置いてください。

参考： Verified Bots

信頼できるAPI（決済コールバックやPreRender IOなど）からのアクセスを許可するために、できるだけ具体的で多くのフィールドを使用したSKIPカスタムルールを、最上位のカスタムルールとして設定することが一般的に推奨されています。

参考： API Shield

ポジティブセキュリティモデルを真に適用するためには、API Shieldで管理されているエンドポイントのいずれにも一致しないリクエストのフォールスルーアクションに対して、WAFカスタムルールを作成してください。

参考： Schema Validation

ペイロードを持つすべてのHTTPリクエストはWAF攻撃スコアを受け取ります。これはSQLインジェクション、XSS、またはRCE攻撃に関連する悪意のあるものが含まれている可能性を示します。

参考： WAF attack score

Cloudflareが管理するIPリスト（独自のカスタムリストを含む）を使用することで、これらのIPカテゴリに対してどのような処理を行うかを決定できます。一般的には、ボットネットやマルウェアをブロックしたいと考えるでしょう。

参考： Managed IP Lists

2.6

IPリスト（ブラックリスト・ホワイトリスト）

Cloudflareが管理するIPリスト（Managed IP Lists）に加えて、顧客がアップロードしたカスタムIPリストを使用してトラフィックを制御できます。ブラックリストとして特定のIPアドレスをブロックしたり、ホワイトリストとして信頼できるIPアドレスを許可したりすることが可能です。

🚫 ブラックリスト（ブロック）

攻撃元IPや不正アクセスIPをリスト化してブロック。Security › WAF › Tools › Lists からIPリストを作成・管理できます。

✅ ホワイトリスト（許可）

信頼できるIPアドレス（社内IP、パートナーIPなど）をリスト化して優先的に許可。

Block Blacklisted IPs BLOCK

ip.src in $blacklist_ips

$blacklist_ips は Security › WAF › Tools › Lists で作成したカスタムIPリストの名前です。

参考： Custom Lists

2.7

Torトラフィックの軽減

Torトラフィック（匿名通信を可能にするオーバーレイネットワーク）が不要な場合は、単にそれを軽減することができます。この場合、オニオンルーティングも無効にしてください。

Mitigate Tor Traffic BLOCK

ip.src in $cf.anonymizer

参考： Onion Routing and Tor support

2.8

不要なASNの軽減

📖

ASN（自律システム番号）とは？
ASN（Autonomous System Number）はインターネット上のネットワーク（ISP、クラウドプロバイダー、企業など）に割り当てられた一意の番号です。
なぜクラウドプロバイダーのASNをブロックするのか？ 攻撃者はAWS・Azure・GCPなどのクラウドインフラからサーバーを起動して攻撃することが多いため、業務上クラウドからのAPIコールが不要な場合はブロックが有効です。ただし、自社システムがクラウドを使用している場合は適用しないこと。
ASNリストは Security › WAF › Tools › Lists で作成・管理できます。

AWS、Azure、GCPなどのクラウドASNs、またはトラフィックを期待しないその他のASNsからの不要なトラフィックは、軽減したいと考えるかもしれません。これらを簡単に管理するには、ASNsを含むリストを使用してください。

Mitigate unwanted ASNs BLOCK

ip.geoip.asnum in $unwanted_asns_list

参考： Custom Lists

2.9

高リスク国のブロック

高リスク国、例えばOFACの公式リストに掲載されている国は、より高い脅威をもたらす可能性があるためブロックしてください。あるいは、完全にブロックする代わりに、マネージドチャレンジを設定することもできます。

Block High Risk Countries BLOCK

ip.src.country in {"KP" "IR" "SY" "CU"}

国コードはOFACリストなどを参照して適宜調整してください。

参考： Sanctions List Search

2.10

既知のボットUser-Agentのブロック

cURL、go-http-client、あるいは空のユーザーエージェントなど、ボットによって使用されることが知られている不要なユーザーエージェントからのリクエストをブロックします。

Block known Bot User-Agents BLOCK

http.user_agent contains "curl" or http.user_agent contains "Go-http-client" or http.user_agent eq "" or not http.user_agent exists

参考： Challenge bad bots

2.11

WP Admin ダッシュボードアクセスの制限

WordPressを使用している場合、/wp-adminへのアクセスを従業員や管理者の特定の静的ソースIPアドレスのみに制限するか、あるいはCloudflare Accessを使用してゼロトラストのアプローチを選択してください。

Restrict WP Admin Dashboard Access BLOCK

http.request.uri.path contains "/wp-admin" and not ip.src in {203.0.113.10 203.0.113.20}

参考： Allow traffic from IP addresses in allowlist only

2.12

従業員専用アクセスの制限

従業員ポータルやエクストラネットがある場合、従業員が所在する国にアクセスを制限するか、またはゼロトラストのアプローチを選択することをお勧めします。

Restrict Access to Employees Only BLOCK

http.request.uri.path contains "/employee-portal" and not ip.src.country in {"JP" "US"}

参考： Allow traffic from specific countries only

2.13

Mutual TLS 認証

特定のホスト名で相互TLS（mTLS）認証用の有効なクライアント証明書を持たないすべてのリクエストをブロックします。

Block requests without valid mTLS client certificate BLOCK

http.host eq "api.example.com" and not cf.tls_client_auth.cert_verified

📖 さらに、デフォルトのCloudflareマネージドCAで生成されたクライアント証明書が失効していないかを確認し、失効している場合はそれらをブロックすることも推奨されます。また、特定のmTLSホスト名をクライアント証明書のシリアル番号（cf.tls_client_auth.cert_serial）と関連付けることで、よりきめ細かい制御が可能になります。

参考： Cloudflare PKI | API Shield mTLS | Learning Path: mTLS

🔗 この機能と組み合わせると効果的:

• JWT検証 — mTLS（デバイス認証） + JWT（ユーザー認証）で二要素API保護を実現 → Section 2.13参照
• API Shield — 証明書ベースの認証とスキーマ検証を組み合わせてAPI保護を強化 → Section 4.5参照

2.14

ユーザー固有のJWTクレーム軽減

JSON Webトークン（JWT）に依存するAPIエンドポイントのセキュリティを強化するために、ユーザークレームなどの特定のJWTクレームをターゲットとするルールを作成できます。

💡 この例では、ユーザークレームに基づいて管理者ユーザーからのリクエストがWAF攻撃スコアに基づいて潜在的に悪意があるとフラグ付けされたリクエストにチャレンジします。

Issue challenge for admin user in JWT claim CHALLENGE

http.request.uri.path contains "/api/" and lookup_json_string(http.request.headers["authorization"][0], "$.role") eq "admin" and cf.waf.score lt 60

参考： Issue challenge for admin user in JWT claim based on attack score

🔗 この機能と組み合わせると効果的:

• mTLS — mTLS（デバイス認証） + JWT（ユーザー認証）で二要素API保護を実現 → Section 2.12参照
• Rate Limiting — JWT内の特定のクレーム（例: ユーザーロール）に基づいて動的にレート制限を調整 → Section 3.1参照

2.15

自動化されたボットトラフィックの可視化

📋

Bot Management vs Super Bot Fight Mode — 機能比較

機能	Super Bot Fight Mode （Pro / Biz 標準）	Bot Management （Enterprise アドオン）
ボットスコア（1〜99）	—	✅ 利用可能
カスタムルールでのスコア活用	—	✅ cf.bot_management.score
JavaScript検出（JSD）	—	✅ 利用可能
機械学習ベースの検出	限定的	✅ フルアクセス
検証済みボットの許可	✅	✅
ボットアナリティクス	限定的	✅ 詳細アナリティクス
契約形態	プランに含まれる	Enterpriseアドオン契約が必要

⚠️ cf.bot_management.score などのBot Management変数を使用するカスタムルールは、Bot Management アドオン契約が必要です。Super Bot Fight Mode では使用できません。詳細はアカウントチームにご確認ください。

一般的に、自動化されたトラフィックの可視性を確保したいと考えるでしょう。これは通常、ボットスコアが自動化されている可能性が高いものをすべてログに記録するLOGアクションによって実現できます。

📊

ボットスコアの読み方（重要）：
ボットスコアは 1〜99 の数値で、数字が小さいほど自動化ボットである可能性が高いことを示します。

• スコア 1〜29：ほぼ確実に自動化ボット
• スコア 30〜79：疑わしいトラフィック（要注意）
• スコア 80〜99：人間である可能性が高い

代表的なボット例：

• 🤖 スクレイピングボット - コンテンツや価格情報を自動収集
• 🤖 AIクローラー - ChatGPT等のAI学習データ収集
• 🛒 在庫買い占めボット - 限定商品を自動購入（転売目的）
• 🎫 チケット転売ボット - コンサート・イベントチケットを大量購入
• 💳 カード情報試行ボット - 盗難カード番号の有効性確認

Visibility into Automated Bot Traffic LOG

cf.bot_management.score lt 30

意味：ボットスコアが30未満のリクエストをログに記録します。
推奨：まずはLOGアクションで影響範囲を確認してから、BLOCKへ移行してください。

参考： Bot Management variables

🔗 この機能と組み合わせると効果的:

• Rate Limiting — ボットスコア30以下に対してレート制限を強化
  cf.bot_management.score lt 30 → 10 req/min → Section 3.1参照
• Turnstile — 低スコアボットにチャレンジを表示し、人間であることを確認 → Section 4.2参照

2.16

JavaScript検出による偽ブラウザの軽減

BotScoreだけでは人間とボットを確実に区別できないシナリオでは、オプションでJavaScript検出（JSD）を有効にすることで検出を強化できます。

⚠️

重要な制限事項：

• JSDはHTMLレスポンスにのみ適用でき、ルート/最初のHTMLリクエストには適用できません。
• 正当なトラフィックへの影響を避けるため、ルールを強制する前にLOGアクションでテストしてください。
• このルールは重要なパスにのみ適用し、JSがまだ注入されていない可能性のある初期ランディングページには適用しないでください。

Mitigating Pretend-Browsers with JSD MANAGED CHALLENGE

cf.bot_management.score lt 30 and not cf.bot_management.js_detection.passed

参考： Enforcing execution of JavaScript detections

2.17

IPv6 IPの可視化

ほとんどのWebアプリケーションはIPv6アドレス経由で利用可能であることを望んでいます。しかし、IPv6が不要な場合、顧客はWAFを介してIPv6 IPを軽減し、必要に応じてIPv6互換性を無効にすることもできます。

Block or Log IPv6 IPs BLOCK / LOG

ip.src.isipv6

参考： IPv6 compatibility

2.18

アカウント乗っ取り（ATO）検出

ログイン失敗などの予測可能なボットの挙動を検知・軽減するために、検知IDを使用できます。これはレート制限ルールでも利用可能です。

🔐 ATO検出はTurnstileと組み合わせることで、より強固な保護が実現できます。

参考： Account takeover detections

2.19

サインアップ時の使い捨てメール対策

ユーザーが既知の使い捨てメールアドレスでサインアップするのを防ぐため、Cloudflareの使い捨てメールチェック機能でこの挙動を簡単に確認でき、顧客はこれをブロック、チャレンジ、ログ記録、レート制限、さらにはオリジンサーバーへのリクエストヘッダー追加など、どう処理するかを決定できます。

Mitigate Disposable Emails on SignUps BLOCK

http.request.uri.path contains "/signup" and cf.email_intelligence.disposable

参考： Cloudflare Fraud Detection

2.20

時間ベースのルール

時間ベースのルールでは、http.request.timestamp.secフィールドを活用して、特定の時間帯に基づいてロジックを適用できます。たとえば、定義された時間枠内で特定のエンドポイントへのすべてのPOSTまたはPUTリクエストをブロックすることができます。

Block POST/PUT outside business hours BLOCK

http.request.method in {"POST" "PUT"} and http.request.uri.path contains "/api/admin" and not (http.request.timestamp.sec % 86400 >= 32400 and http.request.timestamp.sec % 86400 < 54000)

注：タイムスタンプはUNIX時間で表現され、10桁の値で構成されます（UTC基準）。
上記の例は UTC 09:00〜15:00（= JST 18:00〜24:00）を「業務時間内」として扱っています。
JST（UTC+9）で9時〜18時を業務時間とする場合の計算： JST 9:00 = UTC 0:00 → 秒数: 0、JST 18:00 = UTC 9:00 → 秒数: 32400。
したがって JST 9:00〜18:00 の業務時間内ルールは: % 86400 >= 0 and % 86400 < 32400

参考： http.request.timestamp.sec フィールド

2.21

不正なCloudflare Workersの軽減

CF-Workerリクエストヘッダーは、Cloudflare WorkersのサブクエストによってFetch APIを使用する際の元のホストを識別します。

⚠️ CF-WorkerはWAFカスタムルールでは使用しないでください。代わりに、同じ値を持つcf.worker.upstream_zoneを使用してください。

Block a specific Worker BLOCK

cf.worker.upstream_zone eq "example.com"

Block all Worker subrequests except own BLOCK

not (cf.worker.upstream_zone in {"" "your-zone.com"})

参考： CF-Connecting-IP in Worker subrequests

3.1

ログインへのIPベースのレート制限

同じIPアドレスからの複数のログイン試行からログインエンドポイントを保護するために、必要な特性に基づいてレート制限を設定します。

IP-based Rate Limiting for Logins BLOCK

式： http.request.uri.path eq "/login" and http.request.method eq "POST"

特性： ip.src

リクエスト数： 5 / 60秒（ユースケースに応じて調整）

参考： Rate limiting parameters

3.2

アップロードのレート制限

POST / PUT / PATCH メソッドを使用した過剰なアップロード/HTTPリクエストを防ぎます。

Rate Limiting Uploads BLOCK

式： http.request.method in {"POST" "PUT" "PATCH"}

特性： ip.src

リクエスト数： 100 / 60秒

参考： Standard fields

3.3

クレデンシャルスタッフィングのレート制限

クレデンシャルスタッフィング攻撃から保護するためには、一般的に多層防御のアプローチを採用することが推奨されます。このレート制限ルールは、複数のアプローチのうちの一例に過ぎません。

🎯 特性：JA3 フィンガープリント

同じTLSフィンガープリントを持つクライアントからのログイン試行を制限します。ツールを使用した攻撃の検出に有効。

🎯 特性：IP + User Agent

同じIPとUser Agentの組み合わせからのリクエストを制限します。より細かい制御が可能。

💡 まずはLOGアクションで適切なレート制限値を見つけてからブロックに移行することを推奨します。Find an appropriate rate limit を参照してください。

参考： Protecting against credential stuffing

3.4

疑わしいログインのレート制限

Have I been Pwned (HIBP)に基づき、漏洩した認証情報、特に漏洩したパスワードを使用した疑わしいログイン試行（認証イベント）に対して、レート制限を実装します。

Rate Limit Suspicious Logins BLOCK

式： cf.waf.credential_check.username_and_password_exposed

特性： ip.src

参考： Leaked credentials detection

3.5

地域ベースのレート制限

一般的に多くのトラフィックが来るとは予想されない市場がある場合、IPアドレスやその他の特性に基づいて、それらの国からのリクエストをレート制限することができます。

Geography-based Rate Limiting BLOCK

式： not ip.src.country in {"JP" "US" "SG"}

特性： ip.src

リクエスト数： 100 / 60秒（通常トラフィックより低い値に設定）

参考： Enforcing granular access control

3.6

IPv6ベースのレート制限

IPv6プレフィックス全体を保護するには、cidr6関数とプレフィックス長を指定して、カスタム特性でレートリミットを設定します。

IPv6-based Rate Limiting BLOCK

カスタム特性：

cidr6(ip.src, 64)

→ /64プレフィックス単位でカウントします。プレフィックス長は環境に応じて調整してください。

参考： Rules language

3.7

クライアント証明書ベースのレート制限

侵害される可能性のある証明書やデバイスの悪用を防ぐため、特定の期間内に同じクライアント証明書が複数回使用されることに基づいてレート制限を設けます。これはmTLS保護の一部です。

Client Certificate-based Rate Limiting BLOCK

カスタム特性：

cf.tls_client_auth.cert_fingerprint_sha256

参考： SHA-256 fingerprint of the certificate

4.4

🔐 Leaked Credentials Check（漏洩認証情報チェック）

Leaked Credentials Checkは、ユーザーがログイン時に使用した認証情報（ユーザー名・パスワード）が、過去のデータ漏洩で流出したものかどうかをリアルタイムでチェックする機能です。Credential Stuffing攻撃やアカウント乗っ取り（ATO）を防止します。All Plans

🔍 リアルタイム照合

ログインリクエストの認証情報を、15億以上のレコードを持つ漏洩データベースとリアルタイムで照合

🔒 プライバシー保護

k-匿名性を使用。パスワードのハッシュの一部のみを送信し、プライバシーを保護

⚡ 低レイテンシ

エッジで処理されるため、ログイン体験に影響を与えない

利用可能なフィールド（5種類）

フィールド	説明	プラン
cf.waf.credential_check.password_leaked	パスワードが過去に漏洩したかどうか	All Plans
cf.waf.credential_check.username_and_password_leaked	ユーザー名とパスワードのペアが過去に漏洩したかどうか	Pro+
cf.waf.credential_check.username_leaked	ユーザー名が過去に漏洩したかどうか	Enterprise
cf.waf.credential_check.username_password_similar	類似バージョンのユーザー名・パスワードが過去に漏洩したかどうか	Enterprise
cf.waf.auth_detected	リクエストに認証情報が含まれているかどうか	Enterprise

主な使用例

• ログイン保護：cf.waf.credential_check.password_leakedフィールドで漏洩パスワードを検出し、Managed Challengeを表示
• パスワードリセット促進：Transform RulesでX-Leaked-Credential: trueヘッダーを追加し、オリジンでパスワード変更を促す
• MFA強制：漏洩認証情報検知時に多要素認証を要求
• 新規登録時のチェック：漏洩パスワードの使用を禁止し、強力なパスワードの設定を強制

上記の例では、cf.waf.credential_check.username_and_password_leakedが/loginエンドポイントで実行されています。マッチした場合、Managed Challengeを表示してボット対策と漏洩認証情報の使用を防ぎます。

💡 推奨：まずLogモードで検知状況を確認し、誤検知がないことを確認してからBlock/Challengeに移行。Rate Limitingと組み合わせて多層防御を構築してください。

🔗 この機能と組み合わせると効果的:

• ATO検出 — 漏洩認証情報 + アカウント乗っ取りシグナル（異常なログイン位置、デバイス変更など）で複合判定 → Section 2.17参照
• 使い捨てメール対策 — 疑わしいメールドメイン（temp-mail.orgなど）と漏洩認証情報を同時にブロックし、不正アカウント作成を防止 → Section 2.18参照

4.7

Custom Error Page

ブランディングがあなたとあなたのビジネスにとって重要である場合、カスタムページ（エラーおよびチャレンジ）またはカスタムエラーを設定できます。

🎨 カスタムブロックレスポンス

Cloudflare WAFでブロックされたリクエストに対するカスタムレスポンスを設定。ブランドに合わせたメッセージを表示できます。

⚠️ カスタムエラーページ

Cloudflare Rulesに対するカスタムエラーレスポンスを設定。ユーザー体験を向上させます。

4.8

Analytics & Log Management

💻 ダッシュボード: Security › Analytics / Events

マッチしたすべてのルールはSecurity Events（Security › Events）で確認できます。すべてのリクエストのより広範な概要はSecurity Analytics（Security › Analytics）で確認できます。

⚠️ Cloudflareダッシュボードのすべてのアナリティクスはサンプリングされています。正確なログが必要な場合はLogpushを利用してください。

🚨 Suspicious Activity（不審アクティビティの監視）

Suspicious Activityは Security Analytics の機能で、有効化済みの各種検出機能が識別した不審なリクエストを一元的に可視化します。新しいセキュリティダッシュボード（dash.cloudflare.com/security）でのみ利用可能。

📖

Suspicious Activityで監視できる検出機能：

• Account Takeover（ATO）検出 — ボット管理機能が検知したアカウント乗っ取り試行。クレデンシャルスタッフィングや不審なログインパターンを特定。
• Leaked Credential Check（漏洩認証情報） — ユーザー名・パスワードが既知の流出データベースに含まれるログイン試行を検出。全プランで利用可能。
• Malicious Uploads（悪意のあるアップロード） — アップロードされたファイルにマルウェアや悪意のあるコンテンツが含まれていないかをスキャン。
• WAF Attack Score — SQLi・XSS・RCEなどの攻撃パターンを機械学習で検出したリクエスト。
• AI Security for Apps — AIアプリケーションに対するプロンプトインジェクション等の攻撃を検出。

各不審アクティビティには Critical / High / Medium / Low の深刻度スコアが付与されます。フィルタを使用してドリルダウン調査が可能です。

🔍 ATOと漏洩認証情報の調査手順

• Security › Analytics を開き「Suspicious Activity」セクションを確認
• ATOまたはLeaked Credentialのイベントをフィルタリング
• 対象IPアドレス・User-Agent・地域などを特定
• 「Create custom security rule」からWAFルールを即時作成可能
• Rate Limiting（Section 3.4）と組み合わせて多層防御を構築

📊 Security Analyticsの活用ポイント

• Attack analysisタブ：WAF攻撃スコアの分布を確認（Clean / Likely clean / Likely attack / Attack）
• Bot analysisタブ：ボットスコアの分布を確認（Automated / Likely automated / Human）
• Request rate analysisタブ：適切なレート制限値を特定するために使用
• フィルタ適用後に「Create custom security rule」でルールを直接生成

📤 Logpush Enterprise

ログをストレージサービス（R2、S3など）、SIEM（Splunk、Datadog等）、またはログ管理プロバイダーにプッシュします。

Logpush Docs

🔍 Log Explorer Enterprise

ダッシュボード上でログを直接検索・分析できる機能です。Security Analyticsと同じフィルタを使ってドリルダウン調査が可能。

Log Explorer Docs

🔔 通知設定

WAFアラート・DDoSアラート・証明書期限切れアラートなどを設定し、定期的にステータスページを確認してください。

Notifications Docs

4.9

オリジンサーバー保護

オリジンサーバーのIPアドレスを保護し、Cloudflare経由のトラフィックのみを許可することは、最も重要なセキュリティ対策の一つです。攻撃者がオリジンサーバーのIPアドレスを特定すると、Cloudflareのセキュリティ保護を完全にバイパスして直接攻撃することが可能になります。オリジンIPアドレスのローテーション（変更）だけでは不十分です。攻撃者は履歴データ・DNS記録・誤設定・スキャンなどを通じて新しいIPアドレスを再び発見できるためです。Cloudflareは複数のレイヤーでオリジン保護機能を提供しています。

レイヤー	製品・機能	概要・推奨事項
Application Layer (L7)	Cloudflare Tunnel (HTTP / WebSockets)	オリジンサーバーからCloudflareへのアウトバウンド接続を確立。ポートを開放せずにトラフィックを受信可能。最も安全なオリジン保護手法。
	HTTP Header Validation	Managed Transformsでカスタムヘッダーを追加し、オリジン側で検証。Cloudflare経由のリクエストのみを識別可能。
	JSON Web Tokens (JWT) Validation	API Shieldを使用してJWTトークンを検証。API呼び出しの認証・認可を強化。
Transport Layer (L4-L5)	Authenticated Origin Pulls	クライアント証明書（mTLS）でCloudflareからのリクエストを暗号学的に認証。SSL/TLS Full (Strict)と組み合わせて使用推奨。
	Cloudflare Tunnel (SSH / RDP)	SSH・RDP等のTCPトラフィックもTunnel経由でルーティング可能。管理アクセスの保護に有効。
Network Layer (L3-L4)	Allowlist Cloudflare IP addresses	オリジンファイアウォールでCloudflare IPアドレスのみを許可。最も基本的で重要な対策。必ず実装すること。
	Cloudflare Magic Transit	ネットワーク層DDoS保護。BGPアナウンスでトラフィックをCloudflareへルーティング。Enterprise専用。
	Cloudflare Network Interconnect	Cloudflareネットワークとオリジンネットワークを専用接続で直結。最高レベルのパフォーマンスとセキュリティ。Enterprise専用。
	Dedicated CDN Egress IPs	専用のegressIPアドレスを割り当て、オリジン側で特定可能に。

参考： Protect your origin server | SSL/TLS Full (Strict) mode

WAF設定をコード管理（Infrastructure as Code）することで、変更履歴の追跡、環境間の設定同期、災害復旧が容易になります。Cloudflare WAFはTerraformとcf-terraformingツールでコード化できます。

🔄 WAF設定のエクスポート

export CF_API_TOKEN="your-api-token-here"
export ZONE_ID="your-zone-id-here"

curl "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/rulesets" \
  -H "Authorization: Bearer ${CF_API_TOKEN}" | \
  jq -r '.result[] | "\(.kind) - \(.name): \(.id)"'

zone - default: 4e7d7cfc89e94db8a7071554de00####
zone - Cloudflare Managed Ruleset: efb7b8c949ac4650a09736fc376e####
zone - Cloudflare OWASP Core Ruleset: 4814384a9e5d4991b9815dcfc25d####

RULESET_ID="4e7d7cfc89e94db8a7071554de00####"
curl "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/rulesets/${RULESET_ID}" \
  -H "Authorization: Bearer ${CF_API_TOKEN}" | jq '.result.rules[]'

{
  "id": "d686e81f5ab84c20bd7155f5e26683a0",
  "version": "4",
  "action": "block",
  "expression": "(cf.bot_management.score lt 30)",
  "description": "Block suspicious bots",
  "enabled": true
}

RULESET_ID="efb7b8c949ac4650a09736fc376e9aee"
curl "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/rulesets/${RULESET_ID}" \
  -H "Authorization: Bearer ${CF_API_TOKEN}" | jq '.result.rules[]'

{
  "id": "5de7edfa648c4d6891dc3e7f84534ffa",
  "version": "258",
  "action": "execute",
  "action_parameters": {
    "id": "efb7b8c949ac4650a09736fc376e9aee",
    "overrides": {
      "enabled": true
    }
  },
  "description": "Execute Cloudflare Managed Ruleset",
  "enabled": true
}

🚀 cf-terraforming で自動変換

cf-terraformingは、Cloudflare設定を自動的にTerraformコードに変換する公式CLIツールです。

# macOS
brew install cloudflare/cloudflare/cf-terraforming

# Go経由
go install github.com/cloudflare/cf-terraforming/cmd/cf-terraforming@latest

# Terraform設定ファイル生成
cf-terraforming generate \
  --resource-type cloudflare_ruleset \
  --zone $ZONE_ID > waf-custom-rules.tf

# 既存リソースをTerraform stateにインポート
cf-terraforming import \
  --resource-type cloudflare_ruleset \
  --zone $ZONE_ID

📝 手動Terraform設定例

resource "cloudflare_ruleset" "waf" {
  zone_id = var.zone_id
  name    = "WAF Custom Rules"
  kind    = "zone"
  phase   = "http_request_firewall_custom"

  rules {
    description = "Block suspicious bots"
    expression  = "(cf.bot_management.score lt 30)"
    action      = "block"
  }
}

resource "cloudflare_ruleset" "rate_limit" {
  zone_id = var.zone_id
  name    = "Rate Limiting"
  kind    = "zone"
  phase   = "http_ratelimit"

  rules {
    description = "API rate limit"
    expression  = "(http.request.uri.path matches \"^/api/\")"
    action      = "block"
    
    ratelimit {
      characteristics     = ["ip.src"]
      period              = 60
      requests_per_period = 100
      mitigation_timeout  = 600
    }
  }
}

🔧 Managed WAF オーバーライド管理

Managed WAFルール自体はTerraformで作成できませんが、オーバーライド（action変更）は可能です。

# 特定ルールのアクションをオーバーライド
curl -X PUT "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/rulesets/phases/http_request_firewall_managed/entrypoint" \
  -H "Authorization: Bearer ${CF_API_TOKEN}" \
  -H "Content-Type: application/json" \
  -d '{
    "rules": [{
      "action": "execute",
      "action_parameters": {
        "id": "efb7b8c949ac4650a09736fc376e9aee",
        "overrides": {
          "rules": [{
            "id": "5de7edfa648c4d6891dc3e7f84534ffa",
            "action": "log"
          }]
        }
      }
    }]
  }'

# WordPress関連ルールを一括でchallengeに変更する場合は、
# タグベースのオーバーライドを使用

📊 バージョン管理とロールバック

WAF設定のバージョン管理とロールバックは、Terraform（コード管理）またはCloudflare API（ルールセットバージョン管理）で実現できます。

現在のバージョン確認

curl "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/rulesets" \
  -H "Authorization: Bearer ${CF_API_TOKEN}" | \
  jq '.result[] | {id, name, version, last_updated}'

出力例:

{
  "id": "efb7b8c949ac4650a09736fc376e9aee",
  "name": "Cloudflare Managed Ruleset",
  "version": "352",
  "last_updated": "2026-04-27T20:47:27Z"
}

特定バージョンへロールバック

上記で確認したRuleset ID（efb7b8c949ac4650a09736fc376e9aee）を使って、バージョン352→351へロールバックします。

# Step 1: バージョン351の設定内容を取得
RULESET_ID="efb7b8c949ac4650a09736fc376e9aee"  # 上記で確認したID
curl "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/rulesets/${RULESET_ID}/versions/351" \
  -H "Authorization: Bearer ${CF_API_TOKEN}" > version-351.json

# Step 2: バージョン351へロールバック
curl -X PUT "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/rulesets/${RULESET_ID}" \
  -H "Authorization: Bearer ${CF_API_TOKEN}" \
  -H "Content-Type: application/json" \
  -d @version-351.json

参考: Terraform Cloudflare Provider - Ruleset | cf-terraforming GitHub

🚨 よくある問題①：正常なトラフィックがブロックされている（誤検知）

WAFルールを有効化した後に正常なユーザーやAPIコールがブロックされている場合、以下の手順で診断します。

📋 サポートへ問い合わせる際に必要な情報

🔗 リソース

Cloudflare WAFおよびアプリケーションセキュリティに関連する主要な用語の定義です。

🔐 攻撃・脅威

WAF 攻撃スコア / Attack Score

1〜99の数値でリクエストの悪意の可能性を示す指標。1に近いほど攻撃の可能性が高く、99に近いほど正常。SQLi・XSS・RCEの各カテゴリ別スコア（cf.waf.score.sqli 等）も提供。Cloudflareの機械学習モデルが算出。

WAF クレデンシャルスタッフィング / Credential Stuffing

流出したユーザー名・パスワードの組み合わせを使い、自動化されたログイン試行を大量に行う攻撃手法。Cloudflareの漏洩認証情報検出機能（cf.waf.credential_check）で検知可能。

WAF 漏洩認証情報 / Leaked Credentials

データ侵害や設定ミスなどで外部に流出した認証情報（ユーザー名・パスワード・APIキー等）。Cloudflareはデータベースと照合し、ログインリクエストに流出した認証情報が含まれているかをリアルタイムで検出できる。

WAF プロンプトインジェクション / Prompt Injection

大規模言語モデル（LLM）のシステムプロンプトを上書き・操作する攻撃手法。AIを利用したアプリケーションに対する新種の脅威。Cloudflare WAFは攻撃スコアでLLM関連の攻撃も検知。

Security SQLインジェクション / SQL Injection (SQLi)

悪意のあるSQLコードをリクエストに埋め込み、データベースを不正操作する攻撃。Cloudflare WAFマネージドルールセットで検出・ブロック可能。攻撃スコアフィールド: cf.waf.score.sqli。

Security XSS（クロスサイトスクリプティング）

悪意のあるスクリプトをWebページに埋め込み、閲覧したユーザーのブラウザ上で実行させる攻撃。攻撃スコアフィールド: cf.waf.score.xss。WAFマネージドルールおよびRule ID 882b37d6bd5f4bf2a3cdb374d503ded0 で検出。

Security RCE（リモートコード実行）

攻撃者がリモートからターゲットサーバー上で任意のコードを実行できる脆弱性・攻撃手法。攻撃スコアフィールド: cf.waf.score.rce。

Security アカウント乗っ取り / ATO（Account Takeover）

不正に取得した認証情報や自動化ツールを使い、他人のアカウントに不正アクセスする攻撃。クレデンシャルスタッフィングや総当たり攻撃（ブルートフォース）がよく使われる手法。

🤖 ボット・フィンガープリント

Bots ボットスコア / Bot Score

1〜99の数値でリクエストが自動化ボットである可能性を示す。1〜29：ほぼ確実にボット、30〜99：人間の可能性が高い。フィールド: cf.bot_management.score。利用にはEnterprise Bot Managementアドオンが必要。

Bots 検証済みボット / Verified Bot

CloudflareがGooglebotやBingbotなど、正規の自動化クライアントとして検証したボット。フィールド: cf.client.bot（true/false）。これらは通常、WAFカスタムルールでSKIPして通過させることを推奨。

Bots JA3フィンガープリント

TLSハンドシェイク時のクライアントパラメータ（TLSバージョン・暗号スイート・拡張機能等）をハッシュ化した文字列。同じクライアントソフトウェアは同じJA3値を生成するため、ブラウザやボットの識別に使用できる。フィールド: cf.bot_management.ja3_hash。

Bots JA4フィンガープリント

JA3の後継規格。TLSハンドシェイクの詳細をより細かく・安定的に識別できる新しいフィンガープリント手法。JA3より偽装が困難で、より精度の高いクライアント識別が可能。フィールド: cf.bot_management.ja4。

Bots Super Bot Fight Mode

Pro・Businessプランで利用できるボット対策機能。自動化されたボットに対してCHALLENGEやBLOCKアクションを設定できる。Bot Managementスコア変数（cf.bot_management.score）はこのモードでは使用不可。Security › Bots で設定。

Bots JavaScript検出 / JSD（JavaScript Detection）

CloudflareがHTMLレスポンスにJavaScriptを注入し、クライアントがブラウザとして正常に実行できるかを確認する仕組み。ブラウザを偽装するボットの検出に有効。フィールド: cf.bot_management.js_detection.passed。Bot Managementアドオンが必要。

Bots ボットタグ / Bot Tags

なぜそのリクエストに特定のボットスコアが付与されたかの追加情報。「verified_bot」「ai_crawler」「search_engine_crawler」などのタグが付与される。フィールド: cf.bot_management.tags。

WAF ゼロショット分類モデル

学習時に見たことのないクラスにもデータを分類できる事前学習済み機械学習モデル。CloudflareはこのモデルをWAF攻撃スコアの算出に利用し、新種の攻撃パターンを既知のシグネチャなしに検出できる。

📋 ルール・設定

WAF マネージドルールセット / Managed Ruleset

Cloudflareが管理・更新するルールの集合体。既知の攻撃パターン（OWASP Top 10等）を自動的に検出・ブロックする。ユーザーはアクションや例外を設定できる。主要なものは「Cloudflare Managed Ruleset」と「OWASP Core Ruleset」の2種類。

WAF WAF例外 / WAF Exception

特定の条件（パス・IPアドレス・User-Agent等）に一致するリクエストを、マネージドルールの検査対象から除外する設定。誤検知を解消するために使用。Security › WAF › Managed rules › Add exception で設定可能。

WAF パラノイアレベル / Paranoia Level (PL)

OWASPコアルールセットの積極性を分類するレベル。PL1（最も保守的・誤検知少）〜PL4（最も積極的・誤検知多）の4段階。新規ユーザーはPL1から始めることを推奨。

WAF ルール特性 / Rule Characteristics

レート制限ルールにおいて、どの基準でリクエスト数をカウントするかを定義するパラメータ。IPアドレス（ip.src）・JA3ハッシュ・Cookie・ヘッダー値などを特性として設定できる。

WAF 軽減済みリクエスト / Mitigated Request

CloudflareがBLOCK・CHALLENGEなどの終端アクション（ターミネーティングアクション）を適用したリクエスト。LOGアクションは記録のみで軽減には含まれない。Security Eventsで確認可能。

WAF コンテンツオブジェクト / Content Object

リクエストボディの中でCloudflareがバイナリとして検出した部分。以下のコンテンツタイプに該当しないもの: text/html・text/x-shellscript・application/json・text/csv・text/xml。WAFのボディ検査に関係する概念。

WAF レート制限 / Rate Limiting

一定時間内のリクエスト数が閾値を超えた場合にアクション（BLOCK・CHALLENGE等）を適用するルール。DoS攻撃・クレデンシャルスタッフィング・スクレイピング対策に有効。Security › WAF › Rate limiting rules で設定。

WAF SIEM

Security Information and Event Management（セキュリティ情報・イベント管理）の略。複数のソースからセキュリティログを収集・分析・相関付けするシステム。CloudflareのLogpushでSIEMにログを転送できる（Splunk・Datadog・Microsoft Sentinelなど）。

🌐 ネットワーク・認証

Network ASN（自律システム番号）

Autonomous System Numberの略。インターネット上の独立したネットワーク（ISP・クラウドプロバイダー・企業等）に割り当てられた一意の番号。WAFルールで特定のASNからのトラフィックをブロック・許可できる。フィールド: ip.geoip.asnum。

SSL/TLS mTLS（相互TLS認証）

Mutual TLSの略。通常のTLSがサーバー証明書のみ検証するのに対し、mTLSではクライアントも証明書を提示してサーバーに認証される双方向認証。APIセキュリティやデバイス認証に有効。フィールド: cf.tls_client_auth.cert_verified。

SSL/TLS Authenticated Origin Pulls

Cloudflareのエッジからオリジンサーバーへのリクエスト時に、Cloudflareがクライアント証明書を提示して認証する仕組み。オリジンはCloudflare経由のリクエストのみを受け付けることができる。SSL/TLS › Origin Server で設定。

SSL/TLS CA（認証局）/ Certificate Authority

Certificate Authorityの略。SSL証明書を発行・検証する信頼された第三者機関。Cloudflareは独自のPKI（Cloudflare PKI）を提供しており、mTLS用のクライアント証明書を発行できる。

Network Anycast

同一のIPアドレスに対するリクエストを、地理的に最も近いCloudflareのデータセンターにルーティングするネットワーク方式。Cloudflareの300以上のデータセンターでAnycastを採用しており、DDoS緩和やレイテンシ低減に寄与。

WAF Ray ID

Cloudflareが各リクエストに付与する一意の識別子（例: 7f3a1b2c3d4e5f6a）。ブロックページや cf-ray レスポンスヘッダーで確認できる。Security Eventsでの検索やサポートへの問い合わせ時に必須の情報。

Security ゾーン / Zone

Cloudflareに登録されたドメイン（例: example.com）の管理単位。WAF・DNS・SSL等の設定はすべてゾーン単位で行われる。アカウントには複数のゾーンを持つことができる。

Security アローリスト / Allowlist & ブロックリスト / Blocklist

Allowlist（許可リスト）：アクセスを許可するIPアドレス・ドメイン等のリスト。Blocklist（ブロックリスト）：アクセスを拒否するリスト。Cloudflare WAFの「Lists」機能（Security › WAF › Tools › Lists）でカスタムリストを作成・管理できる。

🔑 JWT・API

API JWT（JSON Web Token）

JSON Web Tokenの略。ヘッダー・ペイロード・署名の3部構成でBase64エンコードされた認証トークン。APIの認証・認可に広く使用される。Cloudflare API ShieldのJWT Validation機能で検証可能。

API API スキーマ / API Schema

APIが受け付けるリクエストの仕様（エンドポイント・HTTPメソッド・パラメータ形式等）を定義したドキュメント（OpenAPI/Swagger形式）。Cloudflare API ShieldのSchema Validationに登録することで、仕様外のリクエストをブロックできる。

API ポジティブセキュリティモデル

既知の「許可すべきリクエスト」のみを通過させ、それ以外はすべてブロックするセキュリティアプローチ。既知の「悪意のあるリクエスト」をブロックするネガティブセキュリティモデルの対義語。API Shieldのスキーマ検証でこのモデルを実現できる。

API フォールスルー / Fallthrough

API Shieldで管理されているどのエンドポイント定義にも一致しないリクエスト。cf.api_gateway.fallthrough_enabled と cf.api_gateway.match フィールドを使ったカスタムルールでブロック可能（Section 2.3参照）。

参考： WAF Glossary | Cloudflare Fundamentals Glossary