Cloudflare セキュリティルールを実際の画面で確認 Block・Challenge・Rate Limitingの挙動まとめ
目次
- 1. はじめに
- 2. 構成ルール(Configuration Rules)
- 3. セキュリティルール(Security Rules)
- 4. レート制限ルール
- 5. 実際の運用での活用方法
- 6. 設定時の注意点
- 7. まとめ
この記事のポイント
- Cloudflareのセキュリティルール各種の実際の動作を動画で確認
- Block、Challenge系の使い分けの指針
- レート制限ルールの効果的な設定方法
- 実際の攻撃対策で役立つ具体的な設定例
1. はじめに
Webサイトの運営において、悪意のあるアクセスやボット攻撃からの保護は重要な課題です。Cloudflareのセキュリティルールは、これらの脅威に対する強力な防御手段を提供します。
本記事では、Cloudflareの各セキュリティルールの実際の動作を、設定画面と実行時の挙動動画で詳しく解説します。テスト環境としてtest01-api.frudens.netというホストを使用し、以下のマッチング条件で検証を行いました。
(http.host in {"test01-api.frudens.net"})
2. 構成ルール(Configuration Rules)
構成ルールは、特定の条件に基づいてCloudflareの機能設定を動的に変更するためのルールです。緊急時の対応や、特定のページでの設定調整に活用できます。
Under Attack モード
Under Attack モードは、DDoS攻撃や大量のボットアクセスを受けた際に有効化する緊急対応機能です。すべての訪問者にJavaScriptチャレンジを表示し、人間による正常なアクセスのみを通します。
3. セキュリティルール(Security Rules)
セキュリティルールは、特定の条件にマッチするリクエストに対して、様々なアクションを実行できる機能です。悪意のあるアクセスをブロックしたり、疑わしいアクセスにチャレンジを課すことで、サイトのセキュリティを向上させます。
利用可能ルール数の制限
プランによって作成できるルール数に制限があります。詳細は以下のドキュメントをご確認ください。
Custom rules · Cloudflare Web Application Firewall (WAF) docs
アクション:ブロック
ブロックアクションは、マッチした条件のリクエストを完全に遮断します。明確に悪意があるIPアドレスや、既知の攻撃パターンに対して使用します。
アクション:マネージドチャレンジ
マネージドチャレンジは、Cloudflareが自動的に人間かボットかを判定するチャレンジです。多くの場合、ユーザーは何も操作する必要がなく、自動的にチャレンジをクリアできます。
アクション:JSチャレンジ
JSチャレンジは、JavaScript実行能力を持つブラウザかどうかを検証するチャレンジです。シンプルなボットからの攻撃を効果的に防げます。
アクション:インタラクティブチャレンジ
インタラクティブチャレンジは、ユーザーに画像認識やパズル解決などの操作を求めるCAPTCHAタイプのチャレンジです。最も強力なボット対策として機能します。
アクション:スキップ
スキップアクションは、特定の条件にマッチするリクエストに対して、他のセキュリティルールの適用をスキップします。信頼できるIPアドレスや、必要なAPIアクセスをホワイトリスト化する際に使用します。
4. レート制限ルール
レート制限ルールは、指定した期間内のリクエスト数が設定値を超えた場合に、アクションを実行する機能です。ブルートフォース攻撃やAPIの過剰利用を防止できます。
本検証では、URIパス/rate-rule-limitに対するアクセス頻度を監視し、制限値を超過した場合の動作を確認しました。フリープランでは設定可能な値に制限があることにご注意ください。
レート制限の詳細仕様
プランごとの制限値や設定オプションの詳細については、以下のドキュメントをご確認ください。
Rate limiting rules · Cloudflare Web Application Firewall (WAF) docs
5. 実際の運用での活用方法
セキュリティアクションの選択指針
| アクション | 適用場面 | ユーザー影響 | 効果 |
|---|---|---|---|
| ブロック | 明確な悪意のあるIP、既知の攻撃パターン | 高(アクセス不可) | 最強 |
| マネージドチャレンジ | 疑わしいが判定が微妙なアクセス | 低(自動処理) | 高 |
| JSチャレンジ | シンプルなボット対策 | 中(数秒の待機) | 中 |
| インタラクティブチャレンジ | 高度なボット対策が必要 | 高(手動操作必要) | 最強 |
段階的セキュリティ戦略
効果的なセキュリティ運用では、複数のルールを組み合わせた段階的なアプローチが重要です。
- ホワイトリスト設定:信頼できるIPアドレスにスキップルールを適用
- 地域制限:サービス対象外の国からのアクセスをブロック
- レート制限:過剰なアクセス頻度を制限
- 行動分析:疑わしい行動パターンにチャレンジを適用
6. 設定時の注意点
誤検知を防ぐためのポイント
- 段階的導入:最初は「ログのみ」モードで動作を確認してから本運用へ
- ホワイトリスト整備:管理者や重要なAPIアクセスは事前にスキップルール設定
- ログ監視:定期的にセキュリティログを確認し、誤検知がないかチェック
- ユーザビリティ配慮:過度に厳しい設定は正常なユーザーの利用を阻害する可能性
プラン制限への対応
無料プランやLowerプランでは、作成可能なルール数に制限があります。以下の優先順位で設定することをお勧めします。
- 既知の悪意あるIPのブロック
- 重要なエンドポイントへのレート制限
- 全体的なマネージドチャレンジ適用
7. まとめ
Cloudflareのセキュリティルールは、Webサイトを様々な脅威から保護する強力なツールです。本記事で紹介した各アクションの特性を理解し、サイトの要求に応じて適切に組み合わせることで、セキュリティと利便性のバランスを取ることができます。
特に重要なポイントは以下の通りです:
- 段階的なアプローチ:ブロック→チャレンジ→許可の順で防御層を構築
- ユーザビリティの考慮:セキュリティ強化とユーザー体験のバランス
- 継続的な監視:ログ分析による効果測定と設定の最適化
実際の動作を動画で確認することで、各セキュリティルールの効果と影響範囲を把握し、より効果的なセキュリティ設定を行えるようになるでしょう。

