Cloudflare セキュリティルールを実際の画面で確認 Block・Challenge・Rate Limitingの挙動まとめ

公開日: 更新日:

目次

この記事のポイント

  • Cloudflareのセキュリティルール各種の実際の動作を動画で確認
  • Block、Challenge系の使い分けの指針
  • レート制限ルールの効果的な設定方法
  • 実際の攻撃対策で役立つ具体的な設定例

1. はじめに

Webサイトの運営において、悪意のあるアクセスやボット攻撃からの保護は重要な課題です。Cloudflareのセキュリティルールは、これらの脅威に対する強力な防御手段を提供します。

本記事では、Cloudflareの各セキュリティルールの実際の動作を、設定画面と実行時の挙動動画で詳しく解説します。テスト環境としてtest01-api.frudens.netというホストを使用し、以下のマッチング条件で検証を行いました。

(http.host in {"test01-api.frudens.net"})
ホストが test01-api.frudens.net の場合にマッチする条件式

2. 構成ルール(Configuration Rules)

構成ルールは、特定の条件に基づいてCloudflareの機能設定を動的に変更するためのルールです。緊急時の対応や、特定のページでの設定調整に活用できます。

Under Attack モード

Under Attack モードは、DDoS攻撃や大量のボットアクセスを受けた際に有効化する緊急対応機能です。すべての訪問者にJavaScriptチャレンジを表示し、人間による正常なアクセスのみを通します。

Under Attack モードの構成ルール設定画面
Under Attack モードの構成ルール設定画面
Under Attack モードの詳細設定
Under Attack モードの詳細設定
Under Attack モード実行時のJavaScriptチャレンジ画面

3. セキュリティルール(Security Rules)

セキュリティルールは、特定の条件にマッチするリクエストに対して、様々なアクションを実行できる機能です。悪意のあるアクセスをブロックしたり、疑わしいアクセスにチャレンジを課すことで、サイトのセキュリティを向上させます。

利用可能ルール数の制限

プランによって作成できるルール数に制限があります。詳細は以下のドキュメントをご確認ください。

Custom rules · Cloudflare Web Application Firewall (WAF) docs

セキュリティルール一覧画面
セキュリティルール一覧画面

アクション:ブロック

ブロックアクションは、マッチした条件のリクエストを完全に遮断します。明確に悪意があるIPアドレスや、既知の攻撃パターンに対して使用します。

ブロックアクションの設定画面
ブロックアクションの設定画面
ブロックされたアクセスに表示されるエラーページ
ブロックされたアクセスに表示されるHTTP 403エラーページ

アクション:マネージドチャレンジ

マネージドチャレンジは、Cloudflareが自動的に人間かボットかを判定するチャレンジです。多くの場合、ユーザーは何も操作する必要がなく、自動的にチャレンジをクリアできます。

マネージドチャレンジの設定画面
マネージドチャレンジの設定画面
マネージドチャレンジの自動処理実行画面

アクション:JSチャレンジ

JSチャレンジは、JavaScript実行能力を持つブラウザかどうかを検証するチャレンジです。シンプルなボットからの攻撃を効果的に防げます。

JSチャレンジの設定画面
JSチャレンジの設定画面
JSチャレンジの実行画面

アクション:インタラクティブチャレンジ

インタラクティブチャレンジは、ユーザーに画像認識やパズル解決などの操作を求めるCAPTCHAタイプのチャレンジです。最も強力なボット対策として機能します。

インタラクティブチャレンジの設定画面
インタラクティブチャレンジの設定画面
インタラクティブチャレンジの実行画面

アクション:スキップ

スキップアクションは、特定の条件にマッチするリクエストに対して、他のセキュリティルールの適用をスキップします。信頼できるIPアドレスや、必要なAPIアクセスをホワイトリスト化する際に使用します。

スキップアクションの設定画面
スキップアクションの設定画面

4. レート制限ルール

レート制限ルールは、指定した期間内のリクエスト数が設定値を超えた場合に、アクションを実行する機能です。ブルートフォース攻撃やAPIの過剰利用を防止できます。

本検証では、URIパス/rate-rule-limitに対するアクセス頻度を監視し、制限値を超過した場合の動作を確認しました。フリープランでは設定可能な値に制限があることにご注意ください。

レート制限の詳細仕様

プランごとの制限値や設定オプションの詳細については、以下のドキュメントをご確認ください。

Rate limiting rules · Cloudflare Web Application Firewall (WAF) docs

レート制限ルールの設定画面
レート制限ルールの設定画面
レート制限を超過した際の制限適用画面

5. 実際の運用での活用方法

セキュリティアクションの選択指針

アクション 適用場面 ユーザー影響 効果
ブロック 明確な悪意のあるIP、既知の攻撃パターン 高(アクセス不可) 最強
マネージドチャレンジ 疑わしいが判定が微妙なアクセス 低(自動処理)
JSチャレンジ シンプルなボット対策 中(数秒の待機)
インタラクティブチャレンジ 高度なボット対策が必要 高(手動操作必要) 最強

段階的セキュリティ戦略

効果的なセキュリティ運用では、複数のルールを組み合わせた段階的なアプローチが重要です。

  1. ホワイトリスト設定:信頼できるIPアドレスにスキップルールを適用
  2. 地域制限:サービス対象外の国からのアクセスをブロック
  3. レート制限:過剰なアクセス頻度を制限
  4. 行動分析:疑わしい行動パターンにチャレンジを適用

6. 設定時の注意点

誤検知を防ぐためのポイント

  • 段階的導入:最初は「ログのみ」モードで動作を確認してから本運用へ
  • ホワイトリスト整備:管理者や重要なAPIアクセスは事前にスキップルール設定
  • ログ監視:定期的にセキュリティログを確認し、誤検知がないかチェック
  • ユーザビリティ配慮:過度に厳しい設定は正常なユーザーの利用を阻害する可能性

プラン制限への対応

無料プランやLowerプランでは、作成可能なルール数に制限があります。以下の優先順位で設定することをお勧めします。

  1. 既知の悪意あるIPのブロック
  2. 重要なエンドポイントへのレート制限
  3. 全体的なマネージドチャレンジ適用

7. まとめ

Cloudflareのセキュリティルールは、Webサイトを様々な脅威から保護する強力なツールです。本記事で紹介した各アクションの特性を理解し、サイトの要求に応じて適切に組み合わせることで、セキュリティと利便性のバランスを取ることができます。

特に重要なポイントは以下の通りです:

  • 段階的なアプローチ:ブロック→チャレンジ→許可の順で防御層を構築
  • ユーザビリティの考慮:セキュリティ強化とユーザー体験のバランス
  • 継続的な監視:ログ分析による効果測定と設定の最適化

実際の動作を動画で確認することで、各セキュリティルールの効果と影響範囲を把握し、より効果的なセキュリティ設定を行えるようになるでしょう。

小巻旭洋のプロフィール写真

小巻 旭洋

2014年からフリーランスとして活動し、2016年に株式会社フルーデンスを設立する。FileMaker開発歴は約10年。多数の企業システム構築を手がけ、特にデータベース設計と、JavaScript連携、Web連携、パフォーマンス最適化を専門としています。2025年から、Web業務システム・アプリ開発をメインに開発をしています。