Cloudflareファイアウォールルール入門:無料5ルールで悪意トラフィック80%をフィルタ(テンプレ付き)
導入
サーバーログにはスキャンリクエストが溢れ、毎日数千件の悪意あるアクセスが記録されます。Cloudflare無料版を使っているのにファイアウォールルールを1つも設定していない状態は、無防備そのものです。ネットのチュートリアルをコピペしても効かない——多くの場合、ルールの優先順位が逆になっているのが原因です。
(ip.src.country eq "CN") のようなルール式を見ると難しく感じますが、数日試してみると、無料版の5ルールで本当に十分だと分かります。適切に設定すれば80%以上の悪意あるリクエストをフィルタでき、正常ユーザーへの影響も最小限に抑えられます。この記事では、5ルールの仕組みと優先順位の設定方法を、30分で完了できるように解説します。
第1章:無料版の5ルールで足りる理由
Cloudflare無料版のカスタムルールが5つだけだと知ると、多くの人は「これでは足りない」と思います。Pro版は20ルール——アップグレードすべきでしょうか?
焦らず、まず話を聞いてください。
悪意あるトラフィックの大半は、次のような限られたソースから来ます:データセンターのスキャナー、高脅威スコアのIP、異常なUser-Agent。Cloudflareコミュニティの実践経験では、5ルールを適切に設定すれば80%以上の攻撃を防げます。
これがいわゆる80/20の法則です。
無料版には5つのカスタムルールに加え、Cloudflare Free Managed Ruleset(無料マネージドルールセット)が標準搭載されています。このルールセットはデフォルトで有効で、ShellshockやLog4Jなどの有名な高危険度脆弱性を防御します。マネージドルールセット + 5つのカスタムルールで、中小規模サイトには本当に十分です。
Pro版の追加15ルールは、主にきめ細かい運用向けです。複数サブドメインごとに別設定が必要な場合や、APIエンドポイントごとに異なるポリシーが必要な場合など。サイトがそこまで複雑でなければ、5ルールでコアな防御要件をカバーできます。
もちろん、前提としてこの5ルールを正しく使うことです。優先順位を間違えると、10ルールあっても意味がありません。
第2章:ルール優先順位の秘密
ここが最もハマりやすいポイントです。最初の設定時も、私はルールの順序を逆にして、せっかく書いたルールが1つも効かない状態になっていました。
Cloudflareファイアウォールルールは上から順に実行され、コンベアのように各リクエストをチェックします。ルール1を確認してからルール2へ、と順番に進みます。あるルールにマッチすると、対応するアクション(Allow、Block、Challengeなど)が実行され、処理は停止します(Allowのみ例外で、後続ルールの評価を続けます)。
例えるなら、家の玄関で警備員が来客を確認する流れです:
- まず顔を見る:家族ならそのまま通す(ホワイトリスト)
- 次に確認:見知らぬ人は身分証を見せてもらう(チャレンジ)
- 最後に拒否:不審者は入場を拒む(ブロック)
順序を逆にして、先に拒否してから確認すると、正常な来客も入れなくなります。
よくある間違い:国別ブロックをホワイトリストより前に置くこと。UptimeRobotなどの海外監視サービスを使っているのに、1番目のルールが「自国以外のIPをすべてブロック」だと、監視サービスがブロックされ、サイトが落ちても気づけません。
正しいやり方:ホワイトリストは常に1番目。既知の正常トラフィック(検索エンジンクローラー、監視サービス、自分のIP)を先に通し、その後で防御を段階的に強化します。
見落としがちな点:アクションにも優先度があること。同じ優先度のルールでは、次の順序で実行されます:
- Allow(許可)> Skip(スキップ)> Challenge(チャレンジ)> Block(ブロック)> Log(記録)
つまり、1つのリクエストがAllowルールとBlockルールの両方にマッチした場合、Allowが適用されます。だからホワイトリストを最前面に置くのです。優先度を最高にして、後続ルールによる誤ブロックを防ぎます。
第3章:5ルールの黄金設定
さっそく本題に入ります。以下の5ルールは優先度の高い順に並べています。そのままコピーして使えます。
ルール1(最高優先度):ホワイトリスト - 味方を守る
役割:既知の正常トラフィックを通し、誤検知を防ぐ。
適用シーン:
- 検索エンジンクローラー(Google、Bing、Baiduなど)
- 監視サービス(UptimeRobot、StatusCakeなど)
- オフィスや自宅のIP
ルール式:
(cf.client.bot) or (ip.src in {1.2.3.4 5.6.7.8})アクション:Allow
説明:
cf.client.botはCloudflareが検証済みの合法クローラーで、Google、Bingなど主要検索エンジンを含みます{1.2.3.4 5.6.7.8}を自分のIPアドレスに置き換え、複数IPはスペース区切り- IPホワイトリストが不要なら、
(cf.client.bot)に簡略化可能
ルール2:データセンターASNチャレンジ - データセンターからのトラフィックを制限
役割:データセンターからのトラフィックに対して人間確認を実施。
適用シーン:
スキャナーやクローラーツールの多くはVPSやクラウドサーバー上にホストされています。正常ユーザーがデータセンターIPからサイトにアクセスすることは稀です。チャレンジをかければ、Botは諦めて去ります。
ルール式:
(ip.geoip.asnum in {13335 15169 16509 14618 45090})アクション:Managed Challenge
ASN対照表(主要データセンター):
| ASN番号 | プロバイダ | 説明 |
|---|---|---|
| AS13335 | Cloudflare | CF自社、チャレンジ推奨 |
| AS15169 | Google Cloud | GCP |
| AS16509 | Amazon AWS | 最大のクラウドプロバイダ |
| Tencent Cloud | ルール式の ASN 一覧参照 | APAC でよく利用される |
| Alibaba Cloud | ルール式の ASN 一覧参照 | APAC でよく利用される |
| 直接Blockは推奨しません。VPN利用の正常ユーザーを誤検知する可能性があります。Managed Challenge(マネージドチャレンジ)を使えば、正常ユーザーは確認を通過でき、Botは止まります。 |
ルール3:脅威スコア + リスクIPフィルタ
役割:Cloudflareの脅威インテリジェンスに基づき、高リスクIPをブロック。
適用シーン:
Cloudflareは各IPに0〜100点のスコアを付けます。スコアが高いほど危険です。10超はスパム送信者の可能性、40超は不良行為者、50超は直接ブロックを推奨。
ルール式:
(cf.threat_score gt 10)アクション:Challenge(脅威スコア10-40)または Block(脅威スコア50超)
脅威スコア閾値の目安:
| 脅威スコア | リスクレベル | 推奨アクション |
|---|---|---|
| 0-10 | 低リスク | 通過 |
| 11-40 | 中リスク | Challengeチャレンジ |
| 41-50 | 高リスク | JS Challenge |
| 51-100 | 極めて高リスク | Blockブロック |
| 最適化のコツ: | ||
| 段階的に処理したい場合、2ルールに分けられます: |
- ルール3A:
(cf.threat_score gt 10 and cf.threat_score le 50)→ Challenge - ルール3B:
(cf.threat_score gt 50)→ Block
ただしこれで2ルール分を消費します。ルール枠が足りない場合は、gt 10+ Challengeに統一し、1週間効果を観察してから調整してください。
ルール4:異常User-Agentブロック
役割:空UA、悪意あるクローラー、自動化ツールをフィルタ。
適用シーン:
正常なブラウザは必ずUser-Agentを送信します(「Chromeブラウザです」など)。UAが空、またはpython-requests、curlなど明らかなスクリプトツールなら、人間のアクセスではないと判断できます。
ルール式:
(http.user_agent eq "") or (http.user_agent contains "python-requests") or (http.user_agent contains "curl") or (http.user_agent contains "sqlmap") or (http.user_agent contains "nikto") or (http.user_agent contains "MJ12bot")アクション:Block
よくある悪意UAリスト:
python-requests- Pythonスクリプトcurl- コマンドラインツールsqlmap- SQLインジェクションツールnikto- 脆弱性スキャナーMJ12bot- Majestic SEOクローラー(robots.txt非遵守)masscan- ポートスキャンツールZmEu- スキャナー
注意事項:Mozilla、Chrome、Safariなど主要ブラウザUAはブロックしない- まずLogアクションで1週間観察し、ログの異常UAを確認してからルールに追加
- APIを提供しているサイトでは、自社APIクライアントのUAを除外する必要がある場合あり
ルール5:機密パス保護
役割:管理画面ログイン、機密API、設定ファイルを保護。
適用シーン:
WordPressの/wp-admin、/wp-login.phpはハッカーが最もスキャンするパスです。.env、.gitなどの設定ファイルが漏洩すると致命的です。
ルール式:
(http.request.uri.path contains "/wp-login" or http.request.uri.path contains "/wp-admin" or http.request.uri.path contains "/.env" or http.request.uri.path contains "/.git") and not (ip.src in {1.2.3.4})アクション:Block または Challenge
説明:
{1.2.3.4}を自分のIPに置き換えれば、自分の管理画面アクセスは影響なし- IPホワイトリストを使わない場合は、
and not (ip.src in {1.2.3.4})部分を削除し、Challengeアクションに変更
その他の機密パス: /xmlrpc.php(WordPress XML-RPC、DDoSに悪用されやすい)/phpMyAdmin(データベース管理画面)/config.php/.sql(データベースバックアップファイル)
サイトの技術スタックに応じて、対応する機密パスを追加してください。
ルール実行フロー全体像
5ルールを設定すると、リクエストは次の流れで処理されます:
アクセスリクエスト
↓
ルール1: 合法クローラーまたはホワイトリストIP? → はい → 直接通過
↓ いいえ
ルール2: データセンターASNから? → はい → 人間確認チャレンジ → 通過/ブロック
↓ いいえ
ルール3: 脅威スコア10超? → はい → チャレンジ/ブロック
↓ いいえ
ルール4: 異常User-Agent? → はい → ブロック
↓ いいえ
ルール5: 機密パスへアクセス? → はい → ブロック/チャレンジ
↓ いいえ
通過、オリジンサーバーへこのフローで自動化攻撃の大半をフィルタでき、正常ユーザーへの影響も最小限に抑えられます。
第4章:実践設定手順
ルールを見るだけでは不十分です。実際に設定しましょう。
ステップ1:ファイアウォール設定画面へ
Cloudflare Dashboardにログイン → ドメインを選択 → 左メニューの「Security」(セキュリティ)→ 「WAF」をクリック → 「Custom rules」(カスタムルール)タブに切り替え。
ステップ2:1番目のルール(ホワイトリスト)を作成
- 右上の青いボタン「Create rule」(ルールを作成)をクリック
- ルール名:
ホワイトリスト-合法クローラーと監視(名前は自由、識別しやすければOK) - 式エディター:デフォルトはExpression Builder(ビジュアルエディター)。コードを直接貼り付ける場合は「Edit expression」でコードモードに切り替え
- ルール式を貼り付け:
IPは自分のものに変更を忘れずに(cf.client.bot) or (ip.src in {1.2.3.4}) - アクション選択:ドロップダウンから「Allow」を選択
- 「Deploy」(デプロイ)をクリック
ステップ3:残り4ルールを順次作成
同じ方法でルール2〜5を作成。各ルールの名前、式、アクションは第3章を参照。
ステップ4:ルール順序の調整
5ルール作成後、ルール一覧が表示されます。左側の6点アイコンをドラッグして順序を調整し、次を確認:
- ホワイトリストが最上部(優先度1)
- ASNチャレンジが2番目
- 脅威スコアが3番目
- 異常UAが4番目
- 機密パスが5番目
ステップ5:ルール効果のテスト
設定完了後、テストをおすすめします:
- ホワイトリストのテスト:自分のIPからサイトにアクセスし、正常表示を確認
- UAブロックのテスト:ターミナルで以下を実行:
ブロックページが表示されるはずcurl -A "sqlmap" https://あなたのドメイン.com - ブロックログの確認:Cloudflare Dashboard → Security → Events でブロック記録を確認
ルールが効かない場合の確認:
- ルール式の構文エラー
- 優先順位の順序
- アクションの選択
第5章:応用テクニックとよくある質問
基本の5ルールで大部分の攻撃は防げます。さらに最適化できるポイントもあります。
ルールが効いているかの判断方法
Cloudflareには有用な指標 CSR(Challenge Solve Rate、チャレンジ解決率) があります。
式:CSR = チャレンジを正常に解決した数 / チャレンジを発行した総数
この値は低いほど良いです。CSRが0%に近い場合、チャレンジされたのはほぼすべてBotで、1件も検証を通過していません。ChallengeからBlockへ変更して直接ブロックし、サーバーリソースを節約することを検討できます。
CSRが高い(50%超など)場合、正常ユーザーを誤検知している可能性があり、ルール条件の調整が必要です。
CSRの確認:Security → Events → ルールをクリック → 詳細統計を確認。
正常ユーザーの誤検知を避ける方法
最も恐れるのがこれです。いくつかのアドバイス:
- 新ルールはまずLogモードで7日間観察
- アクションを「Log」(記録のみ、ブロックなし)に設定
- 1週間後にSecurity Eventsで誤検知がないか確認してからChallengeやBlockに変更
- 自分のIPと監視サービスをホワイトリストに追加
- よく使うIPをルール1に追加
- UptimeRobotのIPレンジは公式サイトで確認してホワイトリストに追加
- いきなりBlockしない
- まずChallengeで観察
- CSRが0%に近いことを確認してからBlockを検討
- 異常なトラフィック減少に注意
- ルール設定後に正常トラフィックも大幅に減った場合、誤検知の可能性
- Security Eventsで自分自身をブロックしていないか確認
突発的な攻撃への対処
サイトがCC攻撃やDDoSを受け、トラフィックが急増した場合、一時的にUnder Attackモード(通称「5秒シールド」)を有効にできます:
Security → Settings → Security Level → 「I’m Under Attack」を選択
すべての訪問者に5秒の読み込みページを表示し、JS検証を実施します。Botは通過できず、正常ユーザーは5秒待てばアクセス可能。攻撃終了後はMediumまたはLowに戻すことを忘れずに。
ルールの一時強化も可能:
- ChallengeをBlockに変更
- 地域ブロックを追加(例:特定国からの攻撃なら、その国のIPを一時ブロック)
5ルールでは足りない場合
確かに5ルールでは足りないこともあります。いくつかの方法:
orで同種ルールを統合- 例:ルール4では
orで複数の異常UAを1ルールにまとめている - 1ルールで1種類のシナリオをカバーする
- 例:ルール4では
- IPリストで一元管理
- Cloudflareでは数千IPのIPリストを作成可能
- ルールで参照:
ip.src in $blacklist - 1ルールで大量IPを管理でき、ルール枠を消費しない
- Proプランへのアップグレードを検討
- Proは20ルールとより多くの高度機能
- サイトが収益化していれば投資する価値あり
よくある質問Q&A
Q: ルールが効かない場合は?
A: 確認ポイント:
- ルール式の構文エラー(Cloudflareが警告を表示)
- 優先順位の順序(ホワイトリストが最上部か)
- 上位ルールで先にAllowまたはSkipされていないか
Q: 自分のIPがブロックされた?
A: ルール1のホワイトリストにIPを追加:
(cf.client.bot) or (ip.src in {あなたのIP})Q: 脅威スコアの閾値はいくつが適切?
A: 目安:
- 保守型:
cf.threat_score gt 30(ブロック少なめ、誤検知リスク低) - バランス型:
cf.threat_score gt 10(推奨、防御とUXの両立) - 積極型:
cf.threat_score gt 5(より多くブロック、VPNユーザーの誤検知の可能性あり)
まず10から試し、1週間観察してCSRと誤検知状況に応じて調整。
Q: Googleクローラーがブロックされる理由は?
A: ルール1(ホワイトリスト)の優先度が最高か確認してください。cf.client.botはGoogle、Bingなど主要クローラーを自動識別します。ホワイトリストが1番目ならブロックされません。
結論
まとめると:
無料版の5つのファイアウォールルールで十分です。優先順位を守って適切に設定することが鍵:
- ホワイトリストを1番目、味方を守る
- ASNチャレンジでデータセンターからのトラフィックを制限
- 脅威スコアで高リスクIPをブロック
- 異常UAで自動化ツールをフィルタ
- 機密パスでバックドアを守る
設定完了後、30分で反映されます。1週間後にSecurity Eventsを確認すれば、ブロック数に驚くはず——かつて帯域とリソースを消耗していたスキャナーが、すべて門前払いされています。
今すぐ設定しましょう。Cloudflare Dashboardが待っています。上記のルールテンプレートをコピペし、IPを変更するだけ。30分で完了です。
1週間後、ブロックデータを確認してください。効果が良ければ、この記事をブックマークして、今後ルールを調整するときの参考に。問題があれば第5章のQ&Aも参照してください。
あなたのサイトは、より良い防御に値します。
Cloudflareファイアウォールルールで悪意トラフィックをフィルタする完全手順
ルール優先順位の理解から5つの黄金ルール設定まで、30分で悪意トラフィックの80%をフィルタする完全ステップ
Estimated time: PT30M
-
1
Step 1: ルール優先順位とアクション順序を理解する
Cloudflareファイアウォールルールは上から順に実行され、コンベアのように各リクエストをチェックします。ルール1を確認してからルール2へ、と順番に進みます。あるルールにマッチすると、対応するアクション(Allow、Block、Challengeなど)が実行され、処理は停止します(Allowのみ例外で、後続ルールの評価を続けます)。 -
2
Step 2: ルール1を設定:ホワイトリスト(最高優先度)
役割:既知の正常トラフィックを通し、誤検知を防ぐ。 -
3
Step 3: ルール2を設定:データセンターASNチャレンジ
役割:データセンターからのトラフィックに対して人間確認を実施。 -
4
Step 4: ルール3を設定:脅威スコアフィルタ
役割:Cloudflareの脅威インテリジェンスに基づき、高リスクIPをブロック。 -
5
Step 5: ルール4を設定:異常User-Agentブロック
役割:空UA、悪意あるクローラー、自動化ツールをフィルタ。 -
6
Step 6: ルール5を設定:機密パス保護とルール順序の調整
役割:管理画面ログイン、機密API、設定ファイルを保護。
FAQ
Cloudflare無料版の5つのファイアウォールルールで足りる?なぜ80%の悪意トラフィックをフィルタできる?
悪意あるトラフィックの大半は、次のような限られたソースから来ます:
• データセンターのスキャナー
• 高脅威スコアのIP
• 異常なUser-Agent
Cloudflareコミュニティの実践経験によると、5つのルールを適切に設定すれば、80%以上の攻撃を防げます。これがいわゆる80/20の法則です。
無料版には5つのカスタムルールに加え、Cloudflare Free Managed Ruleset(無料マネージドルールセット)が標準搭載されています。このルールセットはデフォルトで有効で、ShellshockやLog4Jなどの有名な高危険度脆弱性を防御します。
マネージドルールセット + 5つのカスタムルールで、中小規模サイトには本当に十分です。
Pro版の追加15ルールは、主にきめ細かい運用向けです。複数サブドメインごとに別設定が必要な場合や、APIエンドポイントごとに異なるポリシーが必要な場合など。サイトがそこまで複雑でなければ、5ルールでコアな防御要件をカバーできます。
もちろん、前提としてこの5ルールを正しく使うことです。優先順位を間違えると、10ルールあっても意味がありません。
ルールの優先順位はなぜ重要?正しい設定方法は?
アクションにも優先度があります:
• Allow(許可)> Skip(スキップ)> Challenge(チャレンジ)> Block(ブロック)> Log(記録)
つまり、1つのリクエストがAllowルールとBlockルールの両方にマッチした場合、Allowが適用されます。だからホワイトリストを最前面に置くのです。優先度を最高にして、後続ルールによる誤ブロックを防ぎます。
よくある間違い:
国別ブロックをホワイトリストより前に置くこと。例えばUptimeRobotなどの海外監視サービスを使っているのに、1番目のルールが「自国以外のIPをすべてブロック」だと、監視サービスがブロックされ、サイトが落ちても気づけません。
正しいやり方:
ホワイトリストは常に1番目。既知の正常トラフィック(検索エンジンクローラー、監視サービス、自分のIP)を先に通し、その後で防御を段階的に強化します。
正しい順序:
• ホワイトリストを最上部(優先度1)
• ASNチャレンジを2番目
• 脅威スコアを3番目
• 異常UAを4番目
• 機密パスを5番目
脅威スコアの閾値はいくつが適切?ルールが効いているかどうか判断する方法は?
• 0-10:低リスクは通過
• 11-40:中リスクはChallengeチャレンジ
• 41-50:高リスクはJS Challenge
• 51-100:極めて高リスクはBlockブロック
まず10から試し、1週間観察してCSRと誤検知状況に応じて調整することをおすすめします。
戦略の選択:
• 保守型:cf.threat_score gt 30(ブロック少なめ、誤検知リスク低)
• バランス型:cf.threat_score gt 10(推奨、防御とUXの両立)
• 積極型:cf.threat_score gt 5(より多くブロック、VPNユーザーの誤検知の可能性あり)
ルールが効いているかの判断方法:
CloudflareにはCSR(Challenge Solve Rate、チャレンジ解決率)という有用な指標があります。
式:CSR = チャレンジを正常に解決した数 / チャレンジを発行した総数
この値は低いほど良いです:
• CSRが0%に近い:チャレンジされたのはほぼすべてBotで、1件も検証を通過していない。ChallengeからBlockへ変更して直接ブロックし、サーバーリソースを節約することを検討できます。
• CSRが高い(50%超など):正常ユーザーを誤検知している可能性があり、ルール条件の調整が必要です。
CSRの確認方法:
Security → Events → ルールをクリック → 詳細統計を確認
設定完了後30分で反映されます。1週間後にSecurity Eventsを確認すれば、ブロック数に驚くはずです。
正常ユーザーの誤検知を避けるには?5ルールでは足りない場合は?
1) 新ルールはまずLogモードで7日間観察(アクションを「Log」にして記録のみ、1週間後にSecurity Eventsで誤検知がないか確認してからChallengeやBlockに変更)
2) 自分のIPと監視サービスをホワイトリストに追加(よく使うIPをルール1に追加、UptimeRobotのIPレンジは公式サイトで確認してホワイトリストに追加)
3) いきなりBlockしない(まずChallengeで観察し、CSRが0%に近いことを確認してからBlockを検討)
4) 異常なトラフィック減少に注意(ルール設定後に正常トラフィックも大幅に減った場合、誤検知の可能性。Security Eventsで自分自身をブロックしていないか確認)
5ルールでは足りない場合:
1) orで同種ルールを統合(例:ルール4ではorで複数の異常UAを1ルールにまとめている。1ルールで1種類のシナリオをカバーする)
2) IPリストで一元管理(Cloudflareでは数千IPのIPリストを作成可能。ルールで ip.src in $blacklist と参照すれば、1ルールで大量IPを管理でき、ルール枠を消費しない)
3) Proプランへのアップグレードを検討(Proは20ルールとより多くの高度機能。サイトが収益化していれば投資する価値あり)
ルールが効かない場合は?自分のIPがブロックされた場合は?
• ルール式の構文エラー(Cloudflareが警告を表示)
• 優先順位の順序(ホワイトリストが最上部か)
• 上位ルールで先にAllowまたはSkipされていないか
自分のIPがブロックされた場合:
ルール1のホワイトリストにIPを追加:(cf.client.bot) or (ip.src in {あなたのIP})
ルール効果のテスト:
• 自分のIPからサイトにアクセスして正常に表示されること
• curl -A "sqlmap" https://あなたのドメイン.com でブロックページが表示されること
• ブロックログは Cloudflare Dashboard → Security → Events で確認
ルールが効かない場合の確認:
• ルール式の構文エラー
• 優先順位の順序
• アクションの選択
Googleクローラーがブロックされる理由:
ルール1(ホワイトリスト)の優先度が最高か確認してください。cf.client.botはGoogle、Bingなど主要クローラーを自動識別します。ホワイトリストが1番目ならブロックされません。
突発的な攻撃への対処法は?CSR(チャレンジ解決率)とは?
サイトがCC攻撃やDDoSを受け、トラフィックが急増した場合、一時的にUnder Attackモード(通称「5秒シールド」)を有効にできます:
• Security → Settings → Security Level → 「I'm Under Attack」を選択
• すべての訪問者に5秒の読み込みページを表示し、JS検証を実施
• Botは通過できず、正常ユーザーは5秒待てばアクセス可能
• 攻撃終了後はMediumまたはLowに戻すことを忘れずに
ルールの一時強化も可能:
• ChallengeをBlockに変更
• 地域ブロックを追加(例:特定国からの攻撃なら、その国のIPを一時ブロック)
CSR(Challenge Solve Rate、チャレンジ解決率):
式:CSR = チャレンジを正常に解決した数 / チャレンジを発行した総数
この値は低いほど良いです:
• CSRが0%に近い:チャレンジされたのはほぼすべてBot。ChallengeからBlockへ変更して直接ブロックし、サーバーリソースを節約することを検討
• CSRが高い(50%超など):正常ユーザーを誤検知している可能性があり、ルール条件の調整が必要
CSRの確認方法:
Security → Events → ルールをクリック → 詳細統計を確認
9分で読めます · 公開日: 2025年12月1日 · 更新日: 2026年6月8日
Cloudflare フルスタック実践
検索からこのページに来た場合は、前後の記事もあわせて読むと同じテーマの理解がかなり早く深まります。
前の記事
Cloudflare のキャッシュ命中率が 30% しかない?この 3 つのルールで 90% まで引き上げる
Cloudflare はデフォルトで HTML をキャッシュしないため命中率が低い?Cache Rules と Edge TTL で全サイトキャッシュを設定し、30% から 90% へ引き上げてサーバー負荷を大幅に削減。設定手順、安全上の注意点、検証方法まで完全解説。
第 5 / 23 記事
次の記事
Cloudflare レート制限設定ガイド:5 分で CC 攻撃を防御、無料版でも使える
Cloudflare のレート制限ルールを手順どおりに設定し、5 分で CC 攻撃対策を完了。ログイン/API/一般ページのしきい値設定、無料版の機能、設定チュートリアルとよくある落とし穴まで解説します
第 7 / 23 記事
関連記事
Cloudflare無料版の制限2026:Free、Pro、Business料金比較
Cloudflare無料版の制限2026:Free、Pro、Business料金比較
Cloudflare Pages で静的ブログをデプロイする完全ガイド:5 大フレームワークの設定で落とし穴を避ける
Cloudflare Pages で静的ブログをデプロイする完全ガイド:5 大フレームワークの設定で落とし穴を避ける
Cloudflare Pages でフロントエンドをデプロイする完全ガイド:React/Vue/Next.js の設定とエラー対処
コメント
GitHubアカウントでログインしてコメントできます