こんにちは、あさひです 🙋♂️ 今週の Cloudflare のアップデートをまとめていきます!
この記事の主旨
この記事では、前週に Cloudflare のサービスにどんな変更があったかをざっくりと理解してもらい、サービスに興味を持ってもらうことを目的としています。そのため、変更点を網羅することを優先します。
2025/09/28 ~ 2025/10/04 の変更
Wrangler
4.42.0
マイナーアップデート
-
WRANGLER_SEND_ERROR_REPORTS環境変数で Sentry へのクラッシュレポート送信可否を上書きできるように変更
パッチアップデート
-
console.debugのログが期待通りinfoレベルで出力されるよう修正 - 依存関係を更新
@cloudflare/unenv-preset@2.7.6
4.41.0
マイナーアップデート
-
wrangler deployに strict モード(--strictフラグ)を追加
非対話セッション時にリモート設定と衝突がある場合、自動上書きせずデプロイを失敗として扱うように変更 - リソース作成フローに新しいプロンプトを追加し、作成したリソースをリモートとして扱えるように改善
パッチアップデート
-
--jsonフラグ使用時に以下のコマンドでバナーをスキップwrangler pages deploymentwrangler queues subscriptionwrangler pipelines
- コンテナの
max_instancesデフォルト値を 1 から 20 に変更 - コンテナのインスタンスタイプを追加およびリネーム
-
dev→lite -
standard→standard-1 - 新しいインスタンスタイプ
-
lite(1/16 vCPU, 256 MiB, 2 GB) -
basic(1/4 vCPU, 1 GiB, 4 GB) -
standard-1(1/2 vCPU, 4 GiB, 8 GB) -
standard-2(1 vCPU, 6 GiB, 12 GB) -
standard-3(2 vCPU, 8 GiB, 16 GB) -
standard-4(4 vCPU, 12 GiB, 20 GB)
-
-
- 現在のアカウントと一致しないアカウント ID を含むコンテナイメージ URI に対してエラーを表示
- ゾーンルート警告を info メッセージに変更
- 一部のログ出力でエラーフォーマットを改善
- サブドメインリクエストをリトライするようにし、安定性を向上
-
workers_devの有効/無効切り替え時にpreview_urlsの混在状態を警告 -
@cloudflare/cliログが Wrangler 設定のログレベルを尊重するよう修正 - 依存関係を更新
miniflare@4.20251001.0
4.40.3
パッチアップデート
- Secrets Store コマンドのステータスを Alpha から Open Beta に更新
-
containers pushでイメージの完全な URI 解決処理を改善 -
python_modulesのデータルールにfallthrough: trueを追加 -
getPlatformProxy()呼び出し時に Workflow バインディングが存在してもクラッシュしないよう修正(警告を表示) - 一部エラーを UserError としてマークし、Sentry へのレポートを抑制
-
containers listおよびcontainers info [ID]におけるネストオブジェクトの表示を修正 - Workflow 名とインスタンス ID の検証を本番制限に合わせて強化
- 依存関係を更新
miniflare@4.20250927.0@cloudflare/unenv-preset@2.7.5
Workers
ワンクリックで Cloudflare Access を有効化
Workers の workers.dev およびプレビュー URL に対して、Cloudflare ダッシュボードからワンクリックで Cloudflare Access を有効化できるようになりました。指定したユーザーやグループのみアクセスを許可できます。
- 有効化手順
- ダッシュボード → Workers & Pages → 該当 Worker → Settings > Domains & Routes → 「Enable Cloudflare Access」をクリック
- 必要に応じて「Manage Cloudflare Access」でアクセスポリシーを設定
- セキュリティ強化
- Access により
Cf-Access-Jwt-Assertionヘッダーが付与されるため、JWT の検証が必須 -
joseNPM パッケージを用いた検証コード例を公式が提供
- Access により
- 必須環境変数
-
POLICY_AUD- アクセスポリシーの AUD タグ
-
TEAM_DOMAIN- チームドメイン(例:
https://<your-team>.cloudflareaccess.com)
- チームドメイン(例:
-
SQL 関数を追加
Workers Analytics Engine で利用できる SQL 関数が追加され、より柔軟なデータ分析や高度な処理が可能になりました。カスタムダッシュボードや課金計算などのユースケースにも対応します。
- 追加された関数カテゴリ
- 集計
-
argMin(),argMax(),topK(),topKWeighted(),first_value(),last_value()
-
- ビット演算
-
bitAnd(),bitOr(),bitXor(),bitCount(),bitHammingDistance()
-
- 数学演算
-
abs(),log(),pow(),round(),ceil(),floor()
-
- 文字列
-
lowerUTF8(),upperUTF8()
-
- エンコーディング
-
hex(),bin()
-
- 型変換
toUInt8()
- 集計
Workers AI
Deepgram Flux モデルが利用可能に
音声認識向けの新モデル Deepgram Flux が Workers AI 上で利用可能になりました。Cloudflare の GPU エッジ基盤上で動作し、リアルタイム音声エージェントを超低遅延で実現します。
- 特徴
- Deepgram の音声認識モデル Flux を
@cf/deepgram/fluxとして提供 -
@cf/deepgram/nova-3(音声 → テキスト)や@cf/deepgram/aura-1(テキスト → 音声)と組み合わせ可能 - WebSocket 専用モデルとして双方向ストリーミングに対応
- Deepgram の音声認識モデル Flux を
- 料金
- 2025 年 10 月末までプロモーション期間として無料
- 11 月以降に正式価格が適用予定
Containers
新しいコンテナインスタンスタイプを追加
Containers に新しいインスタンスタイプが追加されました。
| Instance Type | vCPU | Memory | Disk |
|---|---|---|---|
| lite | 1/16 | 256 MiB | 2 GB |
| basic | 1/4 | 1 GiB | 4 GB |
| standard-1 | 1/2 | 4 GiB | 8 GB |
| standard-2 | 1 | 6 GiB | 12 GB |
| standard-3 | 2 | 8 GiB | 16 GB |
| standard-4 | 4 | 12 GiB | 20 GB |
- 互換性
-
dev→lite -
standard→standard-1(後方互換あり)
-
Gateway
SaaS アプリ操作に対する詳細制御が追加
Gateway の HTTP ポリシーで、SaaS アプリケーションに対する操作単位の制御が可能になりました。
- 新機能の概要
- Application Controls
- 「アップロード」「ダウンロード」「プロンプト」「ボイス」「共有」など、目的別にまとめられた操作グループを設定可能
- Operations
- SaaS アプリの API に準拠した最小単位の操作を制御し、細かなポリシー適用が可能
- Application Controls
Radar
地域別トラフィックデータを追加
Radar に新たに「Regional Data」が追加され、国単位だけでなく州・都道府県などの行政区レベルでトラフィック傾向を分析できるようになりました。
Cloudflare Fundamentals
ドキュメントを Markdown 形式で取得可能に
Cloudflare のドキュメント API が、従来の HTML 出力に加えて Markdown 形式での取得をサポートしました。これにより、LLM ツールなどでのトークン使用量を大幅に削減できます。
- 使い方
-
Acceptヘッダーにtext/markdownを指定してリクエスト- 例:
curl https://developers.cloudflare.com/workers/ -H 'Accept: text/markdown' -v
- 例:
-
アプリ・IdP・ターゲット単位の権限設定がベータ公開
Access Applications、Identity Providers(IdP)、Targets に対するリソース単位の権限設定が可能となる Fine-grained permissions がパブリックベータで公開されました。
- 対応対象
- Access Applications
- 特定のアプリ単位での管理権限付与
- Identity Providers
- 個別の IdP 単位での管理権限付与
- Targets
- 特定ターゲット単位での管理権限付与
- Access Applications
Analytics
GraphQL Analytics API に信頼区間を追加
GraphQL Analytics API が、サンプリングデータセットに対して sum および count フィールドの信頼区間(confidence intervals)をサポートしました。サンプルデータの結果に統計的な信頼幅を示すことで、精度や不確実性を定量的に把握できます。
- 対応対象
- サンプリングされた Adaptive データセットのみ
- 対応フィールド
sumcount
- 使用方法
-
confidence levelを 0〜1 の小数値で指定(例:0.90,0.95,0.99) - デフォルトでは信頼区間は返されない
-
DLP
実行ファイルおよびディスクイメージの新しいファイルタイプをサポート
Cloudflare Gateway の DLP ファイルタイプ制御に、アプリケーションインストーラやディスクイメージなどの新しい拡張子が追加されました。これにより、不要または未承認のソフトウェアのダウンロードを防止できます。
- 追加されたファイルタイプ
- Apple Disk Image(
.dmg) - Microsoft Software Installer(
.msix,.appx) - Apple Software Package(
.pkg)
- Apple Disk Image(
- カテゴリ
- System:
.dmg
- Executable
-
.msix,.appx,.pkg
-
- System:
Zero Trust WARP Client
WARP client for macOS (version 2025.7.176.0)
主な更新内容
-
warp-diag captive-portalコマンドが SSID を正しく解析できず実行に失敗していた問題を修正 - 組織を切り替える際に Global WARP override 設定を維持する改善
- 新規 WARP デバイスプロファイルで MASQUE が既定のトンネルプロトコルに変更
- Gateway with DoH モードでアイドル接続を制限し、リソース使用量増加や DNS 解決失敗を防止
- ネットワーク切り替え時のクライアント接続維持を改善
- macOS Tahoe (26.0) に対応
既知の問題
- macOS Sequoia (15.0.x): OS の変更により WARP クライアントが期待どおり動作しない場合があります。macOS 15.4 以降の利用を推奨
- WARP client 2025.4.929.0 以降を使用している場合、フォールバックサーバー未設定時に Local Domain Fallback が失敗する可能性あり(回避策: フォールバックサーバーを設定)
WARP client for Linux (version 2025.7.176.0)
主な更新内容
- すべての新しい WARP デバイスプロファイルで MASQUE が既定のトンネルプロトコルに変更
- Gateway with DoH モードでアイドル接続を制限し、不要なリソース使用や DNS 解決失敗を防止
- 組織間を切り替える際に Global WARP override 設定を維持する改善
- ネットワーク切り替え時のクライアント接続維持を改善
- Linux パッケージ用の公開鍵を更新(9 月 12 日以前にインストールした場合は更新必須)
- 12 月 4 日以降もリポジトリを利用するには pkg.cloudflareclient.com の手順で再設定が必要
既知の問題
- 現時点で新たな既知の問題は報告されていません
WARP client for Windows (version 2025.7.176.0)
主な更新内容
- すべての新しい WARP デバイスプロファイルで MASQUE を既定のトンネルプロトコルに変更
- Gateway with DoH モードでアイドル接続を制限し、不要なリソース使用や DNS 解決エラーを防止
- RDP・SSH などの長時間接続で TCP セッションを安定化
- 組織切り替え時に Global WARP override 設定を維持する改善
- ネットワーク切り替え時のクライアント接続維持を改善
既知の問題
- Windows 11 24H2 でマウス遅延やオーディオのひび割れなどのパフォーマンス問題が発生する場合あり。Microsoft KB5062553 以降への更新を推奨
- WARP client 2025.4.929.0 以降でフォールバックサーバー未設定時に Local Domain Fallback が失敗する可能性あり(フォールバックサーバーを設定して回避)
- KB5055523 適用環境でインストーラーが
Win32/ClickFix.ABAを誤検出する場合あり。Microsoft Security Intelligence 1.429.19.0 以降に更新して解消 - 以下すべての条件下で DNS 解決が失敗する場合あり。回避策として WARP クライアントを再接続
- Secure Web Gateway without DNS filtering(トンネルのみ)モードで動作
- プライマリネットワークアダプタにカスタム DNS サーバーを設定
- 接続中にカスタム DNS アドレスを変更
WAF
WAF ルール更新(2025-09-28)
- Cloudflare Managed Ruleset を緊急更新
- Apache Struts OGNL インジェクション関連の新規検知ルールを追加
- 脆弱性 CVE-2025-31893(Critical)に対応
- 既定アクション
- Enterprise: Block
- Free/Pro/Biz: Log
WAF ルール更新(2025-09-29)
- Cloudflare Managed Ruleset の一般更新
- PHP、Node.js、Python におけるコードインジェクションや SSRF 検知を強化
- 複数の Generic Detection ルールのシグネチャを更新
- 既定アクション
- Enterprise: Log
- Free/Pro/Biz: Disabled
WAF ルール更新(2025-10-03)
- Cloudflare Managed Ruleset に 21 件の新しい検知ルールを追加(すべて Disabled モードで提供)
- 検知対象
- SQL/NoSQL インジェクション
- コマンド/コード実行
- 情報漏洩(共通ファイル)
- URL 異常検知
- クロスサイトスクリプティング
- 対応ルール例
Generic Rules - Command ExecutionGeneric Rules - Prototype PollutionGeneric Rules - Template Injection
- 検知対象
Discussion