こんにちは、あさひです 🙋♂️ 今週の Cloudflare のアップデートをまとめていきます!
この記事の主旨
この記事では、前週に Cloudflare のサービスにどんな変更があったかをざっくりと理解してもらい、サービスに興味を持ってもらうことを目的としています。そのため、変更点を網羅することを優先します。
2026/04/05 ~ 2026/04/11 の変更
Wrangler
4.81.0
マイナーアップデート
-
wrangler email routing/wrangler email sendingコマンド群を追加- Email Routing コマンド:
-
wrangler email routing list- Email Routing ステータス付きのゾーン一覧を表示 -
wrangler email routing settings <domain>- ゾーンの Email Routing 設定を取得 -
wrangler email routing enable/disable <domain>- Email Routing の有効化・無効化 -
wrangler email routing dns get/unlock <domain>- DNS レコードの管理 -
wrangler email routing rules list/get/create/update/delete <domain>- ルーティングルールの管理(catch-all ルールにはcatch-allを指定) -
wrangler email routing addresses list/get/create/delete- 宛先アドレスの管理
-
- Email Sending コマンド:
-
wrangler email sending list- Email Sending が有効なゾーン一覧を表示 -
wrangler email sending settings <domain>- ゾーンの Email Sending 設定を取得 -
wrangler email sending enable <domain>- ゾーンまたはサブドメインで Email Sending を有効化 -
wrangler email sending disable <domain>- ゾーンまたはサブドメインで Email Sending を無効化 -
wrangler email sending dns get <domain>- 送信ドメインの DNS レコードを取得 -
wrangler email sending send- ビルダー API でメールを送信 -
wrangler email sending send-raw- 生の MIME メールメッセージを送信
-
-
wrangler loginにemail_routing:writeとemail_sending:writeの OAuth スコープを追加
- Email Routing コマンド:
パッチアップデート
- autoconfig で Hono を補助フレームワーク(Vite と同様)として扱うよう変更
- 2 つのフレームワークが検出された場合に Hono を自動フィルタ(従来は Waku との組み合わせでのみフィルタされていた)
-
wrangler devで compatibility_date 未設定時の警告スニペットが TOML 形式でハードコードされていた問題を修正-
formatConfigSnippetを使用し、ユーザーの設定ファイルタイプ(TOML / JSON)に応じた形式で表示するよう変更
-
- 依存関係を更新
workerd@1.20260405.1miniflare@4.20260405.0
4.81.1
パッチアップデート
- AI Search バインディング(
ai_search_namespaces/ai_search)を always-remote として扱うよう修正-
pickRemoteBindings()の always-remote リストに AI Search が含まれていなかったため、remote: trueを明示しないとローカル開発でバインディングが壊れる問題を修正 - デプロイ時の config diff で
remoteフィールドが除去されない問題もあわせて修正
-
- 依存関係を更新
workerd@1.20260409.1miniflare@4.20260409.0
Workers
WebSocket の Close フレーム自動応答
Workers ランタイムが、ピアから Close フレームを受信した際に自動で相互 Close フレームを送信するようになりました。close イベント発火前に readyState が CLOSED に遷移し、WebSocket 仕様とブラウザの標準動作に準拠します。
この変更は compatibility date が 2026-04-07 以降の Worker でデフォルト有効です(web_socket_auto_reply_to_close フラグ)。既存の close イベントハンドラ内で close() を手動呼び出ししているコードは、WebSocket が既に閉じている場合にサイレントに無視されるため、そのまま動作します。
WebSocket プロキシのように Worker がクライアントとバックエンドの間に立つユースケースでは、accept({ allowHalfOpen: true }) を渡すことで自動クローズを抑制し、両側のクローズを独立して制御できます。
サンプル
const [client, server] = Object.values(new WebSocketPair());
server.accept();
server.addEventListener("close", (event) => {
// readyState は既に CLOSED — server.close() を呼ぶ必要なし
console.log(server.readyState); // WebSocket.CLOSED
console.log(event.code); // 1000
console.log(event.wasClean); // true
});
同時接続制限の緩和
同時オープン接続数の制限が緩和されました。従来は 6 本の接続制限がレスポンスボディの読み取り完了まで適用されていましたが、レスポンスヘッダー到着時点で接続が解放されるようになりました。ヘッダー待ちが 6 本以下であればキューイングなしで動作し、従来の Response closed due to connection limit 例外が解消されます。
また、デッドロック回避のためにアイドル接続をキャンセルする旧ロジックでは、gzip デコンプレッション中の一時的な空白を誤判定する問題がありましたが、ヘッダー待ちフェーズのみのカウントに変更することでこの問題も解決しています。
AI Search
CSS コンテンツセレクターによる精密なコンテンツ抽出
AI Search が Web サイトデータソースの CSS コンテンツセレクターに対応しました。URL グロブパターンと CSS セレクターを組み合わせて、クロールしたページのどの部分を抽出・インデックスするかを指定できます。
ナビゲーション、サイドバー、フッターなどのボイラープレートを除外し、関連コンテンツのみをインデックスできます。セレクターは定義順に評価され、最初にマッチしたパターンが適用されます。インスタンスあたり最大 10 エントリまで定義可能です。
サンプル
curl "https://api.cloudflare.com/client/v4/accounts/{account_id}/ai-search/instances" \
-H "Authorization: Bearer {api_token}" \
-H "Content-Type: application/json" \
-d '{
"id": "my-ai-search",
"source": "https://example.com",
"type": "web-crawler",
"source_params": {
"web_crawler": {
"parse_options": {
"content_selector": [
{
"path": "**/blog/**",
"selector": "article .post-body"
}
]
}
}
}
}'
テキスト生成・埋め込み用の新しい Workers AI モデル
AI Search で 4 つの追加 Workers AI モデルが利用可能になりました。
テキスト生成モデル:
| モデル | コンテキストウィンドウ (トークン) |
|---|---|
| @cf/zai-org/glm-4.7-flash | 131,072 |
| @cf/qwen/qwen3-30b-a3b-fp8 | 32,000 |
GLM-4.7-Flash は Zhipu AI の軽量モデルで、長文要約や検索タスクに適しています。Qwen3-30B-A3B は Alibaba の MoE モデルで、フォワードパスあたり 3B パラメーターのみをアクティブにし、高速な推論と高品質な応答を両立します。
埋め込みモデル:
| モデル | ベクトル次元 | 入力トークン | メトリクス |
|---|---|---|---|
| @cf/qwen/qwen3-embedding-0.6b | 1,024 | 4,096 | cosine |
| @cf/google/embeddinggemma-300m | 768 | 512 | cosine |
Qwen3-Embedding-0.6B は最大 4,096 入力トークンに対応し、長めのテキストチャンクのインデックスに適しています。EmbeddingGemma-300M は 768 次元ベクトルを生成し、低レイテンシーな埋め込みワークロードに最適化されています。
いずれも Workers AI 上で動作するため、追加のプロバイダーキーは不要です。
Browser Rendering
Chrome DevTools Protocol (CDP) と MCP クライアントのサポート
Browser Rendering が Chrome DevTools Protocol (CDP) を公開しました。ブラウザ自動化を支える低レベルプロトコルで、CDP ベースのエージェントツールや既存の自動化スクリプトから直接利用できます。
Puppeteer や Playwright などの CDP 互換クライアントから接続可能で、Cloudflare Workers、ローカルマシン、クラウド環境のいずれからでも利用できます。既存の CDP スクリプトからの切り替えは 1 行の変更で済みます。
また、Claude Desktop、Claude Code、Cursor、OpenCode などの MCP クライアントが chrome-devtools-mcp パッケージを通じて Browser Rendering をリモートブラウザとして利用できるようになりました。
サンプル
const puppeteer = require("puppeteer-core");
const browser = await puppeteer.connect({
browserWSEndpoint: `wss://api.cloudflare.com/client/v4/accounts/${ACCOUNT_ID}/browser-rendering/devtools/browser?keep_alive=600000`,
headers: { Authorization: `Bearer ${API_TOKEN}` },
});
const page = await browser.newPage();
await page.goto("https://example.com");
console.log(await page.title());
await browser.close();
Risk score
高リスクブラウジングのユーザーリスクスコアリング
Cloudflare One の User Risk Scoring が Gateway DNS トラフィックパターンからの直接シグナルを取り込むようになりました。高リスクまたは悪意のあるドメインへのアクセス時にユーザーのリスクスコアを自動的に引き上げ、内部脅威のより包括的なビューを提供します。
Gateway ポリシーがトラフィックをブロックに設定している場合でも、試行されたアクティビティはリスクプロファイルに反映されます。
新しいリスクビヘイビアとして以下の 2 つが追加されました。
- Suspicious Security Domain Visited: セキュリティ脅威・セキュリティリスクカテゴリのドメインへのアクセス時にトリガー
- High risk domain visited: 疑わしいコンテンツ、暴力、CIPA カテゴリのドメインへのアクセス時にトリガー
Security Center
Threat Events のリアルタイムアラートとデイリーダイジェスト
Threat Events の保存済みビューにカスタムアラートを設定できるようになりました。ダッシュボードを手動で確認する代わりに、特定のフィルター条件に一致する新しいデータが検出された際に通知を受け取れます。
- Immediate Alerts: 保存した条件に一致する重要なイベントが検出された瞬間にリアルタイム通知を受信。特定の APT グループのアクティブなキャンペーン追跡などに活用できます
- Daily Digests: 1 日 1 回の要約レポート。地域のアクティビティ変動や業界全体の脅威動向などの把握に適しています
設定方法は、Application Security > Threat Intelligence > Threat Events から保存済みビューを作成し、Manage Saved Views メニューから Add Alert を選択します。
CASB
Webhook によるポスチャ検知インスタンスの送信
Cloudflare One で CASB Webhook が利用可能になりました。ポスチャ検知インスタンスをチャットプラットフォーム、チケットシステム、SIEM、SOAR ツール、カスタム自動化サービスなどの外部システムに送信できます。
設定は Integrations > Webhooks から Webhook 宛先を作成し、ポスチャ検知インスタンスの詳細画面から Send webhook を選択して送信します。
- 柔軟な認証 — None、Basic Auth、Bearer Auth、Static Headers、HMAC-Signing に対応
- テスト機能 — Test delivery でライブ送信前にテストリクエストを送信可能
- HTTPS 宛先 — パブリックな
https://URL を指定
Email Security
MX デプロイメント向け DANE サポート
Cloudflare Email Security が MX デプロイメント向けの DANE (DNS-based Authentication of Named Entities) をサポートしました。リージョナル MX ホスト名が DNSSEC に裏付けられた DANE TLSA レコードを公開し、DANE 対応の SMTP 送信者が TLS 接続前に証明書の ID を暗号的に検証できるようになります。
日和見暗号化を超えた検証済みの暗号化配信が可能になり、メール転送のセキュリティが強化されます。追加の設定は不要で、DANE 対応のメールインフラストラクチャが公開レコードを使用して自動的に検証します。
User Submission のトリアージステータス追跡
Email Security の User Submissions にトリアージステータス追跡機能が追加されました。SOC チームがユーザー提出メールを Cloudflare One ダッシュボード内で直接追跡・管理・優先順位付けできます。
User Submissions テーブルに Status カラムが追加され、3 つのステータスで管理できます。
- Unreviewed: トリアージ待ちの新規提出
- Reviewed: SOC チームが評価済み
- Escalated: さらなる調査のためチーム提出にエスカレート
すべての Email Security パッケージ(Advantage / Enterprise / Enterprise + PhishGuard)で自動的に利用可能です。
Cloudflare One Client
Windows 版 2026.3.851.0
Windows 向け Cloudflare One Client の新しい GA リリースが公開されました。マイナーバグの修正と改善が含まれています。次回の安定リリースでは新しい UI が導入される予定です。
主な変更点は以下のとおりです。
- Windows クライアントのトンネルインターフェース初期化失敗の修正
- Consumer 専用 CLI コマンドと Zero Trust コマンドを明確に区別
- 診断ログに QUIC 接続メトリクスの詳細を追加
- トンネル統計収集のタイムアウト監視を追加
- ローカルプロキシモードのトンネル輻輳制御アルゴリズムを Cubic に変更
- SCCM VPN 境界サポートによりトンネルインターフェースがリネームされた場合のパケットキャプチャ失敗を修正
- マルチユーザーモードで RDP 接続に起因する不要な登録削除を修正
- 重複アドレス検出(DAD)と NetBT 無効化のレース条件によるトンネルインターフェース起動時間の増加を修正
- システム DNS 検索リストに予期しない文字が含まれている場合のトンネル接続失敗を修正
- 空の MDM ファイルを単一の MDM 設定として誤って受け入れる代わりに拒否するよう修正
- ローカルプロキシモードでアップストリーム接続タイムアウトによりクライアントが無応答になる問題を修正
- 組織切り替え後に前の組織の緊急切断ステータスが残る問題を修正
- ネットワーク未接続時のマネージドネットワーク検出チェック開始によるデバイスプロファイルのフラッピングを修正
- Windows Management Instrumentation (WMI) の劣化状態が初期化中に接続失敗のループを引き起こす問題を修正
Cloudflare One
Appliance の LACP リンクアグリゲーション
Cloudflare One Appliance が Link Aggregation Control Protocol (LACP) をサポートしました。最大 6 つの物理 LAN ポートを 1 つの論理インターフェースにバンドルでき、利用可能な帯域幅の増加と LAN 側の単一障害点の排除を実現します。
この機能は最新 OS を搭載した物理アプライアンスハードウェアでベータ利用可能です。エンタイトルメントは不要です。
Cloudflare Fundamentals
Organizations がパブリックベータに
Enterprise 顧客向けに Organizations のパブリックベータが開始されました。Organizations は複数のアカウント、メンバー、アナリティクス、共有ポリシーを一元管理できる新しいトップレベルコンテナです。
主な機能は以下のとおりです。
- 1 つの Organization で最大 500 アカウント・5,000 ゾーンを管理
- ダッシュボードからのセルフサーブオンボーディング
- Organization メンバーは子アカウントに対する Super Administrator 権限を暗黙的に取得
- WAF や Gateway ポリシーを Organization 内の複数アカウント間で共有可能
- 全子アカウントの集約 HTTP アナリティクスを単一ダッシュボードで表示
- Terraform プロバイダーによるインフラストラクチャ as コード対応
API トークンがシークレットスキャンツールで検出可能に
Cloudflare の API トークンに識別可能なパターンが含まれるようになり、コードリポジトリや設定ファイルなどの公開ロケーションに漏洩した際にシークレットスキャンツールが自動検出できるようになりました。
漏洩が検出された場合の動作は以下のとおりです。
- Cloudflare がトークンを即座に無効化
- トークン作成者にメール通知を送信
- ダッシュボードでトークンを「Exposed」としてマーク
- トークン管理ページからロールまたは削除が可能
現在 GitHub Secret Scanning がサポートされており、パブリックリポジトリで自動的に有効化されます。
SSL/TLS
mTLS / BYO CA 証明書のダッシュボード管理
mutual TLS (mTLS) と Bring Your Own Certificate Authority (BYO CA) の構成を Cloudflare ダッシュボードから直接管理できるようになりました。従来は API が必要だった以下の操作がダッシュボードで可能です。
- AOP 証明書管理 — Authenticated Origin Pulls (AOP) 用の独自 CA のアップロードと管理
- BYO Client mTLS 証明書管理 — クライアント mTLS 適用用の CA 証明書のアップロードと管理
- CDN ホスト名とクライアント mTLS 証明書のマッピング — 特定のホスト名にクライアント mTLS 証明書を関連付け
Support
サポートポータルのリデザイン
「Get Help」サポートポータルがリデザインされました。従来の複数タイルへのナビゲーション、50 以上の条件フィールドでの手動分類を、パーソナライズされたシンプルなインターフェースに置き換えています。
主な変更点は以下のとおりです。
- 1 ページ・明確な選択肢 — プラン(Free / Pro / Business / Enterprise)に応じた利用可能なサポートチャネルのみを表示
- チケット送信の簡素化 — 4 画面以上・50 以上のフィールドから、5 つの重要な入力項目を持つ 1 画面に削減
- AI 駆動のトリアージ — Workers AI と Vectorize を使用して、ケースの件名を自動生成し、プロダクトカテゴリを予測
バックエンドではセマンティック埋め込みを使用してインテントをキャプチャし、数百万件の解決済みケースとの比較により、最適な専門家へのルーティングを実現しています。
Logs
Gateway DNS の ResponseTimeMs フィールド
Gateway DNS Logpush データセットに新しいフィールドが追加されました。
- ResponseTimeMs: DNS リクエストの合計レスポンスタイム(ミリ秒)
WAF
WAF リリース(2026-04-07)
MCP Server のリモートコード実行 (RCE) 脆弱性、SolarWinds の認証バイパス脆弱性に対する検出ルールと、HTTP Cookie 内の OnEvent ハンドラを利用した XSS インジェクションを検出する汎用ルールが追加されました。
- MCP Server (CVE-2026-23744): Model Context Protocol サーバーの不正な入力ペイロードによるメモリ破損で任意のコード実行が可能
- SolarWinds (CVE-2025-40552): 認証モジュールの不適切な ID トークン検証により、未認証の攻撃者が管理コンソールにアクセス可能
- XSS OnEvents Cookies: HTTP Cookie 値に埋め込まれた悪意のあるイベントハンドラ(
onload、onerrorなど)を検出
| ルールセット | 説明 | アクション |
|---|---|---|
| Cloudflare Managed Ruleset | Generic Rules - Command Execution - 5 - Body | Disabled |
| Cloudflare Managed Ruleset | Generic Rules - Command Execution - 5 - Header | Disabled |
| Cloudflare Managed Ruleset | Generic Rules - Command Execution - 5 - URI | Block |
| Cloudflare Managed Ruleset | MCP Server - RCE - CVE-2026-23744 | Block |
| Cloudflare Managed Ruleset | XSS - OnEvents - Cookies | Block |
| Cloudflare Managed Ruleset | SQLi - Evasion - Body / Headers / URI | Disabled |
| Cloudflare Managed Ruleset | SQLi - LIKE 3 - Body / URI | Disabled |
| Cloudflare Managed Ruleset | SQLi - UNION - 2 - Body / URI | Disabled |
| Cloudflare Managed Ruleset | SolarWinds - Auth Bypass - CVE-2025-40552 | Block |
筆者の感想
Agents Weekが始まりました!
以下からどんどんブログが追加されてます、チェックしてみてください!
(私は怒涛の更新を追いかけるのに戦々恐々です。。。🤯)
Discussion