モチベーション

• Cloudflare Tech Talk に参加しようと決めたが前提知識が少なすぎる
• もっと活用できるようになりたい（課金が勿体無い笑）

学習にあたって

正直な話、ネットワークやセキュリティに関しては知識が浅いのでChat GPTの力を借りながらのバイブラーニングとして進めていく。
学習のハードルを下げる、完遂できることを優先するスタンス。

### サービス名

#### 概要

- 特徴のテキスト
- 特徴のテキスト
    - 用語の説明

#### 制約

1. 制約の見出し
    - 制約の内容

#### ユースケース

##### シンプルなユースケース

サービスを使用したシンプルなユースケースの説明。

> 拡張案：
他サービスとの連携による拡張案の説明。

Developer Platform

馴染みのあるところから攻めていく。

Cloudflare Workers

概要

• エッジ（地球全体）で極めて高速・高スケーラブルにコードを実行
• クラウドフレアのエッジ上で動作するサーバーレスFaaS環境
  • FaaS：サーバーレス環境で特定のイベントをトリガーに関数を実行するクラウドサービス
• JavaScript/TypeScriptやRustなどで関数を記述可能

制約

1. 実行環境の制限
   • Node.js そのままではなく、V8 Isolate ベース。
   • 一部のNode API（fsなどローカルファイル操作系）は利用不可。
   • NPMライブラリは多く動作するが、C++アドオンが必要なものは非対応。
2. リソース制限
   • 無料／有料プランにより異なるが、代表的なものは以下：
   • 実行時間：デフォルトで数十ms～数百ms程度（長時間実行にはDurable ObjectsやQueues推奨）。
   • メモリ：数百MB以下。
   • リクエスト／帯域数：プランごとに月間クォータあり。
3. 持続的ストレージがない
   • ローカルの永続ストレージは存在しない。
   • 代わりに KV、R2、D1、Durable Objects を組み合わせて利用。
4. コールドスタートは小さいが存在
   • グローバルにデプロイされるため通常は低遅延。
   • ただし、長時間呼ばれない関数はウォームアップに数十ms追加される場合あり。
5. デバッグ環境の制限
   • ローカル開発ツール（wrangler dev, miniflare）はあるが、完全にエッジ環境を再現するわけではない。
   • 実際の挙動確認は本番またはステージング環境で行う必要がある。

API提供やリクエスト処理に最適ですが、長時間・大規模計算やローカルストレージを必要とする用途には不向きです。その場合はDurable ObjectsやR2などの補助サービスと組み合わせる設計が基本

ユースケース

URL短縮サービス

Workers（API/リダイレクト）＋ KV（短縮URLの即時参照）＋ D1（正本／集計）
最小で動く短縮URL＋統計。超低レイテンシ（KV）と整合性（D1）のバランスが良い。

拡張案：
Queuesでクリックログを非同期保存（ユーザーエージェント・国など詳細集計）。
Turnstileで作成APIのボット対策。
Accessで社内限定の短縮器に。
Rate Limitingで悪用抑止。

Cloudflare Workers KV

概要

• グローバル分散のキー・バリュー型ストア
• エッジから超低遅延で読み取り
• TTLや listに対応
• 読み取り中心の設定配布・フラグ管理・レスポンスキャッシュに最適

制約

1. 整合性
   • 最終的整合性（書き込み直後に他地域で古い値が返る可能性）
2. クエリ能力
   • 単一キーの読み書きと簡易 list のみ（範囲検索/複合検索/ソートは不可）
3. 更新頻度
   • 高頻度の書き換えや厳密順序が必要な用途は不向き（→ Durable Objects / D1）
4. サイズ/クォータ
   • 値サイズ/リクエスト数はプラン依存で上限あり

ユースケース

フラグ管理（A/Bテスト）

Workers（判定API）＋ KV（実験フラグ即時参照）
ユーザーごとにエッジで分岐し、ページ/APIの挙動を切り替え。

拡張案：
Durable Objectsで実験割当の一意性管理。
Queuesで結果ログを非同期集計。
Analyticsでテスト効果を可視化。

Cloudflare R2

概要

• S3互換のオブジェクトストレージ（＝大きめファイル/BLOBの保管）
• エグレス料金ゼロ（取り出し課金なし）で配信コストを最適化
• 署名付きURL、マルチパートアップロード、ライフサイクル管理に対応

制約

1. 用途の特性
   • 行指向の細粒度更新や複雑クエリは不得意（DBではない）
2. 整合性/遅延
   • メタデータ更新の伝播にわずかな遅延があり得る
3. パフォーマンス設計
   • 極小オブジェクトを大量高QPSで扱う場合はCDNキャッシュ/Workers前段で調整

ユースケース

静的アセット/画像・動画配信

Pages/WorkersからR2に保存したアセットを配信。コストとレイテンシのバランスが良い。

拡張案：
Images/Streamを組み合わせて変換・最適化。
KVでメタ情報キャッシュ、Queuesでサムネ生成を非同期化。

Cloudflare D1

概要

• SQLiteベースのサーバーレスSQL（＝軽量RDB）
• トランザクション/インデックス/JOIN など一般的なSQLが利用可
• Workersから直接アクセス、バックアップ/PITR（任意時点復元）にも対応

制約

1. スケール
   • 超高スループット書き込み/巨大DBは不向き（シャーディング/集約設計が必要）
2. 互換性
   • SQLite方言（Postgres/MySQLの拡張はそのまま不可）
3. リソース
   • DB容量/長時間クエリ/同時接続に上限（プラン依存）

ユースケース

TODO/管理系APIの正本

Workers（API）＋ D1（正本データ）＋ KV（読み取りキャッシュ）
読み取り多・書き込み中のワークロードでコスト最適化。

拡張案：
Queuesで書き込みスパイクを平滑化。
Hyperdriveで外部Postgresとハイブリッド運用。

Durable Objects

概要

• IDごとに一意な状態を強整合で保持（＝単一の“正”が必要な場所）
• WebSocket終端、ロック/順序制御、アラーム（時限起動）を提供
• ルーム/カウンタ/セッションなどの一意状態に最適

制約

1. ホットスポット
   • 一意オブジェクトに負荷集中 → キー分割/シャーディング設計が必須
2. スケーリング
   • 垂直拡張には限界。オブジェクト数と分割戦略がスループットを左右

ユースケース

ルーム型チャット

部屋ID＝1オブジェクトで参加者・メッセージを管理。WebSocket中継もDOで完結。

拡張案：
KVで履歴の長期保管、R2へアーカイブ。
Queuesで通知/分析イベントを非同期送信。

Cloudflare Queues

概要

• Producer→Queue→Consumer の非同期メッセージング（＝“あとで処理”の箱）
• 再試行/デッドレタ（失敗行き先）設計が可能でスパイク平滑化に強い

制約

1. 配信セマンティクス
   • 少なくとも一度（at-least-once）配信 → 冪等性（同じ処理を複数回受けても結果不変）が必須
2. 順序
   • グローバル順序は保証せず（必要ならDurable Objectsで順序制御）

ユースケース

クリック/監査ログの非同期集計

Workersで受けたイベントをQueuesへ。後段Consumerがバッチ集計やD1/R2への保存を実施。

拡張案：
WorkflowsでETL全体をオーケストレーション。
AI Gateway/Workers AIと組み合わせてスコアリングを非同期推論。

Developer Platform (2)

Cloudflare Workflows

概要

• 複数のWorkersや外部API呼び出しをステップ関数的にオーケストレーション（分岐・並列・リトライ・タイムアウト）。
• 長時間・多段タスクの実行に対応（例：夜間バッチやETL）。
• 実行履歴や失敗時の再試行ポリシーを宣言的に管理。

制約

1. 実行状態の扱い
   • 大容量データは保持せず、R2/D1へ退避が前提。
2. 外部APIの安定性
   • タイムアウト/リトライ/サーキットブレーカ（故障時遮断）の設計が不可欠。
3. 冪等性の確保
   • 再試行時に副作用が重複しない設計（冪等キー）を組み込む必要。

処理手順を“図”のように組んで壊れにくいバッチ/フローを作る基盤。状態は外部ストレージと役割分担。

ユースケース

ETLオーケストレーション

R2（入力）→ Workers（変換）→ D1（保存）をWorkflowsで連結。失敗時は自動リトライ＆通知。

拡張案：
Queuesで遅延取り込みを吸収。Durable Objectsで一意タスクのロック管理。

Workers for Platforms

概要

• SaaSが顧客のカスタムコードを自社基盤上で安全実行（サンドボックス、クォータ、監査）。
• 拡張ポイント（Webhook/アプリ）をWorkersランタイムで提供し、多テナント運用。

制約

1. 隔離と課金
   • CPU/メモリ/IOのテナント隔離、レート制限、従量課金の設計が必須。
2. 運用と互換
   • ログ/監視の分離、バージョン互換、Secrets（機密）管理の徹底。
3. 開発者体験
   • 失敗時のトレースやプレビュー環境、ロールバック戦略の提供が望ましい。

「お客さまのコードが走るSaaS」を安全に伸ばすための土台。資源隔離と課金モデルが肝。

ユースケース

Webhook拡張プラットフォーム

SaaSのイベントに応じてユーザーコードを実行。失敗時は再試行＆通知、ログはテナント別に分離。

拡張案：
Rate Limitingで乱用防止。Billingイベントと連動した従量課金を実装。

Cloudflare AI Gateway

概要

• 生成AI APIへのリクエストを観測・制御・最適化（レート制限、キャッシュ、キー管理、分析、ルーティング）。
• 複数AIプロバイダ（例：OpenAI/Anthropic等）にフェイルオーバや振り分け。

制約

1. 推論は含まない
   • モデル実行はWorkers AIや外部API側。ここは交通整理層。
2. キャッシュ適用の難易度
   • 個人化や高頻度更新ではキャッシュ効果が限定的。整合性とコストのトレードオフ。
3. データ取り扱い
   • プロンプト/応答の機微情報の扱い（PII/コンプライアンス）に配慮。

コストと可用性を守る“AIプロキシ”。直接の推論ではなく、賢い経路選択と可視化が役割。

ユースケース

マルチモデル・プロキシ

特定のプロンプトは低コストモデルへ、長文は高性能モデルへ自動ルーティング。利用状況をダッシュボード化。

拡張案：
よく使うプロンプトは短TTLでキャッシュ。レート超過時は待ち行列（Queues）へ退避。

Cloudflare Vectorize

概要

• ベクターストア（ANN近傍探索）をエッジで提供。メタデータフィルタ＋類似検索。
• Workers/Workers AIと連携し、RAG（検索補強型AI）を構築。

制約

1. クエリ特性
   • SQL的な結合/集計は非対象。検索は「似ている度合い」が中心。
2. 容量/再構築
   • 埋め込み次元・データ量に上限。削除や再インデックスの運用設計が必要。
3. 一貫した埋め込み
   • モデル更新時のベクトル互換性（再埋め込みの計画）が必要。

“似ている”を高速に探すためのストア。構造化集計ではなく、近傍探索に特化。

ユースケース

社内ナレッジ検索（RAG）

資料PDFをR2→埋め込み→Vectorizeに投入。問い合わせ時に近傍文書を取り出し、Workers AIで回答生成。

拡張案：
重要度スコアをD1で管理し、検索時にメタフィルタで品質向上。

Workers AI

概要

• エッジGPUで推論（テキスト生成、画像生成、音声認識など）。WorkersからHTTPで呼び出し。
• Vectorize/AI Gatewayと接続し「検索＋推論」を一貫提供。

制約

1. 学習/微調整
   • フル学習は非対象。提供カタログ内モデル中心、コンテキスト長等に制限。
2. 成果物の扱い
   • 画像/テキスト出力の保存先はR2等を併用。コストとレイテンシの設計が必要。

“今すぐ使える推論”のレイヤ。検索やストレージと繋いで体験を仕上げる。

ユースケース

FAQチャット & 音声文字起こし

音声→文字起こし（Workers AI）→Vectorize検索→回答生成（Workers AI）→レスポンスを返却。

拡張案：
AI Gatewayでモデル切替＆コスト最適化。結果サマリをKVに短期キャッシュ。

Cloudflare Hyperdrive

概要

• 遠隔DB（例：USのPostgres）へのアクセスをエッジ側で最適化（接続プール/プロキシ/地理最適化）。
• RTT（往復遅延）を圧縮し、海外DBでも“近い体感”に。

制約

1. DB本体は別管理
   • スキーマ/索引/クエリ最適化は原DB側の責務。悪いクエリは高速化しきれない。
2. 一貫性/トランザクション
   • DBの整合性モデルに依存。Hyperdriveは伝送経路の最適化が主役。

“遠いDBを近くする”加速層。DBチューニングと併走してはじめて効く。

ユースケース

グローバルSaaSの読取高速化

日本のユーザーがUSのPostgresにアクセス。読み取り多めのAPIをHyperdriveで短縮。

拡張案：
読み取りはKVに短TTLでキャッシュ。書き込みスパイクはQueuesで緩和。

Cloudflare Realtime

概要

• WebRTCベースの低遅延通信（SFU/TURN）。音声・映像・DataChannelを多人数で中継。
• Workers/DOと統合し、認証・ルーム管理・録画・課金まで一体化。

制約

1. ネットワーク品質依存
   • 帯域や損失に影響。FEC/適応ビットレート等の調整が必要。
2. クライアント互換性
   • ブラウザ/端末差異に応じたフォールバック設計が必要。

“遅延との戦い”に勝つ通信基盤。配信設計と端末対策が成功の鍵。

ユースケース

大人数ライブ配信/コラボ

Realtimeで配信中継、DOでルーム状態・参加者を一意管理。録画はR2、要約はWorkers AI。

拡張案：
スケール時はルームのサブシャーディング（DO分割）＋上位集約DOでブロードキャスト。

Cloudflare Zaraz

概要

• サードパーティタグ/SDKをCloudflare上で代理実行（ブラウザ直挿しを削減）。
• データレイヤでイベント整形、最小限・安全な外部送信。パフォーマンス/セキュリティ/プライバシーを改善。

制約

1. 互換性の差
   • 一部タグはDOM依存が強く差異が出る可能性。検証とフォールバックが必要。
2. 同意/PII
   • CMP（同意管理）との整合、個人情報の最小化・マスキングが前提。

“速くて健全なタグ運用”。直挿しスクリプトの嵐からの脱却。

ユースケース

大規模メディアのタグ集中管理

GAや広告タグをZaraz側で実行し、表示高速化＆データ送信を統制。

拡張案：
Workersでイベント整形、AI Gatewayで不正トラフィック検知とブロックを追加。

セキュリティ関連

わからないことが多いから聞きまくる

Cloudflare WAF

概要

• ダッシュボードから数クリックで有効化。WAF自体はPro/Business/Enterpriseで利用され、攻撃スコア等の高度機能は上位プラン。
• L7攻撃のブロック（OWASP Top 10, SQLi/XSS など）
  • マネージドルールとOWASP Core Rulesetで広範な攻撃を自動防御。しきい値ベースのスコアリングで判定可能。
• カスタムルール／レート制限の併用
  • 独自条件での検知・遮断や、しきい値を超えたリクエストの制御が可能。
• 攻撃スコアを使った柔軟な防御
  • cf.waf.score（1〜99, 100は未採点）で“既知攻撃の変種”も検知し、低スコアをブロックする運用ができる。
• API/GraphQLの保護（API Shieldと連携）
  • スキーマ検証やGraphQLクエリ保護で不正リクエストを排除。

制限事項

• プラン依存の高度機能
  • 攻撃スコアはEnterpriseで提供。Botスコアを使うルール化はBot Management（Enterprise）前提。
• 誤検知調整の必要
  • マネージドルールは定期更新されるが、環境に応じたチューニング（除外やしきい値設定）は不可欠。

ユースケース

• WAF＋Rate Limitingで認証系エンドポイントのブルートフォースやリソース濫用を抑止。
  • WAF
    • パス/メソッドの厳格化：/login は POSTのみ 許可、その他は Block/Challenge
    • 管理パス・高リスクAS/国には Managed Challenge（段階防御）
    • 既知の悪性UA/ツール（例: sqlmap）は即時 Challenge/Block
    • 社内IPやCI/CD には Allow（除外） を明示
  • Rate Limiting
    • キーは ユーザー識別子（例: X-API-Key/メール/セッションクッキー）を優先、次点で IP
    • しきい値の目安：/login：10 req / 60s / キー（まず Challenge、継続なら Block）など
    • 段階応答：Log → Challenge → Block（＋短時間のクールダウン）
• WAF＋API Shield（GraphQL/Schema）：型外・過剰クエリや異常ペイロードを遮断してAPI停止を防ぐ。
  • API ShieldにOpenAPIスキーマを登録し、スキーマ準拠のメソッド／パス／型だけ許可。未知のエンドポイントやパラメータは遮断（シャドーAPI対策）。
  • 入口でWAFのカスタムルールを使い、未認証や意図外メソッド（例：/v1/orders は POST のみ）を即時拒否。

Cloudflare DDoS対策

概要

• DNS切替やトンネル設定だけで開始可能
• L3/4（ネットワーク層）とL7（アプリ層）に対するDDoS攻撃を、CloudflareのグローバルAnycastエッジで自動検知・自動緩和し、オリジンや社内ネットワークに届く前に吸収する。
• 常時オン（常時監視・常時緩和）を前提とし、突発的大量トラフィックにも人手を介さず秒〜分単位で応答。オリジンの帯域やCPUを消費させない設計。

制限事項

• 高度攻撃には調整が必要：攻撃手口により、許可リスト/除外・しきい値・チャレンジ動作などのチューニングが必要になる場合がある（特にAPIやログイン周り）。
• ネットワーク構成依存：オンプレや独自ASでの全体防御（Magic Transit等）は、IPアナウンスや経路設計が前提（導入設計コストが発生）。

セキュリティ関連 - 続き

Bot Management

概要

悪性ボット（不正ログイン、スクレイピング、在庫買い占め等）を排除し、正規ユーザー体験を維持する。

• 検知ロジック：
  • 機械学習＋行動/ネットワーク/ブラウザ信号（指紋・挙動）で判定し、**Botスコア（1–99）**を付与
  • スコアや条件に応じて Allow / Log / Challenge / Block を自動適用（段階的に強化可能）。
  • 検索エンジンなどの Verified Bots & Services は自動許可（誤ブロックを回避）。
  • HTTP(S)トラフィック全般（Web/SPA/モバイルアプリのAPI/GraphQL 含む）に対応。
• 可視化・運用：
  • Bot Analytics で可視化、Logpush でスコアや判定根拠を外部SIEMへ出力して監査・最適化。

制限事項

フル機能は （Enterprise向け）Bot Management。Pro/Business では簡易版の Super Bot Fight Mode を利用。
- Pro/Businessで十分なケース：
- まずは簡易対策＋WAF/Rate Limiting/Turnstileで体感的に被害が減っている
- 攻撃が単純（既知ツール/明確なUA/単一IP帯）で被害規模が限定的

ユースケース

• スクレイピング・在庫買い占めの抑止
  • 行動特徴やフィンガープリントに基づく検知で悪性ボットのみを選別し、検索エンジンなどの**善玉ボット（Verified Bot）**は許可。
• APIの悪用対策
  • APIトラフィックにもボットスコアを適用し、キーやパス単位のWAFカスタムルールで入口を厳格化。Bot Analytics/ログ（BotScore）で可視化できます。

API Shield

概要

APIをスキーマと認証で保護し、シャドーAPIや異常ペイロードを遮断して可用性とセキュリティを高める。

• 保護の柱：
  • スキーマ検証：OpenAPI/JSON Schema を登録し、スキーマ外のメソッド／パス／型／ヘッダを拒否（ポジティブセキュリティモデル）
  • mTLS：クライアント証明書で相互TLS認証。トークンが盗まれても正当なクライアント証明書がないと通さない
  • API Discovery：エッジ観測で**未登録エンドポイント（シャドーAPI）**を可視化→必要分だけスキーマへ取り込み
  • エッジ適用：WAF／Rate Limiting／Bot対策と連携し、**入口の質（正当性）と量（QPS）**を同時制御
• 可視化・運用：
  • ダッシュボードでスキーマ違反・mTLS失敗・未登録エンドポイントを可視化
  • Logpushで違反イベントやAPIメトリクスを外部SIEMへ出力し、監査・最適化に活用

制限事項

• GraphQLはRESTより厳密検証が限定的：実運用は WAF（POST/Content-Type固定・Introspection制御）＋サーバ側の深度/複雑度制限 と併用
• スキーマ更新時のブロックリスク：本番投入は Log/Simulate → 例外調整 → Block の段階適用が前提
• 証明書運用コスト：mTLSは発行・配布・失効・ローテーションの体制設計が必要
• プラン差：一部機能は上位プラン前提（契約プランの機能表に準拠）

ユースケース

ユースケース

• モバイル／B2B APIの厳格化（mTLS＋スキーマ）：機械間通信を証明書＋スキーマで厳密識別、スキーマ外フィールドは即Reject
• シャドーAPIの検出と封鎖：Discoveryで見つけた未登録パスを棚卸し、必要分のみスキーマ取り込み、不要はWAFでBlock
• 決済・個人情報APIの“正当トラフィックだけ許可”：Allowリスト運用（メソッド／ヘッダ／Content-Type／サイズ制約）＋Rate Limitingで濫用抑止
• GraphQLの安全化（WAF＋サーバ設定）：/graphql を POST＋application/json に固定、Introspectionの本番無効化、深度／複雑度の上限設定

Turnstile

概要

CAPTCHAの代替として**無摩擦（ノーパズル）**で人間かを判定し、フォーム濫用や認証系の悪用を抑止する無料サービス。

• 判定方式（ウィジェットモード）
  • managed：必要時のみ自動で軽いチャレンジを提示（基本は何も表示しない）
  • non-interactive：表示はするが入力不要の“透過的”検査
  • invisible：UIを出さずにバックグラウンド判定
• 検証フロー
  • クライアントでトークン取得 → サーバ側で検証APIに照会 → 成功時のみ処理続行（失敗は再試行/別フロー）
  • ※ サーバ検証時にhostnameやアクション名の突合で“他サイトのトークン使い回し”を防止
• 連携の基本：WAF/Rate Limiting/Bot Management と併用し、入口（正当性）× 量（QPS）× 行為者判定を多層化
• カスタマイズ：ライト/ダークテーマ、コンパクトサイズ、SPA/SSR各種フレームワークで実装可能
• 料金：無料

制限事項

• 単独では取り切れない攻撃：分散・低速・スクリプト化が巧妙な攻撃はWAF/Rate/Botの併用が前提
• サーバ検証の実装必須：クライアント側だけの判定は形骸化（トークン未検証・使い回しリスク）
• 非ブラウザ/純APIには不向き：機械間通信の保護は**mTLS（API Shield）**等を使用
• 互換/アクセシビリティ配慮：スクリプト無効・古いブラウザではフォールバック導線が必要

ユースケース

• 認証系の濫用抑止：/login / /signup / /password-reset で疑わしい時だけ提示（通常は非表示）
• フォーム/コメント対策：お問い合わせ・コメント・通報・招待リクエスト等のスパム削減
• キャンペーン/抽選・クーポン：特定期間や高リスクASN/国に限定して提示（WAF条件から制御）
• 決済前の簡易フィルタ：カードテストやアカウント作成ボットの一次足切り（本番はWAF/Rate/監査と併用）

Cloudflare Page Shield

概要

ブラウザ側で発生するサプライチェーン攻撃（Magecart 等）やJS改ざんを検知・可視化し、データ流出を未然に防ぐ。

• 監視の柱：
  • スクリプト監視：読み込まれた外部/インラインJSの出自・改変・新規追加を検知（インベントリ化）
  • 接続先監視：ブラウザからの外部送信先ドメインを観測し、不審なエンドポイントを警告
  • ポリシー適用：許可ドメイン/スクリプトの許可リスト化（Allow）、逸脱時のアラート or ブロック運用
• 可視化・運用：
  • ダッシュボードで改ざん兆候・新規スクリプトを可視化
  • Logpushで検知イベントをSIEMに出力、監査・原因追跡に活用

制限事項

• サーバーサイド攻撃は対象外（WAFと役割分担）
• 初期はアラート/レポート運用が安全（誤検知調整のため）
• 外部ウィジェット/広告タグが多い環境では許可リスト整備に手間がかかる

ユースケース

• ECの決済フォーム防御：カード情報入力ページのスキミング対策
• CDN配信サイトの改ざん検知：外部スクリプトの差し替え・寄生を早期発見
• 個人情報入力フォーム：外部送信先を監視して意図しない漏えいを阻止

併用例（実践）：Page Shield＋WAF でサーバ/ブラウザの二面防御、Logpushで検知→調査→封鎖のPDCAを高速化。

Cloudflare Spectrum

概要

非HTTP(TCP/UDP) アプリ（ゲーム、SSH/RDP、SMTPなど）をCloudflare経由で公開し、L3/L4 DDoS緩和＋最適経路での加速を提供するリバースプロキシ。

• 提供機能：
  • L3/L4 DDoS軽減：Anycastエッジで攻撃を吸収
  • TLS終端/パススルー：アプリ要件に合わせて選択
  • ポート/プロトコル単位の公開：既存インフラを変更せず、入口だけCloudflareへ
  • ヘルスチェック/フェイルオーバ：到達性に応じて自動切替
• 可視化・運用：
  • 接続イベント/遮断状況をダッシュボードで確認、ログ出力で監査

制限事項

• L7（HTTP）WAFルールは対象外（アプリ層の検査は不可）
• 一部機能は上位プラン中心、利用量に応じた課金
• ポート設計・証明書運用（必要時）・ヘルスチェックの初期設計が鍵

ユースケース

• オンラインゲーム/VoIP：UDP Floodを吸収し、正規ユーザーは低遅延で接続
• 管理系ポート（SSH/RDP）：インターネット公開を安全に（DDoS吸収＋到達制御）
• メール/メッセージング：SMTP/IMAP等の耐障害化と経路最適化

併用例（実践）：Spectrum＋DDoS対策 を土台に、社内全体を守る場合は Magic Transit へ拡張。

Cloudflare Rate Limiting

概要

しきい値（QPS/頻度） を超えるリクエストを 429/Challenge/Block で制御し、淀み（濫用/スパイク） からバックエンドを保護。

• 機能の柱：
  • しきい値設計：IP/ヘッダ/トークンなどをキーに、パス/メソッド/ステータスで条件式を定義
  • アクション：Log / Challenge / Block（TTL付） を段階適用
  • 粒度：エンドポイント単位（例：/login, /api, /graphql）で差別化
• 可視化・運用：
  • ダッシュボードで発火回数・429率を監視、Logpushで外部分析（成功率と相関で誤検知を発見）

制限事項

• IP共有（NAT/キャリア） で誤検知リスク → 可能ならユーザー/トークンをキーに
• 正常時のスパイク/バーストを見込んだ余裕のある閾値が必要
• 高度な条件は上位プラン（Advanced Rate Limiting）で表現力が拡張

ユースケース

• 認証系の濫用抑止：/login を 10 req/60s/ユーザー、/password-reset を 5 req/15m/ユーザー
• API保護：/api/* を 100 req/60s/APIキー、超過は 429 + 短時間Block
• GraphQL： /graphql を POSTのみ ＋ 100 req/60s/トークン

併用例（実践）：Rate Limiting＋WAF で入口（正当性）を固定し、Bot Management / Turnstile で“誰か”を見極め、Rateで“どれだけ”を絞る三層防御。

ゼロトラスト

Cloudflare Access (ZTNA)

概要

• 従来のVPNに代わる ゼロトラストネットワークアクセス (ZTNA) ソリューション
• ユーザーの 認証情報・デバイスの状態・ネットワーク環境 を基にアクセスを制御
• 社内アプリ・クラウドサービス・SaaSを問わず、アプリ単位でポリシーを適用可能
• 最小権限アクセスを実現し、不正アクセスや横方向の移動を防止

制約

1. レガシーアプリ接続の互換性調整が必要
   • 特にSSO未対応のアプリケーションでは追加の認証統合や設定工夫が必要となる

ユースケース

シンプルなユースケース

社員が社内のWikiやGitリポジトリにアクセスする際、SSOアカウントとデバイスの健全性を確認し、条件を満たした場合のみ接続を許可。

拡張案：
Gatewayと組み合わせることで、社内アプリへのアクセス制御に加えて、外部インターネット通信全体も統合的に保護。

Cloudflare Gateway (SWG)

概要

• セキュアWebゲートウェイ (SWG)
• Cloudflareのエッジ経由で社員のインターネットアクセスをプロキシ
• DNS・HTTPレベルでの有害サイトブロック やマルウェア防止を提供

制約

1. 通信経路をCloudflareに依存
   • 特定地域でのインターネット遅延や規制環境で影響を受ける場合あり

ユースケース

シンプルなユースケース

社員が業務中にフィッシングサイトへ誤ってアクセスすることをDNS段階で自動的に遮断。

拡張案：
Browser IsolationやDLPと連携し、安全にWeb閲覧やデータ保護を包括的に実現。

Cloudflare Browser Isolation

概要

• リモートブラウザ分離 (RBI) サービス
• ブラウザの実行をCloudflareエッジで行い、端末には描画結果のみ送信
• ゼロデイ脆弱性やランサムウェア感染を水際で防御

制約

1. 動画やWebGLなど高負荷描画はパフォーマンス影響の可能性
2. 一部の拡張機能やカスタムブラウザ操作との互換性制約あり

ユースケース

シンプルなユースケース

社員が不審なURLを開く必要がある場合、ブラウザ分離環境を通じて調査を行い、端末感染を防止。

拡張案：
Gatewayと連携し、怪しいURLは自動的にBrowser Isolation経由で開く設定に。

Cloudflare CASB

概要

• Cloud Access Security Broker (CASB)
• Google WorkspaceやSalesforceなどSaaSとAPI連携
• 設定ミス検出・データ共有監視・シャドーIT発見 を継続的に実施

制約

1. API連携が前提のため、非対応SaaSではカバー不可
2. 一部SaaSでは監視粒度に制約（権限や利用プラン依存）

ユースケース

シンプルなユースケース

社員が誤って社外に共有したGoogle Driveファイルを検出し、管理者へ通知。

拡張案：
DLPと組み合わせて、共有されたファイルの中に機密情報が含まれている場合、自動でブロック。

Cloudflare Data Loss Prevention (DLP)

概要

• 機密データの流出を防ぐ データ検査サービス
• SaaSへのアップロードやWeb投稿をリアルタイムスキャン
• クレジットカード番号や個人情報を検知して遮断

制約

1. 定義済みパターンに依存するため、カスタムデータ検知には設定工数が必要
2. 検知ルール過多の場合、誤検知の調整が発生

ユースケース

シンプルなユースケース

社員が誤って顧客のクレジットカード番号をSlackに投稿しようとした際に自動検出・遮断。

拡張案：
CASBと連携し、SaaS全体におけるデータ取り扱いを統制。

Cloudflare WARP

概要

• モバイル・デスクトップ向けの VPNライクなクライアント
• 個人利用では1.1.1.1 DNSで通信を暗号化・高速化
• 企業利用ではCloudflare Zero Trust環境への安全なエントリーポイントとして機能

制約

1. 企業利用ではWARP単体では不十分、AccessやGatewayとの組み合わせ必須
2. 一部の地域ネットワーク規制下で利用制限あり

ユースケース

シンプルなユースケース

リモート社員がWARPを起動して社内ネットワークへ接続、外出先からでも社内リソースに安全にアクセス。

拡張案：
Accessと組み合わせて、認証＋デバイス検証後に社内アプリへアクセス可能にする。

パフォーマンス

Cloudflare CDN

概要

• 世界中のデータセンターでコンテンツをキャッシュし、ユーザーに最も近い拠点から配信
• 帯域コスト削減、自動圧縮・画像最適化でUXを改善

制約

1. 動的コンテンツには効果が限定的
   • キャッシュ不可のリクエストはオリジン依存

ユースケース

シンプルなユースケース

Webサイトの静的コンテンツ（HTML/CSS/JS/画像）をキャッシュし、グローバルで高速表示。

拡張案：
Argo Smart Routingと組み合わせ、キャッシュミス時のオリジン到達も最適化。

Argo Smart Routing

概要

• インターネット経路をリアルタイムに最適化し、遅延を削減
• 「Tiered Cache」によりオリジンへのリクエスト数も削減

制約

1. 有料オプション
   • トラフィック量に応じた追加課金が発生

ユースケース

シンプルなユースケース

海外ユーザーが利用するECサイトのレスポンス改善。

拡張案：
Load Balancingと併用し、地理的に最適なサーバー＋最適経路を両立。

Cloudflare Load Balancing

概要

• 複数サーバー間でトラフィックを分散し高可用性を実現
• ヘルスチェックで障害時に自動フェイルオーバー

制約

1. 設定の複雑さ
   • 健康チェックとルール設計が必要

ユースケース

シンプルなユースケース

2拠点のデータセンターにトラフィックを分散し、障害時は自動切替。

拡張案：
Argo Smart Routingと組み合わせ、回線レベルでの遅延最適化も加える。

Automatic Platform Optimization (APO)

概要

• WordPressサイトを対象にHTML含めエッジキャッシュを実施
• Core Web Vitals改善（特にLCP）

制約

1. 主にWordPress特化
   • 他CMSやフレームワークには未対応

ユースケース

シンプルなユースケース

中小企業のWordPressブログを即座に高速化。

拡張案：
Cloudflare CDNと併用して画像や静的リソースも統合的に最適化。

Cloudflare Images

概要

• 画像の保存・最適化・配信を一元提供
• URLパラメータでサイズ・フォーマット指定、WebP変換やオンザフライリサイズ対応

制約

1. 高度な編集やAI処理には非対応
   • 基本は変換と最適化に特化

ユースケース

シンプルなユースケース

ECサイトの商品画像を自動リサイズ・WebP配信。

拡張案：
Streamと組み合わせて動画＋画像を統合配信基盤化。

Cloudflare Stream

概要

• 動画の保存・エンコード・配信・プレーヤーを統合
• ライブ配信とオンデマンド配信両対応

制約

1. 高度な動画編集機能は非提供
   • 配信基盤に特化

ユースケース

シンプルなユースケース

教育サービスで動画教材を配信。

拡張案：
Imagesと組み合わせ、サムネイルや教材資料も統合的に最適化配信。

Rocket Loader

概要

• JavaScript読み込みを最適化し、初期描画を高速化
• 自動で非同期化、ユーザー側の設定不要

制約

1. 一部JS依存アプリで競合
   • 特殊なライブラリは動作不良の可能性あり

ユースケース

シンプルなユースケース

ブログやメディアサイトの初期ロード時間短縮。

拡張案：
APOと組み合わせ、HTMLとJS両面での最適化。

Railgun

概要

• 動的コンテンツを差分圧縮し、高遅延環境でも高速化
• 帯域節約とページロード短縮
• ※現在はArgoに置き換わりつつある

制約

1. サーバー側にRailgunソフト導入が必要
   • 運用負荷が増加

ユースケース

シンプルなユースケース

海外拠点からの社内ポータル利用を高速化。

拡張案：
Argo Smart Routingに移行し、Railgunの代替とすることで運用簡素化。

ネットワーク

Magic Transit

概要

• 企業ネットワーク向けの L3セキュリティ・Anycastソリューション
• IPプレフィックスをCloudflareのエッジでアナウンスし、大規模DDoS緩和やスマートルーティングを提供

制約

1. 物理ネットワーク依存
   • 導入にはBGPアナウンスや既存ネットワーク設計との調整が必要

ユースケース

シンプルなユースケース

オンプレDCを大規模DDoS攻撃から保護。

拡張案：Magic Firewallと組み合わせてアウトバウンド通信も統制。

Magic WAN

概要

• SD-WANをクラウド化したWANオーバーレイ
• 各拠点やデバイスからCloudflareネットワークへシームレス接続

制約

1. 専用線代替の制限
   • MPLSやハードウェアVPNの完全互換ではないため移行設計が必要

ユースケース

シンプルなユースケース

拠点間をCloudflare経由で接続してWANコストを削減。

拡張案：ゼロトラスト製品と統合し、WAN上でZTNAを実現。

Magic Firewall

概要

• Firewall-as-a-Service (FWaaS)
• Magic WAN経由のトラフィックに対し、L3/L4レベルでポリシー制御

制約

1. L7制御は対象外
   • アプリケーションレイヤーの制御にはWAFやSWGが必要

ユースケース

シンプルなユースケース

アウトバウンド通信の制御をクラウドで一元化。

拡張案：Magic Transitと組み合わせて内外両方のトラフィックを保護。

Network Interconnect

概要

• Cloudflareと顧客ネットワークを直接接続する プライベートピアリングサービス

制約

1. 地理的制約
   • 提供ロケーション（DCやIX）に依存

ユースケース

シンプルなユースケース

データセンターからCloudflareエッジへ専用ポートで低遅延接続。

拡張案：大容量配信に利用し、R2やStreamと組み合わせて高速配信。

Tunnel (Argo Tunnel)

概要

• 内部サーバーを公開IPなしで外部公開できる 安全なトンネリングツール
• cloudflared デーモンがアウトバウンド接続を確立

制約

1. サービス単位で設定
   • 大規模環境では複数トンネルの管理が必要

ユースケース

シンプルなユースケース

オンプレアプリを公開IPなしで公開。

拡張案：Accessと組み合わせてゼロトラスト認証つきで利用。

BYOIP

概要

• 顧客保有のIPをCloudflare上でアナウンス可能
• DDoS緩和・ルーティング最適化も適用

制約

1. 対応要件
   • RIR割当済みの正規IPが必要

ユースケース

シンプルなユースケース

既存の自社IPにCloudflareの防御機能を追加。

拡張案：Magic Transitと組み合わせて自社ASNをグローバル保護。

China Network

概要

• 中国本土での配信を最適化
• Baiduや網宿との提携により現地データセンターから配信

制約

1. 中国特有の規制
   • ICPライセンス取得など事業要件が必要

ユースケース

シンプルなユースケース

中国ユーザー向けECサイトの高速化。

拡張案：Magic WANと組み合わせてグローバル全体の統一WANを実現。

Network Error Logging

概要

• ブラウザから送信されるネットワークエラー情報を収集・分析

制約

1. ブラウザ依存
   • NEL対応ブラウザに限られる

ユースケース

シンプルなユースケース

地域ごとの接続障害を可視化。

拡張案：DEXと統合し、ユーザー体験全体の監視基盤に。

Digital Experience Monitoring (DEX)

概要

• ゼロトラスト環境下でのエンドツーエンド監視
• デバイス・ネットワーク・SaaSアプリの体感品質を可視化

制約

1. 主に企業利用向け
   • 個人利用ではメリットが少ない

ユースケース

シンプルなユースケース

リモートワーク社員のネットワーク遅延を可視化。

拡張案：Gatewayと組み合わせてトラフィック制御＋品質監視を統合。