メインコンテンツへスキップ
ブログサイトのロゴsui Tech Blog
ブログ記事に戻る

2026-04-29

「Cloudflare を入れていれば安心」は半分正解だった

WAFを素通りする93%の攻撃と、被害をゼロに抑えたアーキテクチャの秘密

Cloudflare WAFのブロック率の実態

最も攻撃リクエストが多かったIPからの91件のデータを分析しました

Cloudflare WAFのブロック率の実態素通り93%ブロック7%

WAFを素通りしてオリジンに届く攻撃

無料プランのマネージドルールではWordPress以外を狙った攻撃が検知を回避します

環境変数ファイル

.envなどの秘匿情報

本番や開発用の環境変数ファイルを探るリクエスト

クラウド認証情報

AWSやDockerの認証

credentialsやconfig等を狙う攻撃

Git認証情報

.git-credentials

ソースコード管理の認証情報を狙ったアクセス

アーキテクチャによる被害の違い

攻撃がオリジンに到達した際のサイト構成による結果の違いです

従来の動的サイト

  1. WordPressなどをホスティング
  2. 設定ファイルがサーバー上に存在
  3. 攻撃がファイルに到達し情報漏洩

致命的な情報漏洩のリスク

静的サイト+エッジ

  1. Astro + Cloudflare Workers
  2. 対象のファイル自体が存在しない
  3. 攻撃が到達しても404を返すだけ

実害は完全にゼロ

CORE MESSAGE

実害がゼロだった本当の理由

Cloudflareのおかげではなく、攻撃者が求めるファイルが最初から存在しないアーキテクチャを選んだからです

構成が最高の防御

静的サイト生成とエッジホスティングの組み合わせが強力なセキュリティ対策として機能します

個人開発者が真に警戒すべきリスク

古典的な攻撃がWAFを素通りすることよりWAFのログにさえ現れない設定ミスの方が危険です

見えない脆弱性

新しいSaaSやPaaSを利用する際の落とし穴に注意が必要です

SupabaseのRLS設定

RLSを有効化しないと正規リクエストとして全データにアクセスされます

セキュリティのAI相談

設定の理解が難しい場合は公開前にAIに相談してみるのも一案です

まずはSecurity Analyticsを確認しよう

自分のサイトへの攻撃の実態を知ることが具体的な対策への第一歩です

Next Actions

サイトの守り方を見直そう

WAFに頼り切るのではなくアーキテクチャと設定の両面からセキュリティを構築しましょう

今日からできる対策

WAFのログを確認

Security Analyticsを見てどのような攻撃が来ているか把握する

BaaSの設定を見直し

SupabaseなどでRLSが適切に設定されているか確認する

ポイント: 対象ファイルを持たない構成と適切なアクセス制御が最大の防御です

見えない脅威からシステムを守ろう

sui Tech Blog