WAFの「ログかブロックか」を卒業。Cloudflareが提唱するAttack Signature Detectionの革新性

WAFの「ログかブロックか」を卒業。Cloudflareが提唱するAttack Signature Detectionの革新性

WAF（Web Application Firewall / ウェブ・アプリケーション・ファイアウォール）の運用において、セキュリティ担当者を長年悩ませてきた「ログモードかブロックモードか」という二者択一に、終止符が打たれようとしている。

Cloudflareが発表した「Attack Signature Detection（アタック・シグネチャ・デテクション）」は、検知と遮断のアクションを分離することで、防御性能を維持しながらトラフィックの完全な可視化を実現する技術だ。

この新機能は、従来のWAFが抱えていた「遮断を優先すると、他の攻撃シグネチャがどう反応したかのデータが失われる」という構造的な欠陥を解消する。

WAFの課題「検知か遮断か」のジレンマを解消する新アプローチ

従来のWAF運用では、新しいアプリケーションを公開する際、まず「ログ専用モード」で数週間稼働させることが一般的だった。

これは、WAFが正規の通信を誤って攻撃と判断してしまう「誤検知（False Positive）」を防ぐための調整期間だ。

ログモードとブロックモードの壁

ログモードでは攻撃を防げず、ブロックモードでは誤検知によってビジネス機会を損失するリスクがある。

さらに深刻なのは、ブロックモードで特定のルールがリクエストを遮断した場合、その時点で処理が終了してしまう点だ。

これにより、他のシグネチャ（攻撃のパターンを定義した識別子）がそのリクエストをどう評価したかという貴重なインサイトが得られなくなる。

多角的な防御策を講じる上で、この「可視性の欠如」は防御の最適化を妨げる大きな要因となっていた。

検知とアクションを分離する「常時稼働」モデル

Attack Signature Detectionは、このトレードオフを「検知の常時稼働」という概念で解決する。

リクエストが届いた際、まず全ての検知シグネチャを走らせてリッチなメタデータを付与し、その後に実際の遮断アクションを行うかどうかを判定する仕組みだ。

これにより、たとえリクエストをブロックしたとしても、背後でどのシグネチャが反応していたかを全て記録に残すことが可能になる。

Attack Signature Detection：常時稼働する高精度な検知エンジン

Attack Signature Detectionは、Cloudflareのマネージドルールセットと同じ高度なヒューリスティック（経験則に基づいた分析手法）を利用している。

SQLインジェクション（SQLi）やクロスサイトスクリプティング（XSS）といった代表的な攻撃から、最新のCVE（Common Vulnerabilities and Exposures / 共通脆弱性識別子）まで、700以上のルールがリアルタイムで適用される。

信頼度（Confidence）による分類

各シグネチャには「カテゴリー」と「信頼度」というタグが付与されている。

信頼度は、そのシグネチャが正規の通信を誤検知する可能性の低さを示す指標だ。

• High（高信頼度）: 誤検知が極めて少なく、即座にブロックモードでの運用が推奨される。
• Medium（中信頼度）: トラフィックの特性によっては誤検知の可能性があるため、事前の分析が推奨される。

運用者はこれらの指標を基に、「信頼度が高いシグネチャに一致した時だけブロックする」といった柔軟なポリシーをノーコードで作成できる。

パフォーマンスへの影響を最小限に抑える設計

「全てのシグネチャを常時稼働させると、通信速度が低下するのではないか」という懸念が生じるのは自然なことだ。

しかし、このフレームワークは効率性を極限まで高めている。

特定の検知に基づいた遮断ルールが設定されていない場合、検知処理はリクエストがオリジンサーバー（Webサイトの本体が稼働しているサーバー）へ送信された「後」に実行される。

この非同期処理により、検知そのものがユーザーの体感速度に影響を与えることはない。

Full-Transaction Detection：レスポンスまで見通す次世代の防御

Attack Signature Detectionのさらに先を行く進化として開発されているのが、「Full-Transaction Detection（フル・トランザクション・デテクション）」だ。

従来のWAFは、ユーザーからの「リクエスト（問いかけ）」の内容だけを見て攻撃を判断していた。

しかし、Full-Transaction Detectionは、サーバーからの「レスポンス（回答）」も含めた一連のやり取り（トランザクション）を分析対象とする。

「攻撃の成否」を判断する重要性

例えば、URLの末尾にSQLインジェクションのコードが含まれていたとする。

リクエストだけを見れば攻撃だが、サーバーが「500 Internal Server Error」や「404 Not Found」を返していれば、その攻撃は失敗したと判断できる。

一方で、サーバーが「200 OK」を返し、かつレスポンスボディにユーザーのパスワード一覧のような機密データが含まれていた場合、それは「攻撃が成功した」ことを意味する。

このように、レスポンスを相関分析することで、誤検知を劇的に減らし、真に危険なイベントだけを抽出することが可能になる。

データ漏洩と設定ミスの検知

この技術は、外部からの攻撃だけでなく、内部の設定ミスや意図しないデータ露出の検知にも威力を発揮する。

例えば、管理者が誤って公開設定にしてしまったElasticsearch（検索エンジン）のインターフェースや、Apacheの機密エンドポイントへのアクセスを検知できる。

また、正規のAPIリクエストであっても、レスポンスに数千件のクレジットカード番号が含まれているような異常な事態（データエクスフィルトレーション / データ持ち出し）を即座に特定できる点は、従来のWAFにはない強みだ。

セキュリティ運用を劇的に変える分析とルールのカスタマイズ

Attack Signature Detectionがもたらす最大の価値は、セキュリティ運用の「データ駆動型」への転換だ。

Security Analytics（セキュリティ・アナリティクス）のダッシュボードを活用することで、専門家でなくても自社サイトがどのような攻撃にさらされているかを詳細に把握できる。

Security Analyticsによる可視化

ダッシュボードでは、どのCVEを狙った攻撃が多いか、どのエンドポイント（URL）が標的になっているかがグラフ化される。

例えば、特定のAPIパス（`/api/v1/`など）に対して執拗に攻撃を繰り返しているIPアドレスを特定し、その場で遮断ルールを作成するといったアクションがスムーズに行える。

また、過去のトラフィックデータに対して「もしこのルールを適用していたらどうなっていたか」というシミュレーションを行うことも可能だ。

柔軟なルールエンジンの活用

検知されたメタデータは、Cloudflareの「Edge Rules Engine」で自由に利用できる。

「信頼度がMediumのシグネチャに一致した場合は、即座にブロックせず、Managed Challenge（人間であることを確認する認証画面）を表示する」といった、ユーザー体験を損なわない防御策も容易に実装できる。

こうした「多層防御」の構築が、複雑なスクリプトを書くことなくGUI上で行える点は、リソースの限られた中小企業のWeb担当者にとっても大きなメリットとなるだろう。

独自の分析：Web制作現場におけるWAF運用のパラダイムシフト

これまでのWeb制作や保守運用の現場では、WAFは「導入して終わり」か、あるいは「誤検知が怖いからオフにする」という極端な運用に陥りがちだった。

しかし、Attack Signature Detectionの登場により、WAFは「静的な壁」から「動的なセンサー」へと進化したと捉えるべきだ。

筆者の分析では、この技術が普及することで、以下の3つの変化が起こると予測している。

第一に、WAF導入の心理的ハードルが下がる。

「とりあえず検知だけさせてデータを貯める」というスモールスタートが、パフォーマンスへの影響なしに可能になるからだ。

第二に、インシデント対応の迅速化だ。

リクエストとレスポンスの両面から攻撃の成否が可視化されるため、ログを数時間かけて解析しなくても、どの脆弱性が突かれたのかが瞬時に判明する。

第三に、開発とセキュリティの融合（DevSecOps）が加速する。

開発者はWAFの検知データをフィードバックとして受け取り、コードレベルでの修正が必要なのか、WAFでの対応で十分なのかをデータに基づいて判断できるようになる。

もはやセキュリティは、開発の足を引っ張る存在ではなく、安全なリリースを支える強力なインフラへと変貌を遂げている。

この記事のポイント

• WAFの課題だった「検知（ログ）か遮断（ブロック）か」の選択を、機能を分離することで解消した。
• Attack Signature Detectionは常時稼働し、リクエストに詳細なメタデータを付与して可視性を高める。
• Full-Transaction Detectionにより、レスポンスまで分析して攻撃の成功・失敗を正確に判別できる。
• 非同期処理の導入により、高度な検知を行いながらもユーザーの通信速度に影響を与えない設計を実現した。
• 専門知識がなくても、信頼度に基づいた柔軟なセキュリティポリシーの運用が可能になった。

出典

• Cloudflare Blog「Always-on detections: eliminating the WAF “log versus block” trade-off」（2026年3月4日）

海田 洋祐

・ 複数業界における17年間のデジタルビジネス開発経験
・ ウェブサイト開発のためのHTML、PHP、CSS、Java等の実用的知識
・ 15ヶ国語対応の多言語SaaSの開発経験
・ 17年間にも及ぶ、Eコマース長期運営経験
・ 幅広い業界でのSEO最適化の豊富な経験