なぜLog Explorerが必要か
現代のサイバー攻撃者は単一の経路から侵入しません。APIをスキャンし、DDoSでノイズを発生させてチームを撹乱し、盗んだ認証情報で内部システムに侵入します。このような**マルチベクター攻撃(Multi-Vector Attack)**を検出するには、複数レイヤーのテレメトリーをクロス分析する必要があります。
Cloudflare Log Explorerは、HTTPリクエスト、ファイアウォールイベント、DNSログ、Zero Trust Accessイベントなど14のデータセットを統合し、単一のSQLインターフェースでクエリ可能にします。これによりMTTD(平均検出時間)を大幅に短縮し、高度な攻撃を早期に発見できます。
ポイント: Cloudflareはエッジで全トラフィックをロギングするため、攻撃がユーザーインフラに到達する前にログが取得されます。これは「ブラックボックス」ではなく「フライトレコーダー」を提供するのと同じです。
データセット概要:14のログソースの役割
Log Explorerはアプリケーションサービスと**Cloudflare One(Zero Trust)**の2領域をカバーします。以下の表は各データセットがどの攻撃フェーズを明らかにするかを示します。
| データセット | 主な用途 | 攻撃フェーズ |
|---|---|---|
| HTTP Requests | アプリケーション層トラフィック再構築、ボットパターン識別 | 偵察、武器化 |
| Firewall Events | WAFルール/IPレピュテーションによるブロック証拠 | 武器化、悪用 |
| DNS Logs | キャッシュポイズニング、ドメインハイジャック検出 | 偵察、C2通信 |
| Access Requests | IDベース認証イベント追跡 | 権限昇格、ラテラルムーブメント |
| Magic IDS Detections | ネットワーク層侵入検知シグネチャ | ラテラルムーブメント、データ流出 |
| Gateway DNS | シャドーIT、マルウェアコールバック、DGA検出 | C2通信 |
| Email Security Alerts | フィッシングメールゲートウェイ検出 | 初期侵入 |
実践SQLサンプル:セッションハイジャック検出
攻撃者がCloudflare Accessで認証したユーザーのセッションを奪取したシナリオです。正当なユーザーのように見えるがBotScoreが低いトラフィックを特定します。
-- ステップ1:不審なHTTPリクエストを特定
SELECT RayID, ClientIP, ClientRequestUserAgent, BotScore
FROM http_requests
WHERE date = '2026-02-22'
AND BotScore < 20
LIMIT 100;
-- ステップ2:該当RayIDでAccessログを検索し、ユーザーアカウントを確認
SELECT Email, IPAddress, Allowed
FROM access_requests
WHERE date = '2026-02-22'
AND RayID = 'INSERT_RAY_ID_HERE';
実践SQLサンプル:フィッシング後のC2ビーコン追跡
従業員がフィッシングメールをクリックし、ワークステーションが感染したケースです。DNSクエリとIDSアラートをクロス分析します。
-- ステップ1:メールセキュリティアラートからフィッシングを検出
SELECT Timestamp, Threatcategories, To, Alertreason
FROM email_security_alerts
WHERE date = '2026-02-22'
AND Threatcategories LIKE '%phishing%';
-- ステップ2:フィッシング対象者のIPを確認
SELECT Email, IPAddress
FROM access_requests
WHERE date = '2026-02-22';
-- ステップ3:該当IPから悪性ドメインへのDNSクエリを確認
SELECT SrcIP, QueryName, DstIP
FROM gateway_dns
WHERE date = '2026-02-22'
AND SrcIP = 'INSERT_IP_FROM_PREVIOUS_QUERY'
AND QueryName LIKE '%malicious_domain_name%';
アーキテクチャインサイト:JSON Schemaベースの拡張性
Log Explorerの設計思想の核心はJSON Schemaベースのスキーマ定義です。全データセットが同一のスキーマ標準に従うため、新しいログソースを追加する際にハードコーディング不要で拡張できます。
理解を助ける比喩: まるでレゴブロックのように、各データセットが同一規格の「ブリック」として定義されており、自由に組み立て(JOIN)できます。
この設計により、Cloudflareは初期のHTTP Requests/Firewall EventsからZero Trustログ、ネットワーク分析、メールセキュリティへと迅速に拡張できました。将来的には、顧客が独自のデータソースをカスタムスキーマで取り込める「BYOD(Bring Your Own Data)」機能も検討中です。
パフォーマンス最適化:P99レイテンシ55%削減
マルチベクター攻撃対応では、ログ可用性の遅延が数分の差で防御の成否を分けます。Cloudflareは取り込みパイプラインの並行性(Concurrency)を高め、「Noisy Neighbor」問題を除去し、**P99取り込みレイテンシを約55%、P50を25%**短縮しました。
この改善により、エッジで発生したイベントがSQLでクエリ可能になるまでの時間が大幅に短縮されました。
実務適用のアドバイスと注意点
日本企業のセキュリティ環境における適用コンテキスト
日本企業は一般的にオンプレミス中心のセキュリティ体制を取っているケースが多いです。Cloudflare Log Explorerはクラウドエッジベースであるため、以下の点を考慮すべきです。
- ハイブリッド環境: オンプレミスファイアウォールログとCloudflareログを別々に収集・分析する必要が生じます。Log Explorerの将来のBYOD機能がこの課題を解決する可能性があります。
- 個人情報保護: DNSログやHTTPリクエストログにはユーザーIPなどの個人情報が含まれます。日本の個人情報保護法に従い、ログ保存期間とアクセス権限を設定する必要があります。
- SIEM連携: 多くの日本企業がSplunkやELKを利用しています。Log ExplorerはSQLインターフェースを提供するため、既存SIEMとの連携にはETLパイプラインの構築が必要になる場合があります。
この技術の限界
- Cloudflare依存性: Log ExplorerはCloudflare製品群を使用している環境でのみ動作します。他のCDNやWAFを利用している場合は別途統合が必要です。
- データ保存期間: デフォルトではログ保存期間が限られている場合があります。長期保存が必要な場合は追加コストが発生する可能性があります。
- SQLスキル要件: 効果的なフォレンジックにはSQLクエリ作成能力が必須です。セキュリティアナリストへのSQL教育が事前に必要です。
次のステップ学習方向
- Cloudflare Log Explorer公式ドキュメントで各データセットのフィールド定義を把握しましょう。
- 実際のインシデントシナリオに基づいてSQLクエリを練習してください(MITRE ATT&CKフレームワークとのマッピングが効果的です)。
- **予約クエリ(Scheduled Queries)**機能がリリースされれば、定期的な脅威ハンティングの自動化を構築してみてください。
合わせて読みたい記事
本記事の根拠資料はCloudflare公式ブログです。