【アップデート】 Page Shield が Client-Side Security へ代わり Advanced プランのセルフサービス提供と悪意のある JS 検出の偽陽性200倍削減

ウィスキー、シガー、パイプをこよなく愛する大栗です。

Cloudflare の Client-Side Security Advanced（旧 Page Shield add-on）がセルフサービス顧客にも提供開始され、あわせてドメインベースの脅威インテリジェンスが全プランで無料になりました。さらに AI 検出パイプラインが大幅に強化されましたのでご紹介します。

• Cloudflare Client-Side Security: smarter detection, now open to everyone
• Client-side security - Cloudflare Docs

Client-Side Security とは

Cloudflare Client-Side Security（旧 Page Shield）は、Web サイト上で読み込まれる JavaScript をモニタリングし、クライアントサイドのスキミング攻撃を検出するセキュリティ機能です。2026年3月25日に Page Shield から Client-Side Security にリネームされ、あわせて有償アドオンの名称も Page Shield add-on から Client-Side Security Advanced に変更されました。

クライアントサイドスキミング攻撃とは、悪意のあるスクリプトタグを1つ注入するだけで、ページの動作を壊さずにユーザーのデータを窃取する攻撃です。ページは正常に読み込まれ、購入なども完了するため、被害に気づきにくいのが特徴です。実際に、2026年1月には米国大手銀行の従業員向けオンラインストアでブラウザサイドのキーロガーが発見されたり、2025年9月には広く利用されている npm パッケージの悪意あるリリースによってサプライチェーン攻撃が行われた事例があります。

Client-Side Security はブラウザの Content Security Policy（CSP）レポートを利用してスクリプト情報を収集します。スキャナーやアプリケーションへの組み込みは不要で、Web アプリケーションへのレイテンシ影響もありません。前提条件は、トラフィックが Cloudflare 経由でプロキシされていることだけです。1日あたり 35 億スクリプトを評価しており、エンタープライズゾーンでは平均 2,200 のユニークスクリプトを保護します。

今回のアップデート内容

今回のアップデートは大きく2点です。

• Client-Side Security Advanced がセルフサービスで購入可能
  • これまで Enterprise 契約に追加する有償アドオン（旧 Page Shield add-on）だった Advanced プランが、Enterprise 契約なしでもダッシュボードから直接購入できるようになりました
• ドメインベースの脅威インテリジェンス（domain-based threat intelligence）が全プランで無料
  • Free プランを含む全ての Client-Side Security 顧客に、既知の悪意あるドメインに関連するスクリプトや接続のハイライト機能が提供されます

各プランの機能は以下になります。

	Free	Pro	Business	Enterprise	Advanced
可用性	Yes	Yes	Yes	Yes	Yes
スクリプト監視	Yes	Yes	Yes	Yes	Yes
接続監視	No	No	Yes	Yes	Yes
クッキーのモニタリング	No	No	Yes	Yes	Yes
ページ帰属	No	No	Yes	Yes	Yes
新規リソースアラートと新規ドメインアラート	No	No	Yes	Yes	Yes
悪意のあるスクリプトの検出と警告	No	No	No	No	Yes
コード変更の検出とアラート	No	No	No	No	Yes
悪意のある接続の検出と警告	No	No	No	No	Yes
Cookieモニタリングの詳細フィールド	No	No	No	No	Yes
コンテンツセキュリティルールの数<>（ポジティブブロック）	0	0	0	0	5
Logpushジョブの数	0	0	0	0	4

以前の Page Shield 時代は Advanced 相当の機能は Enterprise with add-on として Enterprise プランへの追加アドオンでしか利用できませんでした。今回のアップデートで Enterprise 契約なしでもセルフサーブで購入可能になっています。

悪意のある JavaScript の新しい検出ロジック

Cloudflare の第一線の検出エンジンはグラフニューラルネットワーク（GNN）です。JavaScript の抽象構文木（AST）から実行パターンを学習し、難読化やミニファイに関係なく悪意あるスクリプトを構造的に検出します。

GNN だけでも偽陽性率は 0.3% 未満ですが、1日35億スクリプトというスケールでは無視できない量の偽アラームになります。そこで、GNN が疑わしいと判定したスクリプトだけを Cloudflare Workers AI 上のオープンソース LLM に転送し、セマンティックに再評価するカスケード型分類アーキテクチャが導入されました。LLM は怪しいが無害な難読化と本当に悪意のある意図を区別して、偽陽性を効果的にフィルタリングします。

指標	GNN のみ	GNN + LLM	改善効果
偽陽性率（全体トラフィック）	約 0.3%	約 0.1%	1/3
偽陽性率（個別スクリプト）	約 1.39%	約 0.007%	1/200

やってみる

Client-Side Security を有効化する（全プラン共通）

ドメインベースの脅威インテリジェンスは、Free プランでもトグル1つで有効化できます。

まず Cloudflare ダッシュボードにログインして、対象のゾーンを選択します。[セキュリティ] - [設定] に移動し、[クライアント側の不正使用] のフィルタを有効にします。

継続的なスクリプト監視 を有効にします。有効化すると、ゾーン内で読み込まれる JavaScript や接続先のうち、既知の悪意あるドメインに関連するものがハイライトされるようになります。

Client-Side Security Advanced を購入する

旧 Page Shield add-on 時代は Enterprise 契約が必要でしたが、現在はダッシュボードからセルフサーブで購入できます。購入前に前月の HTTP リクエスト数に基づいたコスト見積もりが表示されるので、事前にコストを把握できます。

なお、現時点ではダッシュボードの言語を英語に設定する必要があります。

[セキュリティ] - [Web アセット] に移動し、[クライアント サイドのリソース] タブを表示します。

日本語表示では購入のリンクが表示されないので、右上のメニューから英語表示に変更します。

Explore packages というリンクが表示されるので、クリックします。

Client-side Security Advanced を選択して Continue をクリックします。Advanced は 100,000 リクエスト辺り $9.9 となっています。

決済画面でコスト見積もりを確認し、決済方法を設定して Activate をクリックして購入を完了します。

さいごに

今回のアップデートで最も大きいのは、これまでエンタープライズ契約が必要だった Advanced プランがセルフサーブで購入可能になった点と、ドメインベースの脅威インテリジェンスが Free プランを含む全顧客に無料提供された点です。

2024年の polyfill.io サプライチェーン攻撃のような事例が示すとおり、クライアントサイドの攻撃は規模に関係なくすべての Web サイトに影響します。中小規模の EC サイトなどにとって、エンタープライズ向けだったセキュリティ機能が手の届く形で提供されるのは歓迎すべきアップデートです。

GNN + LLM のカスケード型分類アーキテクチャも技術的に興味深いアプローチです。偽陽性をユニークスクリプト単位で約200倍削減しながら、ゼロデイ攻撃の検出能力を維持・向上させているのは素晴らしい効果と言えます。

今まで悪意のあるスクリプトの検出と警告は Enterprise プランの有償アドオンでしか使用できなかったので、大規模環境でしか導入ができませんでした。Enterprise の前提がなくなったため、中小規模の環境でも悪意のあるスクリプトの検出が可能になったのは画期的かもしれません。昨今は著名な OSS のリポジトリが侵害されたというニュースも数多くあるので、攻撃の共犯にならないためにも Cloudflare CDN を使用しているサイトであれば、まずは Free プランの Client-Side Security を有効化してみて、必要に応じて Advanced プランの購入も検討してみるのは如何でしょうか。