Cloudflareトンネルのプライバシーガイド

Cloudflare TunnelとVPNのプライバシー制限を解説

Cloudflare Tunnelは訪問者から自宅IPを隠し、VPNはCloudflareに見える送信元IPを変えます。組み合わせは有効ですが、それだけで匿名化はできません。

本ガイドはCloudflare VPNの誤解と実際の構成を区別します。cloudflaredはCloudflareへ接続し、VPNルーティングは任意でその前に置かれ、アカウントやドメイン、ブラウザ、支払い履歴が重要です。

簡潔に言うと、トンネル+VPNはプライバシールーティングであり匿名化ではありません。

訪問者に自宅IPを知られずルーターに直接触れさせたくない場合にCloudflare Tunnelを使い、Cloudflareに自宅コネクタIPを見せたくない特別な理由がある時だけVPNルーティングを追加してください。

それでもCloudflareはアカウント、ゾーン、トンネル、ホスト名、通信関係を把握しています。VPNプロバイダはコネクタがCloudflareと通信しているのを見ます。訪問者はコンテンツやアカウント、分析、クッキー、ブラウザ指紋でサイトを特定できます。

Cloudflare VPNという公式製品は存在しません。

この記事ではCloudflare Tunnelはcloudflaredコネクタを指し、VPNはcloudflaredの前にある別のVPNサービスかCloudflare WARPの別クライアント製品を意味し、魔法の匿名化層ではありません。

Cloudflare Tunnel、WARP、VPNは別物です

混乱の多くは用語の違いから始まります。Cloudflare TunnelはCloudflare経由でプライベートオリジンを公開し、WARPはユーザー通信をルーティングするCloudflareのデバイスクライアント、通常のVPNプロバイダは別のネットワークです。

用語ここでの意味プライバシーの限界
Cloudflare TunnelcloudflaredはオリジンからCloudflareへのアウトバウンド接続を作り、公開ホスト名をプライベートサービスにマッピングします。訪問者からオリジンを守るもので、Cloudflare自体からは守りません。
cloudflared前のVPNコネクタの通信はCloudflareに届く前にVPNクライアントを経由します。CloudflareはVPNの出口IPを、VPNプロバイダはCloudflareへの通信を確認できます。
Cloudflare WARPCloudflareサービス経由でユーザー通信をルーティングするCloudflareのデバイスクライアント。Cloudflare Tunnelでサイト公開することとは別の話です。
Cloudflare VPNCloudflare と VPN に関する複数の概念を指す曖昧な表現です。計画時は曖昧な表現を避け、具体的な製品名や経路名を使いましょう。

Tunnel+VPN構成で誰が何を見るか

安全に考えるには利用者を分けて考えることです。各々が異なるチェーンの部分を見ており、どれも盲目とは見なせません。

閲覧者彼らが見られるもの通常見えないもの主なリスク
訪問者ホスト名、コンテンツ、ヘッダー、クッキー、分析、Cloudflareエッジの挙動。DNSとルーティングがCloudflareのみを指す場合の自宅オリジンIP。コンテンツやブラウザの指紋で運営者が特定されることがあります。
Cloudflareアカウント、ゾーン、トンネルID、公開ホスト名、リクエストパス、コネクタの送信元IP。VPN経路が機能し適用されている場合のみ自宅コネクタIPが隠れます。弱いアカウントや使い回しのIDは、プロジェクトとあなたを結びつけます。
VPNプロバイダー機器はCloudflareへの暗号化通信を維持します。プロバイダ設計によってはアカウントや支払い情報も存在します。訪問者とCloudflare間の公開HTTPS経路上の訪問者コンテンツ。信頼はISP経路からVPNプロバイダへ移りました。
レジストラとアカウントドメイン所有権、回復用メール、請求情報、ログイン履歴。ネットワーク設定だけでは弱いアカウント分離は解決しません。管理者のID漏洩はネットワークのプライバシーを損ないます。

VPN切断問題:cloudflaredが通常経路で再接続する可能性

VPN切断時にcloudflaredが通常ネットワークを使えると、Cloudflareは自宅IPを再び見てしまいます。多くの人が見落とす実際の失敗例です。

キルスイッチはcloudflaredを確実にカバーする必要があります。

cloudflared プロセスが通常のデフォルトルートを使える場合、ブラウザやアプリだけのキルスイッチでは不十分です。

再接続は通常の動作です。

トンネルコネクタは経路を維持する設計で、経路が途切れても別の経路で再接続することがあります。

ルーティングルールは検証が必要です。

cloudflaredがVPN経路外で遮断されていることを確認できる場合のみ、ファイアウォールルールやインターフェースバインディング、プロバイダ制御を使いましょう。

ログ記録は節度が必要です。

コネクタID、送信元IP、アカウントメール、プライベートホスト名が写ったログやスクリーンショットは公開しないでください。

障害時の動作を確認するまで設定を信用しないでください。

VPNを停止し、cloudflaredを再起動、機器を再起動して、Cloudflare側でコネクタの送信元を確認してから経路をプライベートと判断してください。キルスイッチはVPN経路外でcloudflaredを確実に遮断する場合にのみ有効です。

トンネル+VPNはID分離の代わりにはなりません。

ネットワークルーティングは一層に過ぎません。ドメイン、メール、支払い方法、管理者ブラウザ、分析アカウント、公開文体が日常のあなたを示すなら、トンネルはそれを隠せません。

ドメインとDNS

プロジェクトが個人インフラに繋がらないよう、別のレジストラアカウント、回復用メールボックス、DNSアクセスを使いましょう。

管理者用ブラウザ

個人ログインやクッキー、拡張機能、同期IDを持つブラウザプロファイルでサイト管理をしないでください。

支払い情報

カード情報や請求先住所、使い回しのメールアドレスは、公開IPが隠れていてもプロジェクトの特定に繋がります。

コンテンツのスタイル

文体、使い回しのアバター、分析ID、リポジトリ名、サポートチャネルでプロジェクトがあなたに結びつくことがあります。

Tunnelのみ、Tunnel+VPN、GhostlyShare、VPSの使い分け

実際のリスクを解決する最も簡単な経路を選びましょう。VPNはプライバシー向上に役立ちますが、障害や管理負担も増えます。

ルート使用する場合避けるべき場合
Cloudflare Tunnelのみ訪問者に自宅ルーターを晒さず安定した公開ホスト名が欲しい。Cloudflareには自宅のコネクタIPを見せてはいけません。
Cloudflare TunnelとVPNのルーティング併用cloudflaredがテスト済みのVPN経路のみを使うよう強制できます。VPNの障害、キルスイッチの動作、再起動、ログはテストできません。
GhostlyShare一時的なローカルプレビュー、Webhookコールバック、デモリンク、簡易保護共有が必要です。長期運用が必要な恒久的な本番経路が必要です。
VPSまたは専用ホスト自宅ネットワークからより分離し、サーバーを維持管理できます。短期間のプレビューだけで、サーバーのパッチ適用や監視ができない場合。
GhostlyShareは一時的なプレビュー用の軽量な経路です。

短時間の公開ローカルプレビューやデモリンク、Webhookコールバックが必要な場合、GhostlyShareは恒久的な自宅ホスティング構成を避けられます。

GhostlyShareを開く

VPNのコツ:障害時をテストできるプロバイダを選ぶ

任意のVPN選択

価格だけでなく障害時の対応も考えてVPNを選びましょう。

CloudflareにVPN出口IPを見せる場合は、cloudflaredを動かす端末でキルスイッチとWireGuardルートをテストできるプロバイダを選びましょう。プライバシー重視ならProton VPN、速度やアプリの完成度、サーバー数重視ならNordVPNが実用的です。

現在のおすすめ: Proton VPN

依存前に公式ドキュメントを必ず確認してください。

Cloudflareは製品仕様を随時変更します。依存前に最新のTunnel、Public Hostname、WARP、Split Tunnelの公式ドキュメントを確認してください。

Cloudflare TunnelとVPNのプライバシーに関するよくある質問

よくある質問

Cloudflare TunnelとVPNの併用でサイトは匿名化されますか?

いいえ。訪問者から自宅IPを隠し、Cloudflareから自宅コネクタIPを隠せる場合もありますが、アカウント、ドメイン所有権、支払い、管理者ブラウザ、コンテンツ、プロバイダのログで運営者は特定されます。

Cloudflare TunnelはVPNですか?

いいえ。Cloudflare Tunnelはインバウンドポート転送なしでCloudflare経由でプライベートサービスを公開するコネクタです。VPNはデバイス通信をVPNサーバー経由でルーティングし、Cloudflare WARPは別のクライアント製品です。

cloudflared実行中にVPNが切れたらどうなる?

VPN経路外でcloudflaredが遮断されていなければ、通常のISP経路で再接続する可能性があります。プライバシー境界を信用する前に再起動やVPN切断、機器再起動をテストしてください。

GhostlyShareはCloudflare Tunnel+VPNよりいつ有利?

一時的な公開ローカルプレビューやデモ、Webhookコールバックが必要で恒久的な自宅ホスティング経路を維持したくない場合はGhostlyShareを使いましょう。