CloudflareでIPv6アクセスを完全にブロック・無効化する方法と確認手順
Webサイトの管理やセキュリティ対策を行う中で、特定の理由から「IPv6からのアクセスを完全に遮断したい」、あるいは「CloudflareのIPv6機能を無効化したい」というケースがあります。
しかし、Cloudflareの仕様上、管理画面のネットワーク設定にある「IPv6互換性(IPv6 Compatibility)」は常時オンで固定されており、ユーザー側でオフに切り替えることができません。そのため、確実に制限を行うにはWAF(Webアプリケーションファイアウォール)を活用する必要があります。
本記事では、まず「IPv6互換性機能の仕様」を整理した上で、Cloudflareを用いた具体的なブロック手順と確認方法を分かりやすく解説します。
1. 前提知識:Cloudflareの「IPv6互換性」とは?
Cloudflareには、すべてのWebサイトにおいてIPv6環境からの接続を自動的に仲介する「IPv6互換性」というゲートウェイ機能が備わっています。
これにより、アクセスしてくるユーザー(訪問者)がIPv6環境であっても、オリジンサーバー(本番サーバー)がIPv4にしか対応していなければ、Cloudflareが通信の規格を自動で翻訳・プロキシして届けてくれます。
なぜダッシュボードでIPv6を「オフ」にできないのか?
Cloudflareはインターネット全体の次世代インフラへの移行(IPv6化)を強く推進しているため、ダッシュボード上でIPv6互換性を「オフ(無効)」にするスイッチはデフォルトで使用できません(Enterpriseプランのみ可能)。
そのため、「アクセス解析ツールや社内システムがIPv4にしか対応しておらずログが狂う」「動的に変わるIPv6のホワイトリスト管理を避け、IPv4に一本化したい」といったインフラ側の都合でIPv6を拒否したい場合は、「WAFのカスタムルールを使い、IPv6で入ってきた通信をエッジ(玄関口)で強制的にブロックする」というアプローチを取る必要があります。
2. CloudflareのWAFでIPv6アクセスを完全にブロックする手順
Cloudflare WAFの最新仕様では、ルール作成画面のドロップダウン(ビジュアルビルダー)から「IPバージョン」を選択することができなくなっています。
そのため、すべてのIPv6アドレス空間を指定できる「式エディタ(Expression Editor)」を使用し、IPアドレス型専用の正しい構文を入力するのが最も確実でシンプルな方法です。
設定ステップ
- Cloudflareダッシュボードにログインし、該当するドメインを選択します。
- 左メニューから 「セキュリティ (Security)」 > 「WAF」 の順にクリックします。
- 「カスタムルール (Custom Rules)」タブが開いていることを確認し、「ルールを作成する (Create rule)」 ボタンをクリックします。
- ルール名(例:Block-IPv6-Traffic)を入力します。
- 条件設定セクション(When incoming requests match…)の右上にある 「式エディタ (Edit expression)」 リンクをクリックします。
- テキスト入力ボックスに切り替わるので、以下のコードをそのまま貼り付けます。

※これは「すべてのIPv6アドレス空間(::/0)のいずれかにソースIPが合致する場合」を意味する、Cloudflareのルールエンジン(Wirefilter構文)に準拠した正しい記述です。中括弧 {} を含めてそのままコピーしてください。
- 画面下の「アクションの選択 (Choose action)」で 「ブロック (Block)」 を選択します。
- 画面右下の 「デプロイ (Deploy)」 ボタンをクリックしてルールを有効化します。
これで、IPv6アドレスを経由してWebサイトにアクセスしようとするユーザーに対して、Cloudflareのエッジサーバーが自動的に「403 Forbidden」エラーを返し、オリジンサーバーへの到達を完全にシャットアウトします。
3. [補足]アクセス自体は拒否したくない場合の「疑似IPv4」
「オリジンサーバー側がIPv4にしか対応していないが、IPv6ユーザーからのアクセス自体は受け入れたい(遮断はしたくない)」という目的の場合、上記のようにWAFで完全にブロックしてしまうと、対象 of ユーザーはWebサイトを閲覧できなくなってしまいます。
その場合は、ブロックではなく「疑似IPv4 (Pseudo IPv4)」機能の利用を検討してください。
- 疑似IPv4とは: IPv6からのアクセスに対し、Cloudflareがヘッダー(Cf-Pseudo-IPv4)に特別な疑似IPv4アドレス(240.0.0.0/4 の範囲)を自動付与してオリジンサーバーに転送する機能です。これにより、サーバー側はすべてのアクセスをIPv4の形式として受け取り、処理できるようになります。
- 設定場所: 左メニュー 「ネットワーク (Network)」 > 「疑似IPv4 (Pseudo IPv4)」 ※今回の目的が「IPv6トラフィックを完全に遮断(拒否)すること」である場合は、疑似IPv4ではなく、前述のWAFによるブロックルールを適用してください。
4. 設定後の動作確認手順
WAFルールをデプロイした後は、意図通りにIPv6アクセスのみがブロックされているか、また通常のIPv4アクセスに悪影響が出ていないかを検証します。
手順①:外部の検証ツール(IPAddressGuide)を使う
自身のリモート環境がIPv6に対応していない場合でも、以下の外部Webサービスを利用して世界中からのIPv6接続テストが行えます。
- IPAddressGuideのIPv6検証ページ( https://www.ipaddressguide.com/ja/ipv6-check )にアクセスします。
- 「ドメイン名またはIPアドレス」の入力欄に、検証したいWebサイトのドメイン(例: yourdomain.com)を入力します。
- 「確認」ボタンをクリックします。
判定の見方: WAFルールが正常に動作している場合、IPv6のテスト結果が「Failed(失敗)」または「403 Forbidden(アクセス拒否)」と表示されます。この表示になっていれば、外部からのIPv6アクセスが安全に遮断されている証拠です。
手順②:コマンドライン(curl)での確認
Macの「ターミナル」やWindowsの「PowerShell / コマンドプロンプト」から、IPv4とIPv6をそれぞれ明示的に指定してリクエストを送信します。
- IPv6でのアクセス確認(ブロックされるべき挙動)
Bash
curl –ipv6 -I https://yourdomain.com
正常な結果: HTTP/2 403 (またはCloudflareのエラー画面のHTML)が返ってくる。
- IPv4でのアクセス確認(通常通りアクセスできるべき挙動)
Bash
curl –ipv4 -I https://yourdomain.com
正常な結果: HTTP/2 200 OK が返ってくる。
手順③:Cloudflareのセキュリティイベントの確認
実際にブロックが作動しているかは、Cloudflareの管理画面からもリアルタイムに確認できます。
- 「セキュリティ (Security)」 > 「イベント (Events)」 を開きます。
- アクティビティログを確認し、テストアクセスが 「サービス: WAFカスタムルール」、「アクション: ブロック」 として記録されているかを確認します。
まとめ
現在のCloudflareにおいて、IPv6アクセスを確実にコントロールする最適解は「WAFカスタムルールでの制限」です。
DNSレコードの手動削除(AAAAレコードの削除)だけでは、Cloudflareが自動生成するエッジ証明書やプロキシの仕様上、完全にIPv6を無効化することはできません。仕様変更に合わせた正しいWAFルール(ip.src in {::/0})を適用し、安全かつ確実なトラフィック制御を行ってください。
Web表示スピード改善・セキュリティ対策のCloudflare
導入のご相談だけでなく、運用フェーズでのサポートも承ります。
DDoS攻撃や悪質なBot(ボット)からのアクセスを防ぎたい方、WAF機能やプランの詳細を知りたい方、
国内エンジニアによる安心の運用サポートをご希望の方も、ぜひお気軽にお問い合わせください。

