すべてのプロダクト
Search
ドキュメントセンター

Edge Security Acceleration:マネージド変換

最終更新日:Jun 25, 2026

Edge Security Acceleration (ESA) のマネージド変換機能は、リアルクライアント IP、位置情報、TLS フィンガープリントなどの情報を記録するヘッダーをオリジンリクエストに自動的に追加します。この機能は、標準的なセキュリティヘッダーをクライアントレスポンスに追加することもでき、一般的なリクエストヘッダーとセキュリティヘッダーの設定を簡素化します。

仕組み

マネージド変換を有効にすると、ESA はエッジノードでヘッダーを追加します。リクエストには一般的なオリジンリクエストヘッダーが、レスポンスにはセキュリティレスポンスヘッダーが追加されます。リクエストのワークフローは以下のとおりです。

image
  • HTTP リクエストヘッダー (クライアント → ESA → オリジンサーバー):エッジノードがクライアントリクエストを受信すると、設定に基づいて特定の HTTP リクエストヘッダーを追加してから、リクエストをオリジンサーバーに転送します。これには以下のヘッダーが含まれます。

    タイプ

    追加されるヘッダー

    説明

    リアルクライアント IP ヘッダーの追加

    ali-real-client-ip

    TCP 接続を確立したクライアントのリアル IP アドレスを記録します。このヘッダーは ESA によってエッジノードで追加されるため、クライアントによって偽装される可能性がある X-Forwarded-For ヘッダーよりも信頼性が高くなります。

    訪問者の位置情報ヘッダーの追加

    • ali-ip-country

    • ali-ip-city

    リアルクライアント IP に基づき、ESA は IP 位置情報データベースを照会し、対応する国/地域および都市コードをヘッダー値として追加します。ヘッダー値には、ISO 3166-1 で定義されている 2 文字の Alpha-2 国/地域コードが使用されます。たとえば、ali-ip-country=cn は、クライアント IP の位置情報が中国本土であることを示します。

    セキュリティリクエストヘッダーの追加

    • Tls-Hash

    • Tls-Ja3

    • Tls-Ja4

    クライアントの TLS ハンドシェイク情報を分析して、JA3 および JA4 フィンガープリントを生成します。これらのフィンガープリントは、クライアントタイプの識別やボットの検出に役立ちます。ヘッダーには、Tls-HashTls-Ja3Tls-Ja4 が含まれます。

    TLS フィンガープリントヘッダーは、enterprise plan のウェブサイトでのみ追加されます。

    アカウントセキュリティリスク情報

    Esa-User-Risk

    アカウントセキュリティ (ATO) 機能を有効にすると、リクエストはアカウント識別子とリスクスコアを含むアカウントセキュリティリスク情報を、オリジンサーバーに自動的に送信します。たとえば、 account_name:test2***@gmail.com;risk_coefficient:85 は、アカウント名が test****@gmail.com で、リスクスコアが 85 であることを示します。

    このヘッダーは、マネージド変換 ページで手動で設定する必要はありません。アカウントセキュリティ 機能を有効にすると、オリジンリクエストに自動的に追加されます。
  • HTTP レスポンスヘッダー (ESA → クライアント)ESA がオリジンサーバーからレスポンスを受信すると、設定に基づいて標準的なセキュリティレスポンスヘッダーのセットを追加してから、レスポンスをクライアントに返します。

    説明

    オリジンサーバーからのレスポンスに同じ名前のセキュリティヘッダーが既に含まれている場合、ESA はデフォルトでオリジンサーバーからのヘッダー値を上書きし、ポリシーの一貫性を確保します。

    タイプ

    追加されるヘッダー

    説明

    セキュリティレスポンスヘッダーの追加

    x-content-type-options: nosniff

    MIME タイプのスニッフィング攻撃を防ぐため、ブラウザがレスポンスヘッダーで宣言された Content-Type に厳密に従うよう要求します。nosniff 値により、この厳格モードが有効になります。

    x-xss-protection: 1; mode=block

    URL パラメータを介して悪意のあるスクリプトが挿入される反射型クロスサイトスクリプティング (XSS) 攻撃から保護します。値 1 は XSS フィルターを有効にします。値 mode=block は、フィルターがトリガーされた場合にページのレンダリングを防止します。

    x-frame-options: SAMEORIGIN

    クリックジャッキング攻撃から保護するため、ページの埋め込み方法を制限します。値 SAMEORIGIN は、同一オリジンのページによる埋め込みのみを許可します。たとえば、example.com のページは、example.com の他のページによってのみ埋め込むことができます。

    referrer-policy: same-origin

    Referer ヘッダーの漏洩を制御し、クロスオリジンリクエストでユーザーのナビゲーションパスが公開されるのを防ぎます。値 same-origin は、同一オリジンリクエストの場合にのみ完全な Referer を送信します。クロスオリジンリクエストの場合、Referer は送信されません。

    expect-ct: max-age=86400, enforce

    このヘッダーは、準拠していない証明書の検出に役立ちます。値 max-age=86400 は、ポリシーの有効期間を 24 時間に設定します。値 enforce は、証明書の透明性要件を満たさない接続をブラウザが拒否するよう要求します。

リクエスト分析のためのクライアント情報の設定

この機能は、リアルクライアント IP、位置情報、TLS フィンガープリントを含む HTTP ヘッダーをオリジンリクエストに自動的に追加し、アプリケーションに対してより多くのクライアントコンテキストを提供します。

操作手順

  1. ESA コンソールで、サイト管理を選択します。サイト 列で、対象のウェブサイトをクリックします。

  2. 左側のナビゲーションペインで、ルール > 変換ルール を選択します。

  3. 変換ルール ページで、マネージド変換 タブをクリックします。image

  4. 必要なヘッダーを選択します。

    • クライアントのリアル IP ヘッダーの追加: オリジンサーバーがリクエストを開始したクライアントのリアル IP アドレスを取得できるように、ali-real-client-ip ヘッダーを送信します。設定 をクリックし、[ステータス] スイッチをオンにして、デフォルトの ali-real-client-ip を使用するかカスタムヘッダー名を指定するかを選択してから、OK をクリックします。image

    • [クライアント IP 位置情報リクエストヘッダーの追加]:ali-ip-country ヘッダーと ali-ip-city ヘッダーを送信して、オリジンサーバーがクライアントの国/地域コードと都市コードを取得できるようにします。image

    • [セキュリティリクエストヘッダーの追加]:Tls-HashTls-Ja3Tls-Ja4 などのヘッダーを送信し、オリジンサーバーにクライアントタイプの識別やボット検出のための情報を提供します。image

結果

設定を確認するには、オリジンサーバーで ESA からのオリジンリクエストを監視し、ログを確認します。

機能を有効にする前

基本的なリクエストヘッダーのみが含まれています。

image

機能を有効にした後

ESA[リアルクライアント IP ヘッダーを追加]クライアント IP 位置情報リクエストヘッダーの追加、および セキュリティリクエストヘッダーの追加 を有効にすると、オリジンリクエストには ali-ip-countryTls-HashTls-Ja3Tls-Ja4ali-ip-cityali-real-client-ip などのヘッダーが含まれます。image

IPv4形式でのクライアントIPの取得

マネージド変換を有効にすると、ali-real-client-ip ヘッダーに記録されるリアルクライアント IP の形式は、クライアントが接続するエッジノードのプロトコルによって異なります。クライアントが IPv6 エッジノードを介して接続する場合、ヘッダー値は IPv6 形式になります。

IPv4 形式でリアル IP を取得するには、「ネットワーク最適化の設定」で [IPv6] スイッチを無効にします。このスイッチを無効にすると、クライアントは IPv4 POP を介してサービスにアクセスし、ali-real-client-ip ヘッダーの値は IPv4 形式になります。

セキュリティレスポンスヘッダーの設定

この機能は、標準的なセキュリティヘッダーをクライアントレスポンスに自動的に追加し、XSS やクリックジャッキングなどの攻撃から防御することで、ウェブアプリケーションのセキュリティを強化します。

操作手順

  1. ESA コンソールで、サイト管理を選択します。サイト 列で、対象のウェブサイトをクリックします。

  2. 左側のナビゲーションペインで、ルール > 変換ルールを選択します。

  3. 変換ルール ページで、マネージド変換 タブをクリックします。image

  4. セキュリティレスポンスヘッダーの追加 セクションで、スイッチをオンにしてクライアントレスポンスにセキュリティヘッダーを追加します。

    image

結果

設定を検証するには、ブラウザで開発者ツールを開き、[ネットワーク] > [ヘッダー] > [レスポンスヘッダー]でレスポンスヘッダーを確認します。

機能を有効にする前

基本的なレスポンスヘッダーのみが含まれています。

image

機能を有効にした後

ESAセキュリティレスポンスヘッダーの追加 を有効にすると、レスポンスには次のヘッダーが含まれます: expect-ct: max-age=86400, enforcereferrer-policy: same-originx-content-type-options: nosniffx-xss-protection: 1; mode=block、および x-frame-options: SAMEORIGINimage