こんにちは!このブログでは、ざっくりCloudflareのFirewall for AI、AI Gatewayで何ができるのか、またプロンプトを対象にするということで日本語でも有効性があるのか確認していきたいと思います。
Cloudflare Firewall for AI と AI Gateway とは何か?
生成AIやLLM(Large Language Model)を使ったアプリケーションが当たり前になりつつある一方で、「AIそのものをどう守るか?」という新しいセキュリティ課題が顕在化しています。
Cloudflareはこの課題に対して、主に以下の2つのプロダクトを提供しています。
- Firewall for AI:AIアプリを外側から守る
- AI Gateway:AIを作る・使う側のパイプラインを守る
まずはそれぞれの役割を整理します。
Firewall for AI とは?
Firewall for AI は、LLMを使った 「公開アプリケーションを守るためのAI専用WAF」 です。
通常のWAFがHTTPリクエストを守るのに対して、Firewall for AIは 「プロンプトやLLM特有の攻撃」まで理解して防御する のが特徴です。
Firewall for AIでブロックできる攻撃には、たとえば以下のようなものがあります。
- Prompt Injection(プロンプトインジェクション)
- Data Poisoning(学習データ汚染)
- Data Leakage(情報漏洩)
従来型WAFのルールベース防御だけでは対処できない、自然言語を分析してAIツールを守るのが特徴です。
導入にあたって、アプリ側の改修は原則不要ですがCloudflareがProxyとして前段にあることが前提となります。
AI Gateway とは?
一方で AI Gateway は「AIアプリを作る・使う側の通信を一元制御するためのプロキシ」です。Firewall for AI が「外向き(公開API)」を守るのに対して、AI Gateway は「開発・推論・コスト・可観測性」が利用目的となります。
AI Gateway が解決する課題
- 複数のAIモデル(OpenAI / Claude / Gemini 等)を横断して使っている
- どのモデルに、どれだけリクエストが飛んでいるか分からない
- 推論コストが爆発している
- レスポンスの信頼性・フォールバック制御ができていない
- 開発環境と本番環境でモデル制御がバラバラ
などなど
AI Gateway でできること
AI Gateway の代表的な機能は以下です。
- 複数LLM APIの統一プロキシ
- OpenAI / Anthropic / Gemini / Workers AI などを一元管理
- リクエスト・レスポンスの統合ログ
- トークン数・レイテンシ・エラー率の可視化
- キャッシュ / フォールバック / ルーティング制御
- ガードレール機能
AI GatewayはAIツールから送られるリクエストのモニタリングがメインの役割として、自然言語が分析できるガードレール機能も搭載されているイメージです。
実運用では、
- 外部公開AI → Firewall for AI
- 内部開発・API連携 → AI Gateway
というところでしょうか。
それでは、管理画面上の設定も見ていきます。
検証環境の準備
プロンプトを確認するにあたり、CloudflareのAI Search (旧名 AutoRAG)を使っています。Cloudflare AI Search は、社内ドキュメントなどを自動でインデックス化し、自然言語で検索可能にするRAG構築サービスです。このブログでは詳細省きますが、数クリックでRAGが作成できてしまうので、ぜひお試しください!
Firewall for AI の設定と検証
まずは、Firewall for AIから。
開発ガイドはこちら:https://developers.cloudflare.com/waf/detections/firewall-fo
利用するにあたり、設定 > AIファイアウォールを有効化する必要があります。(2025年12月現在ベータ版のため表示されていない場合、Cloudflareに問い合わせる必要があります)
利用するAI AgentのドメインがすでにCloudflare経由でプロキシーされていれば、該当エンドポイントが自動で検出されます。(万が一検出されなければ手動対応)cf-llmのラベルを追加すればFirewall for AIでプロンプトスキャンが可能となります。ちなみに、これはAPI Shieldの機能の一部となりますが、今とのところAPI Shieldの契約なくFirewall for AIは利用可能です。
Firewall for AIの設定は、WAFと同じ箇所になります。セキュリティールール > カスタムルール作成に遷移し、フィールドからLLMのルールを選択します。この例では、安全ではないトピックのカテゴリでNon Violent Crimesを選択しています。管理画面の設定はこんな感じ。
では、実際に日本語で使えるか試してみます。
非暴力的攻撃プロンプトを投げたところ、日本語でもちゃんとブロックされているのが確認できます!リリース当初は日本語対応がまだでしたが、実は今年のバージョンアップでマルチ言語に対応しました。
Event Analyticsでもしっかりブロックされたことが確認できます。
AI Gateway のガードレール機能検証
続きまして、AI Gatewayのガードレール機能を確認します。
設定方法は、こちらを参照:https://developers.cloudflare.com/ai-gateway/get-started/
利用するLLMのエンドポイントにリクエストを送る際に、AI Gatewayがプロキシーとしてリクエストを送ることになりますが、AI Searchを使っているとこの設定もボタンクリックでできてしまいます。
AI Gatewayの設定箇所は、ファイアウォールというタブに入っています。
色々なカテゴリーが入っていますが、わかりやすいようにプライバシーだけブロックする設定にしておきます。
それでは、日本語のプロンプトを送ってみます。
日本語でクレジットカード情報を問い合わせてみると、しっかりブロックされました!
ログも表示される。
一般的に利用されているAIエージェントには、あらかじめガードレール機能が備わっていることが多いですが、RAGを自前で構築する場合は、これらの制御をすべて開発者自身で設計・実装する必要があります。また、品質の低いプロンプトや悪意のあるリクエストが大量に送られると、その分だけLLMの利用料金が無駄に増えてしまいます。
その点、AI GatewayでLLMに到達する前にリクエストを遮断できれば、セキュリティ対策だけでなくコスト最適化の観点でも非常に有効です。
試しにRAGの検索ドキュメントにあえて、クレジットカード情報のデータベースを入れてガードレール機能をオフにし、再度プロンプトを投げてみました。
なんと、返答が返ってきてしまいます。RAGは社内ドキュメントを広く検索できてしまうのでガードレール機能が重要であることがわかります。
まとめ
以上、Firewall for AI、AI Gatewayの日本語確認でした。余談ですが、Firewall for AIとガードレールはオープンソースの検知機能を使っているとのこと。ですので、オープンソースのモデルが進化すると自然と精度も向上するようです。