カスタムリージョンの導入:精密なデータ制御
発表日: 2026-03-18
執筆: Andrew Berglund、Erik Engstrom
所要時間: 約6分
インターネットをより良くするという当社のミッションの重要な一環は、顧客がコンプライアンス要件に関わらず、安全かつ効率的に運用できるツールを提供することです。Regional Services は、Cloudflare のグローバルネットワークの力を活かしつつ、データ主権に関する法的義務を満たすための支援を行います。本日、2つの大きな前進を発表します。
- 1つ目: Regional Services の事前定義済みリージョンを拡張し、Turkey、United Arab Emirates (UAE)、IRAP(オーストラリア準拠)、ISMAP(日本準拠)を追加します。
- 2つ目: プラットフォームの次の進化として、Custom Regions(カスタムリージョン)を導入します。
グローバルなセキュリティとローカルなコンプライアンス:Regional Services の利点
まずは Regional Services がどのように“ローカルなコンプライアンス”と“グローバル規模のセキュリティ”の両方を提供するかを振り返ります。当社のアプローチは、多くの主権クラウドプロバイダとは根本的に異なります。トラフィックを単一の地理的領域に閉じ込めて容量を限定するのではなく、グローバルネットワーク全体のスケールを保護に活用し、検査を行う場所だけを指定していただく設計です。仕組みは概ね次の通りです。
- Global ingestion & L3/L4 DDoS defense: トラフィックは最寄りの Cloudflare データセンターで取り込みます。ここでネットワーク/トランスポート層の大規模な DDoS 緩和を適用し、ボリューメトリック攻撃をブロックします。これは指定リージョンの外で発生し、クリーンなトラフィックのみが転送されます。
- Intelligent in-region routing: 復号前にリクエストのメタデータを検査します。もし指定リージョン外のデータセンターに到達している場合、最良の経路で安全なプライベートバックボーン経由によりあなたの境界内のデータセンターへルーティングします。
- In-region TLS termination & L7 processing: トラフィックが選択したリージョン内にあると確認されて初めて復号します。この時点で WAF や Bot Management といったアプリケーション層のセキュリティや Cloudflare Workers のロジックを適用します。
- Secure transit to origin: 処理後、リクエストは再度暗号化され、オリジンサーバーへ安全に送信されます。
この独自のアーキテクチャにより、法的義務を満たすためにデータ検査をローカライズしつつ、グローバルなネットワークが提供する強力な DDoS 防御を犠牲にする必要がありません。
Cloudflare Managed Regions に追加された新しいオプション
Regional Services を 2020 年にローンチしたとき、まずは EU、UK、U.S. の 3 つのリージョンから始めました。その後、共通で利用可能なリージョン(Cloudflare Managed Regions)を順次追加してきました。今回新たに利用可能になったのは Turkey、United Arab Emirates (UAE)、IRAP(オーストラリア準拠)で、合計で 35 regions になりました。
さらに、本日より顧客がアカウントの要件に合わせてカスタムリージョンをリクエストできる機能、Custom Regions を提供します。
事前定義境界を超えて:Custom Regions の紹介
35 の事前定義済みリージョンは多くのニーズに応えますが、デジタル世界は一律ではありません。特定の国、国のユニークな組み合わせ、あるいはリージョンから特定の国を除外したいといったご要望を多数いただきました。そこで今回、Regional Services の次の進化として Custom Regions を発表します。
Custom Regions により、トラフィック処理の地理的境界をお客様自身で定義できます。Cloudflare が定義したリストから選ぶ代わりに、どのロケーションがリージョンを構成するかを正確に指定できます。この柔軟性により、制御の度合いが一段と高まります。
早期アクセスのお客様はすでに以下の用途で Custom Regions を活用しています。
- Regionalize AI inference: LLM のプロンプトと応答を特定の国セット内に留め、パフォーマンスとデータローカリゼーションの法的要件を最適化。
- Launch hyper-targeted promotions: 国のユニークな組み合わせに最適化したマーケティングキャンペーンやコンテンツを配信。
- Scale government operations: 政府機関との契約上のコミットメントに合わせたリージョンを構築。
- Mirror your corporate structure: EMEA、MENA、APAC といった内部の事業ユニットに合わせたガバナンスを実現。
コアの仕組みは変わりません。変わるのは境界だけです。Cloudflare がリージョンを定義するのではなく、あなたが定義します。可能性は無限です。例えば以下のような定義が考えられます。
- North America: Canada, United States, Mexico
- Everywhere except North America: Not Canada, not United States, not Mexico
- Countries that use Fahrenheit: USA, Bahamas, Cayman Islands, Marshall Islands, Liberia
Regional Services の仕組み
Regional Services の中核は単純なルールの強制です:TLS 終端と Layer 7 処理は、選択したリージョン内でのみ実行されます。Custom Regions はこの能力を拡張し、独自のリージョン定義を選べるようにします。
Cloudflare Managed Regions と Custom Regions は以下の 3 つの構成要素に依存します:リージョンのメンバーシップ定義、インリージョン宛先の選択、そしてエッジでの境界の強制。
リージョンメンバーシップの定義
リージョンは最終的に Cloudflare のデータセンター群の集合です。Cloudflare Managed Regions は事前定義されたメンバーセットを使用します。Custom Regions は式(expression)でメンバーシップを定義します。最も一般的なフィールドは country_code(各データセンターの所在地を示す ISO コード)です:
- Single country:
country_code == "TR" → Turkey
- Multiple countries:
country_code in ["DE", "FR", "NL"] → Germany, France, and the Netherlands
- Exclude countries:
!(country_code in ["US", "CA", "MX"]) → Everything except the U.S., Canada, and Mexico
その式はデータセンターのメタデータに対して評価され、マッチしたものがリージョンのメンバーシップセットになります。結果はグローバルに配布され、各データセンターは迅速に「私はこのリージョンに属するか?」を判断できます。
Cloudflare のインフラが進化するにつれてメンバーシップは更新され、新たに条件に合致するデータセンターが自動的に参加できます。データセンターの追加や削除時期をお客様が気にする必要はありません。Cloudflare が管理します。
最適なインリージョンルーティングの算出
リクエストがリージョン外で Cloudflare に入る場合、次のステップはその着地点(そのイングレス地点に対して最適なインリージョン宛先)の選択です。Cloudflare の選択プロセスは 2 段階です:
- Allowed destinations: リージョンのメンバーシップセット(どのデータセンターがインリージョンか)
- Best destination for this ingress: リクエストが入ったデータセンターに合わせてパフォーマンス順にランキングされた候補リスト
これらのイングレス別ランキングは中央で算出され、Quicksilver を介してエッジへ配布されます。ランキングはネットワーク全体の実測パス品質(単なる物理距離ではありません)に基づき、例えば以下のようなシグナルを使用して構成されます:
- Network performance: レイテンシや信頼性指標(例: ロスやタイムアウト)
- Capacity and load: 利用可能なリソースと現在の使用率
- Operational status: ヘルスおよび可用性
ルーティング時にはランキング済みリストとリージョンメンバーシップを交差させ、上位候補から選択します。最終選択はライブの可用性で検証され、無効化または到達不能な宛先はスキップされ、次善のインリージョンオプションへフェイルオーバーします。
境界の強制
リクエストが Cloudflare に到着した際の処理フローは次の通りです:
- Ingress. リクエストは最寄りのデータセンターに到着します。Layer 3/4 の DDoS 緩和が即座に適用されます。
- Configuration lookup. このゾーンに対してリージョンが設定されているか確認します。
- Membership check. このデータセンターが設定済みリージョンのメンバーか確認します。
- Routing decision.
- In region: ローカルで処理。TLS 終端と全 Layer 7 サービスがここで動作します。
- Out of region: インリージョンのデータセンターが選ばれ、Cloudflare のプライベートバックボーン経由で転送されます。
- In-region processing. ここで初めて TLS が終端され、Layer 7 サービスが動作します。
- Origin connection. 処理済みリクエストがオリジンへ送られます。
前述のとおり、Cloudflare は定義されたリージョンの外でリクエストを復号しません。代わりに、リージョン内の最寄りデータセンターへ転送し、そこで復号と Layer 7 サービスを実行します。
エラー処理の方法
冗長性は複数レイヤーで組み込まれています:
- Multiple candidates: ルーティングは複数のインリージョン候補を考慮し、リアルタイムで利用可能な宛先を選択します。
- Health-aware routing: 健全でない、または無効化されたデータセンターは除外されます。
- Data quality gates: 十分な監視データが利用可能な場合にのみ最新のルーティング入力を公開します。
- Fail-close design: 有効なインリージョン宛先が存在しない場合は、リージョン外で処理するのではなく接続を失敗させます。
利用開始方法
新しい Cloudflare Managed Regions は Regional Services をご利用中の顧客向けに現在利用可能です。これらを利用したい場合は、Cloudflare Dashboard または Cloudflare API を通じた標準プロセスに従って有効化してください。
Custom Regions は新機能であり、手続きが異なります。最初のセットアップはお客様の要件に完全に適合させるために協働プロセスで行われます。開始するには、アカウントチームにご連絡ください。アカウントチームがリージョン定義の作成とデプロイを支援します。
なお、現時点ではサービスはセルフサービスではなく、技術的制約が適用される可能性があります。詳細は担当のソリューションエンジニアとご相談ください。機能の成熟とともにセルフサービス化を検討していきます。
データ制御を始めたいですか?
Regional Services に関する詳細を希望される場合は、アカウントチームへお問い合わせください。まだ Cloudflare のお客様でない場合は、ぜひご参加ください。Fill out this form , and we’ll be in touch with you soon.
Cloudflare's connectivity cloud は entire corporate networks を保護し、customers build Internet-scale applications efficiently を支援し、any website or Internet application を高速化し、DDoS attacks を撃退し、hackers を遠ざけ、Zero Trust の取り組みを支援します。Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer. To learn more about our mission to help build a better Internet, start here . If you're looking for a new career direction, check out our open positions .
関連タグ: server-island-start, Regional Services, Data Localization Suite, Data Sovereignty