近年、Webサイトを取り巻く環境は大きく変化しています。もはや「アクセス=人間」という前提は崩れつつあります。
Imperva(Thales)のレポートによると、2024年のインターネットトラフィックの51%がBotによるものであり、そのうち約37%が悪意あるBotとされています。
WebトラフィックにおけるBotの実態(出典:Imperva / Thales – Bad Bot Report 2025)
つまり現在のWebは、「人間よりBotのほうが多い」状態に突入しています。
こうした状況を背景に、株式会社フューチャースピリッツは2026年3月、エストニア発のセキュリティ企業Blackwallと提携し、Bot対策サービス「MTSS(Managed Traffic Security Service)」の提供を開始しました。
WAFでは防げない時代に突入しています
従来、Webセキュリティの中心はWAF(Web Application Firewall)でした。SQLインジェクションやXSSなど、「既知の攻撃パターン」を防ぐには有効な手段です。
しかし現在のBot攻撃は、それとはまったく性質が異なります。
- 人間に近いアクセス挙動
- 分散されたIPアドレス
- AIによる行動変化
このような特徴により、従来のシグネチャベースの防御では検知が難しくなっています。
実際、Botは単なる「アクセスの自動化ツール」ではなく、ビジネスに直接的な損失を与える存在へと進化しています。
代表的な被害としては以下が挙げられます。
- 不正ログイン(Credential Stuffing)
- チケットや商品の買い占め
- コンテンツのスクレイピング
- 広告クリック詐欺
- 在庫妨害
- DDoS攻撃
これらは単なるセキュリティ問題にとどまらず、売上・ブランド・顧客体験のすべてに影響する経営課題といえます。
大量アクセスによるサービス停止リスクについては、DDoS攻撃の仕組みも理解しておく必要があります。
Bot対策は「入口で識別・制御する」時代へ
こうした背景から登場しているのが、Bot対策に特化した新しいアプローチです。なお、トラフィックの入口で制御するという考え方は、CDNを活用したセキュリティ対策とも共通しています。
BlackwallのMTSSは、従来のWAFとは異なり、通信の「振る舞い」をAIで分析することでBotを識別します。
特徴は大きく3つあります。
1. Good BotとBad Botを自動識別
検索エンジンのクローラーなど、許可すべきBot(Good Bot)と、不正行為を行うBot(Bad Bot)を自動で判別し、適切に制御します。
2. 振る舞いベースの検知
既知の攻撃パターンではなく、アクセスの動きや特徴からBotを識別します。人間を装う高度なBotにも対応可能です。
3. 実績ベースの防御力
悪意あるBotトラフィックのうち、約36%を自動で遮断する実績を持っています。
さらにMTSSは単なるBot対策にとどまらず、
- WAF機能
- L7 DDoS防御
- キャッシング
- SSL/TLS管理
- ロードバランシング
といった機能を統合した「All-in-One型」のWebトラフィックセキュリティとして設計されています。
「見えない脅威」を可視化します
Bot対策が難しい理由の一つは、「被害が見えにくい」点にあります。
Blackwallの資料によれば、多くの企業はそもそも自社サイトにどれだけBotが来ているのかを正確に把握できていません。
MTSSでは、
- Botトラフィックの可視化
- アクセス傾向の分析
- 種別ごとの制御
が可能になり、「何が起きているか」を把握した上で対策を打てるようになります。
これは単なるセキュリティ強化ではなく、データドリブンな運用への転換ともいえます。
なぜ今、日本市場なのか
BlackwallのCEO Nikita Rozenberg氏は、日本市場について「パフォーマンスと信頼性を重視する重要な市場」と位置付けています。
フューチャースピリッツ側も、ホスティング事業を通じて「Botによる不正アクセスの増加」を現場レベルで強く認識していたといいます。
特に日本では、
- ECサイト
- メディアサイト
- SaaSサービス
など、トラフィックを収益に直結させるビジネスが多く、Bot対策の重要性は今後さらに高まると見られています。
また、Bot対策市場自体も年平均約18%で成長しており、グローバルでの需要拡大が続いています。
「WAFの次」をどう考えるか
今回の取り組みが示しているのは、「WAFか、それ以外か」という二択ではありません。
WAFはアプリケーションの脆弱性を守る役割を担い、Bot対策はトラフィックの入口で不正を制御します。
つまり両者は競合ではなく、補完関係にあるレイヤー防御です。
今後のWebセキュリティは、
- アプリケーション防御(WAF)
- トラフィック制御(Bot対策)
を組み合わせた構成が前提になっていく可能性が高いでしょう。
まとめ:Webは「人間だけの世界」ではなくなりました
Webトラフィックの過半数がBotとなった現在、従来の前提に基づいたセキュリティ対策は限界を迎えています。
重要なのは、「Botを完全に排除する」ことではありません。価値をもたらすBotは活かし、悪意あるBotだけを正確に制御することです。
そのためには、通信の中身ではなく「振る舞い」を理解するアプローチが不可欠です。Webの主役が人間だけではなくなった今、セキュリティの考え方そのものもアップデートが求められています。
よくある質問(FAQ)
Bot対策とは何ですか?
Bot対策とは、Webサイトにアクセスする自動プログラム(Bot)を識別し、不正なアクセスを防ぐためのセキュリティ対策です。検索エンジンなどの有用なBotと、悪意あるBotを区別することが重要です。
なぜWAFだけではBot対策が不十分なのですか?
WAFは主に既知の攻撃パターンを検知する仕組みであり、人間を装った高度なBotや分散IPによるアクセスには対応が難しいためです。
Botによる被害にはどのようなものがありますか?
不正ログイン、スクレイピング、チケットや商品の買い占め、広告不正クリックなど、売上やブランドに直接影響する被害が発生します。
Bot対策はどの企業に必要ですか?
ECサイト、メディアサイト、SaaSなど、Webトラフィックが収益に関わるすべての企業にとって重要な対策です。
WAFとBot対策はどちらを導入すべきですか?
両者は役割が異なるため、併用が推奨されます。WAFは脆弱性対策、Bot対策はトラフィック制御を担います。
