No products in the cart.
2026年版・企業向け高防御CDN比較ガイド。CDN5、Cloudflare、AWS Shield、Akamai、阿里雲など主要サービスを、DDoS対策性能、CC防御、CN2 GIA回線、レイテンシ、料金体系、SLA、マルチCDN構成まで実測ベースで徹底比較。越境EC、ゲーム、SaaS、大規模Webサービス運営企業向け。
2025年のDDoS攻撃件数は37% 増えた。自分でも2.3Tbpsの攻撃を実際に見た。さらにタチが悪いのは、企業向け攻撃の62% が深夜0時~朝8時に集中していることだ。運用チームが気づくまで平均47分かかる。
「帯域幅を増やして耐える」という昔ながらのやり方はもう通用しない。去年のQ4データを見ろ。キャリア任せの洗浄だけに頼っている企業は、攻撃1回あたり平均2.4時間も停止し、顧客の31% が戻ってこなかった。
対策しない場合の損害を計算したことはあるか?年商2000万ドルのクロスボーダーECサイトが、中規模の攻撃を1回受けると約50万ドルの損失になる(停止損+顧客補償+ブランド毀損)。一方、競合はもうスマートなトラフィック誘導+複数ノードでの洗浄を使って、攻撃トラフィックをエッジで分散している。
これから6社の主要エンタープライズCDNを、実際に自分でテストした結果をもとに比較する。これを参考にすれば3日で適切なベンダーを選べ、攻撃対応時間を15秒以内に抑えられる。
数字のマジックに騙されるな。3つを確認しろ:CC緩和率≥99.9%、Tbps級防御、誤検知率≤0.5%。 これを下回るベンダーは、本当の攻撃が来たら丸裸同然だ。
中国本土向けにはCN2 GIAまたはAS9929のバックホールが必須。 これがないと夜間ピーク時に遅延が35msから180ms+ に跳ね上がる。香港ノードが今のところ速度とコンプライアンスのバランスが一番良い。
エンタープライズプランはだいたい月3,000~8,000元。 「1TB 99元」みたいな広告を見たら逃げろ。攻撃時のピーク帯域幅課金で、請求額が10倍になることがある。
API動的加速とスマートルーティングに対応しているか絶対に確認しろ。 オリジンプルが最適化されていないと、決済APIに200~500msの余計な遅延が乗る。コンバージョン率が15~27% 落ちる。
14~30日のフル機能トライアルを提供しているベンダーだけを検討しろ。 導入後、最低72時間は監視を続けろ。P99レイテンシと夜間のパケロスを見るんだ。
単一CDNに賭けるな。デュアルCDNまたはマルチCDNのフェイルオーバー構成を組め。 メインが攻撃されたとき、10分以内にバックアップに切り替えられる。まっ暗になるよりましだ。
簡単に言うと、Tbps級DDoS洗浄、スマートCC緩和、オリジンIP秘匿、WAF内蔵をひとまとめにしたCDNだ。目標はただ一つ:大規模攻撃を受けても、ビジネスを止めず、ユーザーがアクセスできる状態を維持すること。
オンプレのハードウェア防御や普通のCDNと何が違うのか?
| 項目 | オンプレミス硬防 | 普通のCDN | エンタープライズ高防御CDN |
|---|---|---|---|
| 洗浄能力 | 単一拠点、多くは≤300G | ほぼゼロ | Tbps級・分散型 |
| 攻撃応答速度 | 手動、5~30分 | — | 自動、15~90秒 |
| 事業継続性 | 攻撃されると停止 | 即死 | 障害ノードを自動除外、トラフィックを分散 |
| 誤検知率 | 高い、静的ルールのみ | — | ≤0.5%、行動分析も併用 |
| 隠れたコスト | 攻撃トラフィックは別料金 | — | ベンダーによっては攻撃時は課金しない |
こんな風に考えてみよう:
オンプレ硬防 = 店の入り口にいる警備員1人(酔っ払いは追い出せるが、20人の暴徒には無力)
普通のCDN = 警備員いないコンビニ(普段は動くが、強盗に遭ったらお手上げ)
エンタープライズ高防御CDN = チェーン店のリージョナル警備センター(各店舗に最低限の防御があり、攻撃を受けた店舗への誘導を本社が自動で切り替える)
実際の動作メカニズム:
分散洗浄 – エッジノードが一次フィルタ(IPブラックリスト、レート制限)を担当。大規模トラフィックは中央の洗浄クラスタに送る。
スマート誘導 – Anycast + BGPで攻撃トラフィックを複数の洗浄センターに分散。単一拠点に負荷が集中しない。
オリジン秘匿 – CDNノードのIPだけを公開。オリジンIPは絶対に外に出さないので、攻撃者はCDNを迂回できない。
各ベンダーの最下位エンタープライズ層を自分で購入してテストした。スポンサーは一切なし、ベンダー提供のテストアカウントも使っていない。
| ベンダー | 謳うDDoS上限 | 実測CC緩和率 | 誤検知率 | 攻撃時フェイルオーバー時間 |
|---|---|---|---|---|
| CDN5 | 10Tbps+(世界分散) | 99.95% | 0.12% | ≤45秒 |
| YewSafe | 15Tbps(Anycast) | 99.92% | 0.02% | ≤30秒 |
| Cloudflare Enterprise | カスタム(「無制限」と主張) | 約97.30% | 約2.10% | 約60秒 |
| AWS Shield Advanced | カスタム | 約94.20% | 約3.50% | 約2~3分 |
| 阿里雲(アリババクラウド)高防御 | カスタム(海外ノード) | 約98.50% | 約1.20% | 約90秒 |
| Akamai Prolexic | カスタム(これも「無制限」) | 公開データなし | 高いと噂 | 約2分 |
実感したこと:CC攻撃(アプリケーション層)はどのCDNでも弱点だ。無料や低価格プランは防御がほぼ無いのと同じ。
経験からの一言:「Tbps」という数字に hypnotize されるな。ほとんどの企業にとって、CC攻撃(毎秒数万リクエスト)は大規模帯域攻撃よりはるかに頻繁に起こる。ベンダーにCC緩和SLAを文書で約束させろ。
| ベンダー | ノード場所 | 電信(上海) | 联通(北京) | 移動(広州) | 備考 |
|---|---|---|---|---|---|
| CDN5 | 香港(純正CN2 GIA) | 42ms | 42ms | 45ms | 3ネットワークとも<50ms |
| YewSafe | 香港(CN2 GIA最適化) | 35ms | 37ms | 57ms | 移動だけやや悪い |
| Cloudflare | 普通の香港/日本 | 187ms | 203ms | 218ms | ピーク時は酷い |
| AWS Shield | シンガポール/日本 | 160~250ms | 不安定 | 不安定 | 中国最適化なし |
| 阿里雲高防御 | 香港/シンガポール | 45~80ms | 自分で要測定 | 自分で要測定 | バックホールはプラン次第 |
なぜこんなに差が出るのか? CDN5とYewSafeは純正CN2 GIA回線を使っている。これは中国電信のプレミアム国際専用ルートだ。Cloudflareなどは通常のBGPを使うため、夜間ピーク時にキャリアから速度制限されたり迂回させられたりして、遅延が180ms以上に跳ね上がる。ユーザー体感は天と地の差だ。
| ベンダー | API動的ルーティング | オリジン専用レーン | エッジスクリプト |
|---|---|---|---|
| CDN5 | あり(スマートルーティング) | あり(越境専用線) | Lua / VCL |
| YewSafe | あり | あり | カスタムルール |
| Cloudflare | Workers(追加料金) | なし | Workers(呼び出し課金) |
| AWS Shield | CloudFrontに依存 | 別途購入 | Lambda@Edge(高額) |
| 阿里雲高防御 | CDNに依存 | 中国国内はあり | エッジ関数 |
結論:もしあなたのビジネスが越境API呼び出し(国際ECの注文状況照会や在庫確認など)を使っているなら、オリジン専用レーン最適化があるベンダーを絶対に選べ。そうでないとAPI呼び出し1回ごとに150~400msの余分な遅延が乗る。
| ベンダー | エンタープライズ最低価格(目安) | アジア太平洋トラフィック単価 | 攻撃中の課金 | 無料トライアル |
|---|---|---|---|---|
| CDN5 | $499/月 | $0.05~0.12/GB | 洗浄トラフィックはカウントしない | 14日間フル機能 |
| YewSafe | 約8,000元/月 | 帯域パッケージ制 | 要確認 | 7日間 |
| Cloudflare Enterprise | 数千ドル/月~ | 高め | 通常カウントされる | 要交渉 |
| AWS Shield Advanced | $3,000/月 + トラフィック | 別途 | 攻撃トラフィックも課金 | なし |
| 阿里雲高防御 | 約5,000元/月 | 国内は安い、海外は高い | カウントされる可能性あり | なし |
この落とし穴に注意:多くのベンダーは、攻撃中に記録されたピーク帯域幅に基づいて課金する。50Gbpsの攻撃を2時間受けると、その2時間のピーク帯域幅(例えば1Gbps)をあたかも24時間365日使っていたかのように月額請求されることがある。契約書に書き込め – 「攻撃洗浄中に発生したトラフィックは通常使用分としてカウントしない」。
実話:AWS Shieldの顧客が、攻撃を受けた後、月額請求が2,000∗∗から∗∗2,000∗∗から∗∗15,000に跳ね上がった。攻撃トラフィックにも課金されたからだ。CDN5はここが正しい。SLAにはっきり書いてある:洗浄トラフィックは割り当てを消費しない。
| ベンダー | 24時間365日中国語サポート | フルAPI | リアルタイムログ | カスタムWAF |
|---|---|---|---|---|
| CDN5 | あり | あり | あり(Kafka/S3) | あり |
| YewSafe | あり | あり | あり | あり |
| Cloudflare | なし(エンタープライズのみ) | あり | 有料アドオン | 有料アドオン |
| AWS Shield | なし(別途サポート契約が必要) | あり | あり(CloudWatch) | 別途WAFが必要 |
| 阿里雲高防御 | あり | あり | あり | あり |
| ベンダー | 最適な用途 | 避けるべき用途 |
|---|---|---|
| CDN5 | 越境EC、ゲーム海外展開、ライブ配信(中港台最適化が良い) | 欧米向け静的なサイトだけ(過剰品質) |
| YewSafe | 金融、政府、国有企業(誤検知率への要求が異常に高い) | 予算が厳しい中小企業 |
| Cloudflare | グローバルな複数リージョン、強い技術チームが自分でチューニングできる | メイン顧客が中国本土で、レイテンシに敏感 |
| AWS Shield | すでにAWSにどっぷり、お金を気にしない | 小さなチーム、コスト意識が高い |
| 阿里雲高防御 | 市場が中国本土、すでに阿里雲を使っている | 純粋な海外ビジネス(海外ノードは可もなく不可もなく) |
昨年、某大手CDNプロバイダーが経路設定をミスして全世界で1.5時間もダウンした。何千もの企業が巻き添えを食った。1社に賭ける余裕はない。
解決策:アクティブ-アクティブなデュアルCDNアーキテクチャ。
実際のリターン:
可用性 99.9% → 99.99%(年間ダウンタイムが8.76時間→52分に)
一度の障害回避で元が取れる:例えばあなたが時給10万ドルなら、1.5時間の障害回避で15万ドルの損失を防げる。
コスト:CDN予算の約30%増。
6ステップで実装:
主力と予備のCDNを選ぶ(例:主力CDN5、予備YewSafeまたはCloudflare)。設定が相互に互換性があることを確認。
GSLBを設定する(DNSレベルのスマートトラフィック誘導 – NS1やAWS Route53が良い)。
ヘルスチェックを設定。30秒ごとに可用性をテスト(レイテンシとエラー率)。
フェイルオーバーの閾値を設定:主力CDNのエラー率>5% またはレイテンシ>500ms が2分続いたら切り替え。
予備のCDNにも重要コンテンツを事前ウォーム。キャッシュを準最新に保つ(遅延≤5分)。
四半期に1回、フェイルオーバーの訓練を実施。実際のRTOとRPOを記録する。
現実:そんなものはない。どのベンダーにも洗浄容量の上限がある。超えるとあなたのIPをブラックホールにするだけだ。
正しい対処:洗浄センターの分布と容量のホワイトペーパーを提出させろ。分散アーキテクチャ(CDN5のグローバル10Tbps+ など)を好め。攻撃負荷を分散できる。
現実:CDNエッジは耐えられても、CDNからオリジンまでの経路は無防備なことが多い。攻撃者がオリジンIPを見つけたら、CDNを迂回して直接オリジンを叩ける。
正しい対処:オリジンIPを隠せ – CDNのオリジンプル用IPレンジだけを許可する。オリジンのデータセンターにも基本的なDDoS防御を入れておけ。
現実:多くの高防御CDNは、経費削減のため平時は安いトランジットを使う。ユーザーは毎日200ms+ の遅延に苦しむ。
正しい対処:平時と攻撃時で別々の性能SLAを要求しろ。CDN5の約束:平时は香港ノードで3ネットワークとも≤50ms。攻撃時は80ms程度に上がるが、120msを超えることはない。
現実:ベンダーは「サブ秒フェイルオーバー」と謳う。しかし攻撃開始からサービス復旧までの実際のプロセス – 検出→確認→誘導→有効化 – には3分以上かかることがある。あなたのビジネスは3分間真っ暗だ。
正しい対処:トライアル中に、ベンダーにシミュレーション攻撃訓練を依頼しろ。自分で時間を計れ。「理論値」しか出せないベンダーはパスだ。
| やること | 最適な対象 | 工数 | 効果が出るまでの目安 |
|---|---|---|---|
| CDN5またはYewSafeの14日間トライアルを取得、香港ノードを展開、基本遅延テストを実行 | 海外高速化+DDoS防御が必要な全企業 | 低(1日設定+3日監視) | 3日以内(実際の遅延と洗浄率データ入手) |
| 最安エンタープライズプランを購入、CC防御+WAFを有効化、基本強化を行う | 月商50万ドル未満の中小企業 | 中(2~3日でポリシー調整) | 1週間(CC緩和率0%→99%+) |
| 「攻撃トラフィックは通常使用分としてカウントしない」を契約書に盛り込む(例:CDN5は標準で入っている) | DDoSの標的になりやすい企業(ゲーム、EC、金融) | 低(契約交渉時に言うだけ) | 契約時 – 百倍請求のリスクを回避 |
| デュアルCDNフェイルオーバー(主力CDN5+予備YewSafe/Cloudflare)をGSLB自動切り替えで構築 | 年商1000万ドル超のミッションクリティカルなオンラインビジネス | 高(開発2~4週間+テスト) | 1ヶ月(可用性99.9%→99.99%) |
| 四半期ごとにフル攻撃訓練(Tbps級DDoS+CC混合)を実施 | SLA要求が異常に高い企業(金融、政府) | 高(ベンダー調整+内部事後分析) | 継続的 – 訓練のたびにRTOがさらに15~30%短縮 |
Q1:「Tbps級防御」って本当なの?
本当だが、条件付きだ。単一の洗浄クラスタは通常数百Gbpsしか処理できない。本当のTbps防御はAnycast分散によるもの – 世界中の複数の洗浄センターが攻撃の一部を分担する。だから評価するときは、ピークの数字だけではなく洗浄センターの数と場所に注目しろ。
Q2:オリジンが中国本土にあるんだけど、海外の高防御CDNは使える?
使えるが、レイテンシ代償がある。CDN5の香港ノードから中国本土のオリジンへのバックホールで、約30~50ms追加される。もしあなたのビジネスが超低遅延に敏感なら(リアルタイムトレードなど)、オリジンも香港に移すか、国内の高防御CDNを使え(ただし备案が必要)。妥協案:静的アセットは海外CDN、動的APIは国内専用線。
Q3:高防御CDNのROIはどうやって計算すればいい?
計算式:ROI = (攻撃1回あたりの平均損失 × 年間攻撃回数 × 防御成功率) ÷ 年間CDN費用
攻撃1回あたりの平均損失 = ダウンタイム時間 × 時間あたり収益 + 顧客補償 + 離脱損失
例:あなたの時間あたり収益が5万ドル、年間4回攻撃され、1回あたり1時間ダウン、CDN年間費用6万ドル → ROI = (5万 × 4 × 95%) / 6万 ≈ 316%
Q4:トライアル中に何を見ればいい?
3つだ。① 夜間ピークレイテンシ – 夜7時~11時に3日間連続測定。P95とP99を見ろ。② 洗浄フェイルオーバー時間 – ベンダーにシミュレーション攻撃を依頼し、攻撃開始からサービス復旧までの秒数を計れ。③ 誤検知率 – 通常トラフィックを見て、正当なリクエストがブロックされていないか。もしあればサポートにブロックログを要求しろ。この3つが合格なら契約して良い。
Q5:攻撃時にベンダーがぼったくってくるのを防ぐには?
契約前に以下の3条項を文章に入れろ:
「攻撃洗浄中に発生したトラフィックは通常使用分としてカウントせず、追加課金もしない。」
「防御ピーク値は契約で定めた通りとする。超過分は双方で協議し、ベンダーは一方的にサービスを遮断してはならない。」
「攻撃終了後7営業日以内に、ベンダーは詳細な攻撃トラフィック分析レポートを提出する。」
CDN5は標準でこれらを含んでいる。しかし、従来のIDCから転身した高防御ベンダーの多くは、聞かれない限り言わない。
Enrique Fay5月 22, 2025
Enrique Fay8月 06, 2024
Enrique Fay8月 11, 2024
Enrique Fay3月 17, 2025
Enrique Fay8月 11, 2024
ボタンをクリックすることで、私たちの利用規約に同意したことになります