ボット対策

弊社のボット対策機能を使用すると、異なるトラフィックタイプがサイトでどのようにブロックまたは検証されるかを制御することができます。

この機能は、プラットフォームに組み込まれたセキュリティに新たなレイヤーを追加します。標準の保護機能により、悪意のあるトラフィックは自動的にブロックされます。これには、特定のエンドポイントを狙った攻撃や、既知の脅威に関連するIPアドレスからのアクセスのフィルタリングが含まれます。さらに、弊社の内部セキュリティ対策に加え、Cloudflareのエンタープライズレベルのファイアウォールが連携し、厳格なルールセットに基づいて受信トラフィックをフィルタリングします。これにより、ハッキングの試みやDDoS攻撃に関連するIPアドレスをブロックし、多くの攻撃をサーバーに到達する前に防ぎます。

また、弊社では日々の受信トラフィックを積極的に監視し、プラットフォーム全体における脅威や潜在的な感染の兆候を検出しています。お客様のデータを徹底的に保護するため、能動的・受動的なセキュリティ対策に加えて、その他の高度な保護機構とともにハードウェアファイアウォールを導入し、不正アクセスを防止しています。

デフォルトでは、弊社のプラットフォームレベルの防御により、悪意があると判断されたトラフィックの約15〜20%が、お客様のサイトに影響を及ぼす前にブロックされます。この基本レイヤーは、ネットワーク全体にわたる明らかに有害なリクエストや、既知の脅威ソースからのアクセスを対象としています。ただし、トラフィックの特性やビジネス要件はサイトごとに異なるため、より柔軟な制御が求められる場合もあります。弊社のボット対策は、この基本レイヤーを補完し、ピーク時の負荷軽減や、より厳格なセキュリティ制御の適用など、トラフィックの種類ごとに処理方法を細かく調整できるようにします。

また、ボットやクローラーであることが明確なユーザーエージェントからのトラフィックは、分析からフィルタリングされ、プランの使用量には含まれません。一方で、人間の行動に近い自動化トラフィックが、指標に反映される場合があります。異常なトラフィックパターンが確認された場合は、ボット対策のレベルを上げることで、それがボットによるものかどうかを判断することができます。なお、課金対象から除外される場合であっても、明らかにボットやクローラーと識別される大量の自動リクエストを放置すると、パフォーマンスに影響が出ることがあります。

ボットとは

ボットとは、人間のユーザーではなく、自動化されたソフトウェアからのリクエストとして識別されるものです。弊社では、プラットフォーム全体で観測されたトラフィックパターンと業界標準に基づき、独自のボット分類システムを構築・運用しています。これにより、自動化されたトラフィック、特に大量のリクエストを生成したり、サイトへの負荷を増加させたりするボットを識別・分類しています。

さらに、これをCloudflareの機械学習ベースのリアルタイムボット分類によって補完しています。この仕組みでは、各リクエストに対して、ボットである可能性を示すスコア（1〜99）が割り当てられ、スコアが1に近いほど自動化されたリクエストである可能性が高く、99に近いほど人間によるアクセスである可能性が高いことを示します。

MyKinstaにおけるトラフィックの分類方法

MyKinstaでは、トラフィックが以下のカテゴリに分類されます。

• 検証済みのボット：Google、Bing、監視、SEOツールなど、正当で検証済みの企業からの自動トラフィックです。弊社では選択した対策レベルに関係なく、ほとんどの検証済みのボットが許可されます。検証済みボットには、Cloudflare公式の検証済みボットリストに掲載されている、弊社の稼働監視ボット、主要な検索エンジンのクローラー、各種APIボット（WordPress管理ツールを含む）、AIボットなどが含まれます。
  さらに、このリストに対して独自の分類ルールを適用しています。AIクローラーや過度なリクエストを送るクローラーは、検証済みのボットであっても再分類される場合があり、高い負荷を引き起こす自動トラフィックが適切に分類・管理されるようにしています。
  また、弊社が許可する検証済みのボットが、お客様のSEOや検索順位、AIを活用したツールでの可視性に悪影響を及ぼすことはありません。
• 人間の可能性が高い：通常の閲覧行動を示す、実際のユーザーである可能性が高い訪問者です。ボットスコアは30〜99の範囲です。
• ボットの可能性が高い：未確認の自動化トラフィックが検出された訪問者です。これらはボットである可能性が高く、ボットスコアは2〜29の範囲です。
• 未分類のトラフィック：明確に分類できないトラフィックで、量は非常に少なく、通常は無害です。主に、サイトがエラーページを返した際に発生するリクエストなど、オリジンサーバーに影響を与えない内部サービスからのリクエストで構成されます。全体のトラフィックの0.07%未満を占め、そのうち実際に配信されるのはおよそ3分の1程度です。
  
• 自動化されたトラフィック：人間のユーザーではなく、ソフトウェアによって生成された自動リクエストです。ボット対策レベルを「悪意のあるトラフィックをブロック」よりも高く設定すると、このトラフィックはブロックされます。
  このカテゴリには、WordPress管理ツールの一部、カスタムAPI連携、稼働状況監視、デプロイメントスクリプト、または適切な識別情報なしで自動リクエストを送信するサードパーティサービスなど、正当ではあるものの検証済みボットとして分類されないツールやサービスが含まれる場合があります。
  これらのツールをWordPressサイトで使用しており、かつ弊社のボット対策レベルを上げる場合は、それらがCloudflareの検証済みボットリストに掲載されているか確認することをおすすめします。リストに掲載されていない場合は、サービス提供元が検証申請を行うことで、ブロックを回避できる可能性があります。
  
• 悪意のあるトラフィック：攻撃、DDoS、不正利用などに関連するトラフィックです。弊社の標準的なセキュリティ対策の一環として、すべてのサイトで自動的にブロックされます。これには、DDoS緩和対策に加え、悪意のあるトラフィックに特有のIPやエンドポイントを対象としたグローバルルールが含まれます。これらの対策に加え、継続的な監視、ハードウェアファイアウォール、高度なセキュリティ対策を組み合わせて、サイトの安全を保護します。ベースラインのセキュリティ対策により、悪意のあるトラフィックの約15〜20%はサイトに到達する前にフィルタリングされますが、実際のユーザーを装う高度なボットに対しては、ボット対策のレベルを引き上げるなど、追加の対策が必要になる場合があります。
• 過剰なアクセス頻度のAIクローラー：サーバーリソースに過度な負荷をかけるリクエストを送信するAIクローラーです。

検証とは

検証は、受信したトラフィックが実際のユーザーによるものか、あるいは自動化されたソフトウェアによるものかを判断するための追加ステップです。リクエストを即座に許可またはブロックするのではなく、フィルターのように機能し、正当な訪問者を通しつつ、多くの不要なボットを排除します。

リクエストが検証の対象になると、訪問者が正当であることを確認するためのステップが完了するまで、一時的に保留されます。この仕組みにより、不正または自動化されたトラフィックを抑えつつ、実際のユーザーへの影響を最小限に抑えることができます。

検証ステップには、以下のようなものがあります。

• ブラウザベースの検証（JavaScriptチェックなど）
• CAPTCHAやインタラクティブなテスト
• ユーザー操作を必要としないバックグラウンドでの自動検証

検証が正常に完了するとリクエストは許可され、訪問者はサイトにアクセスできます。一方、検証に失敗した場合や完了できない場合は、リクエストはブロックされます。正当なユーザーであれば、特別な操作なしでこの検証を通過できますが、自動化されたリクエストの多くはこのプロセスを完了できません。

一度検証に成功した訪問者は、同じブラウザとIPアドレスを使用している限り、少なくとも10日間は再度検証を求められることはありません。

Kinstaのボット対策の活用方法

弊社のボット対策は、いつ・どのように使用するかを柔軟にコントロールできます。サイトの状況や要件に応じて、必要なタイミングで対策レベルを引き上げたり、継続的に高いレベルの対策を適用したりすることも可能です。ただし、ボット対策は訪問者や各種連携サービスがサイトとどのようにやり取りするかに影響を与える可能性があるため、トレードオフを理解したうえで、意図的に使用することをおすすめします。

次のような状況では、より高いレベルのボット対策を利用することをおすすめします。

• トラフィックの急増時： サイトに突然トラフィックの急増が発生した場合、ボット対策のレベルを引き上げることで、すべての訪問者をブロックすることなく、悪意のある負荷を迅速に軽減できます。トラフィックの急増は、「サイト」＞（サイト名）＞「分析」＞「プランご利用状況」の「訪問数」セクションで確認できます。
• パフォーマンスの問題が見られる場合： サイトのパフォーマンスに問題が発生している場合、ボット対策のレベルを上げることで、自動化されたトラフィックが負荷の原因となっているかどうかを判断するのに役立ちます。パフォーマンスの状況は、「サイト」＞（サイト名）＞「分析」＞「パフォーマンス」タブで確認できます。
• 疑わしいトラフィックを評価したい場合：異常な挙動が見られるものの、すぐに完全ブロックしたくない場合は、ボット対策のレベルを引き上げることで、そのトラフィックが検証を通過できるかどうかを観察できます。これにより、より厳しい対策を講じる前に状況を見極めることができます。

長期的または継続的な使用における考慮事項

より高いレベルのボット対策を長期間有効にしておくことも可能ですが、その場合は以下のような影響が生じる可能性があります。

• ユーザー体験への影響：すべての訪問者に検証を適用する設定では、軽微なものであっても、訪問者に追加の確認ステップが発生します。ほとんどのユーザーはこのプロセスをスムーズに通過でき、長期間にわたって一度だけ求められるため、その後のリクエストは中断なく処理されます。ただし、モバイル端末や通信速度の遅い環境では、ごく一部のユーザーがわずかな遅延を感じる場合があります。それでも、この方法はユーザー体験とのバランスを保ちながら、見えにくいボットトラフィックを大幅に減らすのに役立ちます。
• アクセシビリティへの懸念：一部の検証方法、特にCAPTCHAは、支援技術を利用しているユーザーにとって負担になったり、場合によっては利用が難しくなったりすることがあります。
• 正当な自動化への影響：検証されていないAPIや自動化サービスは、ブロックまたは検証の対象となり、連携が中断される可能性があります。ビジネス上重要な連携や、サイトに接続するサードパーティツールについては、Cloudflareの検証済みボットリストに掲載されているかを確認することをおすすめします。掲載されていない場合は、サービス提供元が検証申請を行うことで、ブロックや影響を回避できる可能性があります。代表的な例としては、カスタム連携、セルフホスト型の監視ツール、デプロイ自動化などがあります。
• SEOとパフォーマンスへの考慮：GoogleやBingなど、広く認知されている検索エンジンのクローラーは検証済みボットとして扱われるため、通常は影響を受けません。一方で、知名度の低いSEOクローラーや未検証の特化型ツールは、検証の対象となる場合があります。

最終的に、ボット対策をいつ利用するか、またどのレベルの対策を適用するかは、お客様の判断に委ねられます。変更を行う際は慎重にテストし、サイトのトラフィック傾向、パフォーマンス、目指すユーザー体験に応じて設定を調整することをおすすめします。

外部セキュリティレイヤーとの併用

Cloudflareは、WAFやボット対策機能を有効にしない限り、弊社のボット対策と併用できます。両方を有効にしている場合は、まずCloudflare側でトラフィックが評価されます。その段階でブロックされたリクエストは弊社に到達しないため、ボット対策はCloudflareを通過したトラフィックにのみ適用されます。

弊社のボット対策と、追加のカスタムボット対策ルールを併用することは推奨されません。複数の保護レイヤーを同時に適用すると、分類の不一致が発生し、正当なトラフィックが誤ってボットと判定されてブロックされる可能性があります。その結果、正常なアクセスが中断されたり、サイトへのアクセスが完全に遮断される場合もあります。

また、弊社のボット対策は、AWS、Microsoft Azure、Sucuri、Fortinet、他のCDN、またはリバースプロキシ構成などのサードパーティプラットフォームでは利用できません。これは、トラフィックの元の送信元を正確に特定できず、リクエストが人間によるものか自動化されたものかを適切に判断できないためです。

カスタムWAFルールとの併用

弊社カスタマーサポートを通じてカスタムWAFルールを設定し、ボット対策を使用している場合、両方のレイヤーが受信トラフィックに適用されます。ほとんどの場合、弊社の管理ルールが最初に評価されます。リクエストがこれらのルール（許可、ブロック、または検証）のいずれかに一致する場合、そのアクションが適用されます。そうでない場合は、カスタムルールが評価され、リクエストを許可またはブロックする可能性があります。

カスタムルールが弊社ルールの前に実行されるように設定されている場合は、それを上書きすることができます。たとえば、すべてのトラフィックを許可し、WAFをバイパスするルールは、弊社のボット対策と管理ルールが適用されないようにします。お客様のサイトに適用されるカスタムWAFルールに関する詳細情報が必要な場合、またはルールと例外をカスタマイズしたい場合は、カスタマーサポートまでお問い合わせください。

ボット対策レベルの変更

ボット対策のレベルを変更するには、「サイト」＞（サイト名）＞「ボット対策」に移動し、「対策レベル」セクションの「変更する」をクリックします。複数のサイトの対策レベルを一括で変更する場合は、「サイト」画面で対象のサイトを選択し、「操作」＞「ボット対策の変更」をクリックします。

MyKinstaでボット対策レベルは、以下の4つから選択可能です。

• 悪意のあるトラフィックをブロック：デフォルトの対策レベルです。悪意のあるトラフィックは、ベースラインのセキュリティ対策の一環として、すべてのサイトで自動的にブロックされます。これには、DDoS対策や、悪意のあるトラフィックに特有のIPおよびエンドポイントを対象としたグローバルルールが含まれます。
• 自動化されたアクセスをブロック：自動化されたトラフィックと悪意のあるトラフィックの両方をブロックします。
• ボットを検証：自動化されたトラフィックと悪意のあるトラフィックをブロックし、ボットである可能性が高いものと未分類のトラフィックを検証します。
• すべてのアクセスを検証：最も高い対策レベルです。自動化されたトラフィックと悪意のあるトラフィックをブロックし、人間・ボット・未分類のトラフィックを検証します。

各項目のアイコンは以下を意味します。

• 許可：検証なしで許可されるトラフィック
• 検証：検証され、通過した場合のみ許可されるトラフィック
• ブロック：ブロックされるトラフィック

任意のレベルを選択したら、「ボット対策レベルを変更」をクリックして完了です。

AIクローラーのアクセスを制限する

AIクローラーは、AIシステムによって処理されるサイトのコンテンツを収集するためにスキャンを行うボットです。従来の検索エンジンクローラーと似ていますが、単に検索結果のためにページをインデックスするだけでなく、AIモデルの学習や分析、機能強化のためのデータ収集にも利用されます。

AIクローラーの中には、Cloudflareで検証されたボットやGPTBotのように、自身の識別情報や目的を明確に示してアクセスするものもあります。その一方で、キャッシュされていないアセットへのリクエストなどを頻繁に行うことで、大量のトラフィックを発生させ、サイトのパフォーマンスに影響を与える可能性があるものも存在します。

弊社のボット対策では、検証済みのものを含め、必要に応じてAIクローラーを完全にブロックすることが可能です。なお、この設定はAIクローラーのみを対象としており、GooglebotやBingなどの検索エンジンクローラーは対象外となります。

この機能は、大量トラフィックやパフォーマンスの問題がボットに起因するかどうかを判断する際に役立ちます。ただし、クローラーの中には検索エンジンによるインデックス作成に使用されるものだけでなく、検索体験や要約、レコメンドなどでコンテンツを表示するAIツールに利用されるものもあるため、ブロックすることで、検索結果でのサイトの表示に影響が出る可能性があります。

また、不要なトラフィックやサーバー負荷を軽減できますが、検索エンジンやAIベースの検索結果におけるサイトの可視性が低下する可能性もあります。そのため、設定の変更は慎重に行い、トラフィックやSEOパフォーマンスへの影響を継続的に確認することをおすすめします。

AIクローラーのアクセスを制限するには、「サイト」＞（サイト名）＞「ボット対策」に移動し、「AIクローラーのブロック」のトグルをオンにします。複数のサイトに対して一括で適用するには、「サイト」画面で対象のサイトを選択し、「操作」＞「AIクローラーブロックの変更」をクリックします。