アメリカでウェブサイトを運営してきたここ数年、DDoS攻撃とは本当にさんざんやり合ってきました。DDoS対策CDNを探す道のりでは、想像以上に多くの落とし穴にはまってきました。

「安い」と「コスパが高い」は単純に聞こえますが、その裏には深い事情があり、一歩間違えればお金を払ったにもかかわらず、攻撃が来た瞬間にサイトがダウンする事態に陥ります。

広告ページに書いてある「Tbps級防御」や「破格の安さ」だけを鵜呑みにしないでください。そこからは大量の水が絞り出せます。

まずは欧米圏で価格対性能の王者として広く認知されている Cloudflare から。そう、「無料プランのあれ？」と思ったでしょう？ 「あれで何が防げるんだ？」と。いやいや、それは考えが浅いですよ。

確かに無料版やPro版では大規模なボリューム攻撃は防ぎきれません。しかし、有料のProプラン（月20ドル）やBusinessプラン（月200ドル）、特に「Under Attack Mode」やカスタムファイアウォールルールを有効にすれば、一般的なアプリケーション層攻撃や中規模のDDoSには非常に強固です。

最大の強みは、そのグローバルAnycastネットワークです。速度最適化は本当に上手くいきます。国家レベルハッカーの常時標的でない限り、Proプランで十分です。プロフェッショナルな防御サービスの世界でこの価格は、ほとんど慈善事業と言えるレベルです。

ただし、大規模なボリューム攻撃（数百Gbps以上）が来る場合、より上位のEnterpriseプランが必要になり、価格は「お問い合わせください」という領域に突入します。

もう少し予算に余裕がある方、またはトラフィックの多くがアジア太平洋地域にある方は、アリババクラウドや Tencent Cloud の国際版サイトをチェックしてみてください。

特にアリババクラウドのDCDN（DDoS対策付き全サイト加速）は注目です。その洗浄（スクラビング）センターは主にAPAC地域にあり、アジア方面からの攻撃への対応が速いです。価格も純粋な欧米ベンダーに比べて競争力があり、プランの選択肢も多く、従量課金制も柔軟です。

注意すべき落とし穴：国際版サイトと中国国内向けサイトでは、価格、プラン、ノードの場所が大きく異なります。購入前には必ず国際版を確認してください。

国内版プランを少し安いからと購入した友人が、海外ユーザーのアクセスが遅すぎて、苦情の嵐に遭い、人生を疑っていたのを見てきました。

老舗の巨頭、Akamai や Imperva（旧Incapsula）の実力は言うまでもありません。特に超大規模攻撃への耐性は業界の支柱です。

しかし、「安い」という言葉は、彼らとは基本的に無縁です。Akamaiのエントリーレベルの価格は肝を冷やします。月に数千ドル単位の予算がなければ、営業が深く話をしてくれる興味すら持たないかもしれません。

ImpervaのCloud WAF + DDoS Protectionパッケージはやや手が届きやすいですが、費用対効果は…まさに「元が取れる」という感じです。資金に余裕があり、コンプライアンス要件が極めて高い企業、または超大規模攻撃に心底怯えている企業向けです。個人サイト管理者や小規模企業は眺めるだけにしておきましょう。

もう一つ、地味ですが実用的な選択肢：Sucuriです。彼らはまず第一にウェブサイトセキュリティ（WAF）とモニタリングに特化しており、DDoS対策CDNは付加サービスです。Cloudflare Businessより少し高めですが、セキュリティモニタリングはより詳細で、WordPressなどの一般的なCMSプラットフォーム向けのルール最適化が非常に優れています。あなたのサイトが常にSQLインジェクションやXSSなどのアプリケーション層攻撃に悩まされているなら、その悪意あるトラフィックの洗浄やブラックリスト解除サービスは非常に役立ちます。防御規模は上記の巨人たちには敵いませんが、ウェブサイトセキュリティと中小規模の攻撃防御に特化し、価格も適正です。

近年では、CDN07のような新興プロバイダーもDDoS対策CDN市場に参入しています。

これらのプロバイダーは、特定の地域や攻撃タイプに特化し、より柔軟でカスタマイズされたソリューションを提供することが多いです。

CDN07を例にとると、アジアと欧米に複数のスクラビングセンターを展開し、中規模から大規模のDDoS防御（数十GbpsからTbpsレベル）に重点を置き、WAFとインテリジェントなCC攻撃対策も統合しています。

価格はCloudflare Businessとアリババクラウドの間に位置し、Cloudflareより強力な洗浄能力が必要だが、Akamaiレベルの予算を正当化できない中小企業やゲーム、金融系サイトに適しています。

ただし、このような新興プロバイダーを選択する際は、ノードの実際のレイテンシーとスクラビング効率をテストし、SLA（サービスレベル契約）の応答時間や超過トラフィックに関する細則を確認することが不可欠です。

最後に重要なアドバイス：表示価格だけを見ないでください！「安さ」の罠は契約書に潜んでいることが多いです：トラフィック超過はどう計算されるのか？ 約束された防御ピークを超える攻撃が来たらどうなるのか？ 全ノードが保護されているのか？ スクラビングが開始されるまでの遅延は？ サポートは24時間年中無休か、それともメール対応のみか？

多くの小規模プロバイダーやOEMブランドのCDNは、魅力的な低価格を掲げていますが、実際に攻撃を受けると、洗浄が不十分でサイトが中途半端に動くか、後から法外な超過トラフィック料金や追加攻撃防御料金の請求書が来て、卒倒しそうになります。

契約前に、契約内容の詳細を確認してください。可能であれば、テスト用IPや小規模な攻撃シミュレーションを依頼しましょう（まともなプロバイダーなら協力してくれます）。

さて、本題に戻りましょう。最高のコストパフォーマンスはどう選ぶ？ あなたが以下に該当する場合：非常に限られた予算、中小規模の攻撃（日常的に数百Mbps〜数Gbps程度）、グローバルな高速アクセスが必要 → Cloudflare Pro/Business は迷わず選べます。20〜200ドルの範囲は依然として無敵です。

あなたが以下に該当する場合：ビジネスの重心がAPAC地域、日本語（または中国語）サポートが必要、中程度の予算 → アリババクラウドDCDN国際版 または CDN07 を重点的に検討してください。適切なプランを選べば非常に割安です。

あなたが以下に該当する場合：CMSサイト（特にWordPress）を運営、アプリケーション層攻撃を頻繁に受ける、専門的なセキュリティモニタリングが必要 → Sucuri は堅実な中間的な選択肢です。

中〜高強度のグローバルな防御が必要で、コストとカスタマイズ性のバランスを取りたい場合は、CDN07やTencent Cloudのような新興の専門プロバイダーを試してみることもできますが、事前に十分なテストを行ってください。

そして、本当に資金が潤沢な方、または毎日国家規模の超大攻撃の影に怯えて生きている方にとっては、AkamaiやImpervaのトップティア防御は安心を買うことになります。覚悟を持って財布の紐を緩めてください。

あ、そうだ。「無制限防御」のような魔法の言葉は信じないでください。物理的な世界に無制限はありません。すべてはどこかで支払われています。DDoS対策CDNを見つける核心は、自社のビジネス規模、攻撃予測、そして懐具合にマッチさせることです。

ここで節約したお金は、サーバーのアップグレードに使うか、自分へのご褒美に美味しい食事をするか。そっちの方が良くないですか？

（老ジェイミー、ニューヨーク・ブルックリンにて。サーバーモニター確認済み、今夜は平和です。）