最近、友人のWebサイトがDDoS攻撃でダウンした問題を対応していて、興味深い現象に気づきました：彼らの会社は実際にCDNを導入していたのに、攻撃時に全く耐えられなかったのです。

技術責任者は不満そうでした——明明お金を払っているのに、なぜダウンしたのか？私は契約書を見て納得：「これは普通の加速CDNであって、高防護版ではないですね！」

この問題は実は非常に一般的です。多くのチームはCDNを選ぶ際、価格とノード数しか見ておらず、「加速」と「高防護」の違いを全く理解していません。結果、平常時は快適に使えても、一度攻撃を受けると全く対応できないことになります。

今日は、高防護CDNと普通のCDNの違いについて徹底的に解説しましょう——

まずは過激な発言から：普通のCDNは「錦上添花」（花にさらに錦を添える＝良い状態をさらに良くする）、高防護CDNは「雪中送炭」（雪の中に炭を送る＝困っている時に助け舟を出す）です。

普段Webサイトに問題がなければ、その差を感じないかもしれません。しかし、実際に攻撃に遭った時、この両者の差は生死を分けます。

実際に経験したいくつかの事例で説明しましょう。去年、あるEC企業が有名な普通のCDNを使用し、ブラックフライデー期間中に競合から20GのDDoS攻撃を受け、6時間完全に麻痺し、百万単位の注文を失いました。

後に私が推奨した高防護ソリューションに切り替えたところ、同じ攻撃トラフィックでも全く問題ありませんでした——なぜなら、洗浄能力がそもそも次元が違うからです。

観点一：防御能力、これが最も核心的な差

普通のCDNの主目的は加速であり、防御はおまけ程度です。多くのベンダーが言う「基本防御」はせいぜい5-10Gbpsで、しかも検出ルールは非常に緩く、低速攻撃やCC攻撃にはまったく防げません。

高防護CDNは、攻撃に耐えるために特別に設計されています。CDN5の高防護ノードなどは、デフォルトの洗浄能力が300G以上、上位プランではT級（テラ級）に達することもあります。

そして、トラフィック型攻撃だけでなく、アプリケーション層攻撃（CC攻撃、API爆破など）に対しても細かい策略を持っています。

08Hostの高防護CDNを実際にテストしたことがありますが、彼らのCC防御は正常ユーザーとクローラー/ボットの行動を区別でき、単純にIPをブロックするような雑な仕事ではありませんでした。

この点は非常に重要です——多くの防御ソリューションは厳しくすると実際のユーザーを誤検知（誤殺）し、緩めると攻撃を防げません。

観点二：ノード構造とトラフィック调度

普通のCDNノードは、カバレッジの広さと低遅延を追求するため、ノード数は多いですが各ノードの規模は小さいです。

攻撃に遭った場合、単一ノードが簡単に打ち抜かれ、その後トラフィック调度システムがオリジンサーバー（源站）のIPを攻撃者に暴露してしまう可能性があります。

高防護CDNのノードは「少なくとも精鋭」という方針です。例えばCDN07のグローバル高防護ネットワークはわずか30以上のノードですが、それぞれがスーパーデータセンターで、冗長帯域幅と洗浄設備を自前で持っています。

攻撃トラフィックは入口で洗浄センターに振り分けられ、きれいなトラフィックのみがオリジンサーバーに戻されます。

ここに大きな落とし穴があります：一部のベンダーは「グローバル千ノード」と宣伝しますが、高防護プランが実際にカバーするのはその内の数ノードだけです。

高防護ノードの数と位置は必ず確認してください。そうしないと、アメリカのノードが攻撃を防いでいる間、アジアのユーザーは全員アクセス不能（跳闸＝ブレーカーが落ちる）になってしまいます。

観点三：キャッシュ戦略と失效（失効）処理

普通のCDNのキャッシュは非常に「おとなしく」、キャッシュ時間が来れば素直にオリジンサーバーに戻ります。この時に攻撃者にオリジンサーバーのIPを特定されれば、オリジンサーバーを直接攻撃され一発でダウンします。

高防護CDNはこの点において非常に巧妙です。たとえキャッシュが期限切れになっても、可能な限り旧バージョンのコンテンツでしのぎ、同時に異常検知機制でオリジンサーバーの状態を判断します。

オリジンサーバーの応答が異常（タイムアウトや5xxエラーなど）と判断された場合、自動的にキャッシュ時間を延長し保護モードを起動します——場合によっては静的ページを72時間オフラインでホストできるソリューションもあります。

これは実戦で得られた知見です：攻撃者はキャッシュが無効になるタイミングを狙ってオリジンサーバーを攻撃するため、高防護CDNはこの点で深い最適化が必須なのです。

観点四：レポートと分析機能

普通のCDNのレポートは、基本的にトラフィック、ヒット率、ステータスコードの3点セットです。攻撃を受けても帯域幅が急上昇したことしか分からず、誰が、どうやって、どこを攻撃しているのか全くわかりません。

高防護CDNのレポートは「法医学級」です。攻撃タイプ、発信元ASN、主要攻撃IP、プロトコル分布などがすべて詳細に表示されます。

CDN07のレポートは攻撃のタイムラインまで再構築でき、攻撃がいつ始まり、いつ緩和されたかを教えてくれます。

この機能を甘く見てはいけません——攻撃の特徴を素早く分析できるからこそ、防御策略を調整し、証拠を収集し、場合によっては反撃できるのです。

私はとあるベンダーの詳細なレポートのおかげで、競合が雇ったボットネットを発見し、直接証拠鏈を突きつけたら相手はすぐに屈服しました。

観点五：隠れたコストとサポート体制

普通のCDNは一見安く見えますが、攻撃に遭うと法外な請求書（天价账单）が来る可能性があります！多くのベンダーの「無制限トラフィック」プランはDDoSトラフィックを含んでおらず、攻撃によって発生した洗浄トラフィックはXX円/GBで別途請求される可能性があります。

一夜にして10万円の請求書を突きつけられた顧客もいました。恐喝よりもひどいです。

高防護CDNは通常、固定価格に洗浄トラフィックが含まれており、超過分も固定料率です。明碼標价（明確な価格表示）は一見高く見えても、少なくとも想定外のサプライズ（surprise you）はありません。

また、高防護CDNには通常24/7のセキュリティチームサポートが付いていますが、普通のCDNではカスタマーサポートのチケットに連絡するしかありません。実際に攻撃を受けた時、「5分応答」と「5時間応答」の雲泥の差を実感することになるでしょう。

では、結局どう選ぶべきか？簡単で大雑把な原則をまとめました：

あなたのビジネスが純粋な静的宣伝ページで、アクセス量も多くなく、誰も敵に回していないのであれば、普通のCDNで十分です。しかし、オンライン取引、ユーザーインタラクションが少しでもあったり、競合関係が少しでもある場合は、迷わず高防護を選びましょう。

現在、攻撃コストは非常に低く、スクリプトキディ（初心者ハッカー）が適当なツールをダウンロードするだけで数十Gのトラフィックを攻撃できてしまいます。ダウンしてから交換するのを待ってはいけません——その時CDNを交換するのは、事故現場でタイヤを交換するようなもので、間に合いません。

最後に、高防護CDNを設定する際のちょっとしたコツを共有します：必ずオリジンサーバーのIPを隠してください！多くのチームはCDNの設定は完了しても、メールサーバー、サードパーティサービスAPIの呼び出し、さらには従業員のVPNがオリジンサーバーの真实IPを暴露する可能性があることを忘れています。

CDNベンダーのIP帯域のみをオリジンサーバーへのアクセスを許可するように、別途ファイアウォールポリシーを設定することをお勧めします。

Nginx設定例を貼り付けます。高防護CDNからのみのオリジンサーバーアクセスを制限します：

もちろん、具体的なIP帯域はベンダーから取得する必要があり、通常はAPIで動的にリストを更新できます。

总之、近年のネットワーク環境は複雑で、CDNですら「味方（ベンダー/設定）を防ぐ」必要があります。普通のCDNは乗用車のようなもので、市街地を走る分には問題ありません。

高防護CDNは装甲車のようなものです。少し高価で燃費は悪いですが（コストがかかる）、いざという時には本当に命を守ってくれます。

自社の業務リスクに基づいて選択し、単価が数倍違うからといって惜しんではいけません——一度ダウンした時の損失は、10年分の高防護の費用に相当するかもしれません。

そうそう、もし本当に予算が厳しい場合は、少なくとも普通のCDNの前にCloudflareの無料版を導入しましょう——性能は一般的ですが、少なくとも大部分の一般的な攻撃は防げます。

ただし、商業級の攻撃を無料ソリューションに期待してはいけません。彼ら（攻撃者）は無料ソリューションの弱点を専門的に攻撃してきます。

この記事が皆さんの失敗を少しでも減らす手助けになれば幸いです。結局のところ、この業界の学費（失敗コスト）は高すぎるのですから、節約できるところは節約しましょう——