Cloudflareが2026年版の脅威レポートを公開した。インターネットトラフィックの約20%を処理するCloudflareのデータに基づくこのレポートは、サイバー脅威の「現在地」を把握するための最も信頼性の高い資料のひとつだ。
本記事では、レポートの主要発見を中小企業のIT担当者・経営者向けに解説し、今すべき対策3つを具体的に提示する。
Cloudflare脅威レポートの主要発見
数字で見る2025〜2026年の脅威状況
| 指標 | 数値 | 前年比 |
|---|---|---|
| DDoS攻撃の遮断件数 | 2,140万件(2025年通年) | +358%増 |
| 最大規模のDDoS攻撃 | 5.6 Tbps | 過去最大 |
| ボットトラフィック比率 | 全体の約33% | +5ポイント増 |
| API攻撃の増加率 | 前年比+44% | 加速傾向 |
| 脆弱性の悪用開始までの平均時間 | 公開から22分 | 高速化 |
DDoS攻撃の進化——規模・手法・標的の変化
攻撃規模の桁違いな拡大
2025年に記録された最大のDDoS攻撃は5.6 Tbpsに達した。これは一般的な中小企業のインターネット回線容量(100Mbps〜1Gbps)の5,600〜56,000倍に相当する。自社のインフラだけでこの規模の攻撃を吸収することは物理的に不可能だ。
攻撃手法の多様化
従来のボリューム型攻撃(大量のトラフィックで回線を飽和させる)に加え、以下の手法が増加している。
- アプリケーション層攻撃(L7 DDoS):正規のHTTPリクエストに見せかけて、Webサーバーのリソースを枯渇させる。従来のネットワーク層の防御では検知しにくい
- マルチベクター攻撃:複数の攻撃手法を同時に仕掛け、防御側の対応を分散させる
- パルス攻撃:短時間の高負荷と休止を繰り返し、自動緩和ルールの閾値を回避する
標的の変化——中小企業が「踏み台」になるリスク
大企業への攻撃に中小企業のサーバーが「踏み台」として利用されるケースが増加している。自社が直接の標的でなくても、セキュリティが脆弱なサーバーを放置していれば加害者側に加担してしまうリスクがある。
ボットトラフィックの増加——全体の33%超
悪性ボットの実態
Cloudflareのデータによると、インターネットトラフィックの約33%がボットによるものだ。このうち、検索エンジンのクローラーなどの「良性ボット」を除くと、相当数が悪性ボットに分類される。
悪性ボットの主な活動:
| ボットの種類 | 目的 | 企業への影響 |
|---|---|---|
| スクレイピングボット | 価格情報・コンテンツの自動収集 | 競合への価格情報流出、サーバー負荷増大 |
| クレデンシャルスタッフィング | 流出したID/パスワードの総当たり試行 | アカウント乗っ取り、個人情報漏洩 |
| 在庫買い占めボット | ECサイトの商品を自動購入 | 正規顧客の購入機会喪失 |
| AIトレーニング用スクレイパー | Webコンテンツの大規模収集 | コンテンツの無断利用、サーバー負荷 |
AIスクレイパーの急増
2025年以降、AI学習データ収集を目的としたスクレイピングボットが急増している。robots.txtを無視するケースも報告されており、自社のコンテンツが知らないうちにAIモデルのトレーニングデータに使われている可能性がある。
API攻撃の急増——前年比44%増
なぜAPI攻撃が増えているのか
企業のデジタルトランスフォーメーションが進むにつれ、APIの利用が急増している。モバイルアプリ、SaaS連携、パートナー間のデータ交換など、あらゆるシステム間通信がAPIを介して行われる。その結果、APIは攻撃者にとって最も効率的な侵入口となっている。
主なAPI攻撃パターン
- 認証の不備(Broken Authentication):APIキーの漏洩、トークンの不適切な管理により、不正アクセスが発生
- 過剰なデータ公開(Excessive Data Exposure):APIレスポンスに不要な情報が含まれ、攻撃者がそれを悪用
- レート制限の欠如:APIエンドポイントへの大量リクエストを制限する仕組みがなく、ブルートフォース攻撃やDoS攻撃に脆弱
- シャドーAPI:IT部門が把握していないAPIエンドポイントが存在し、セキュリティ対策が適用されていない
関連記事:API連携のセキュリティガイド|OAuth・JWTによる認証設計
クラウド・SaaSリスクのトレンド
設定ミスが最大の脅威
クラウド環境におけるセキュリティインシデントの80%以上が設定ミスに起因するとされている。S3バケットの公開設定、IAMポリシーの過剰な権限付与、ログの未設定など、「攻撃」ではなく「管理の不備」が原因だ。
SaaSの連鎖リスク
複数のSaaSを連携して業務を構成している場合、1つのSaaSが侵害されると連鎖的に影響が広がる。特にOAuth連携で広範な権限を付与している場合、1つのアクセストークンの漏洩が全システムに波及するリスクがある。
中小企業が今すべき対策3つ
対策1:WAF(Webアプリケーションファイアウォール)の導入
自社のWebサイトやWebアプリケーションを保護する最低限の防御策だ。Cloudflare、AWS WAF、Azure WAFなどのクラウド型WAFであれば、月額数千円から導入可能だ。
導入優先度が高いケース:
- ECサイトを運営している
- 顧客情報を扱うWebアプリケーションがある
- 問い合わせフォームがある(スパム対策としても有効)
対策2:ボット対策の実装
Cloudflare Bot Management、reCAPTCHA Enterprise、またはCloudflareの無料プランに含まれるBot Fight Modeを活用する。
最低限の実施事項:
- robots.txtの適切な設定(AIスクレイパーのブロック指定を含む)
- ログイン画面へのレート制限の設定
- 重要なフォームへのCAPTCHAの導入
対策3:API保護の基本を整備
自社で公開しているAPIがある場合、以下の3点を確認する。
- 認証の実装:すべてのAPIエンドポイントに認証を要求しているか
- レート制限:エンドポイントごとにリクエスト数の上限を設定しているか
- APIの棚卸し:IT部門が把握していないシャドーAPIが存在しないか
関連記事:Webアプリケーションセキュリティ|OWASP Top 10対策ガイド
よくある質問(FAQ)
Q. Cloudflareのレポートは自社に関係があるのか?
Cloudflareは世界のインターネットトラフィックの約20%を処理しており、そのデータは業界全体の傾向を反映している。自社がCloudflareを利用しているかどうかに関わらず、レポートで示された脅威トレンドはすべてのインターネット接続企業に該当する。
Q. DDoS攻撃は中小企業も標的になるのか?
なる。むしろ防御体制が薄い中小企業の方が攻撃されやすい面がある。また、直接の標的でなくても、自社サーバーがボットネットの一部として悪用されるリスクがある。Cloudflareの無料プランでも基本的なDDoS防御は提供されるため、最低限の対策は導入すべきだ。
Q. WAFの導入コストはどれくらいか?
クラウド型WAFの場合、Cloudflare Proプランは月額$20(約3,000円)から、AWS WAFは月額$5+リクエスト従量課金で利用可能だ。中小企業のWebサイト規模であれば、月額1〜3万円程度で実用的な防御が得られる。
Q. 自社がAPIを公開していない場合、API攻撃は無関係か?
「公開API」を意識的に提供していなくても、WebアプリケーションのバックエンドでAPIが動作しているケースは多い。SPA(シングルページアプリケーション)やモバイルアプリを提供している場合、そのバックエンドAPIがセキュリティ対策なしで稼働している可能性がある。一度、自社のシステム構成を確認することを推奨する。
まとめ
Cloudflare 2026脅威レポートが示すメッセージは明確だ。DDoS攻撃は前年比358%増、ボットは全トラフィックの33%、API攻撃は44%増——脅威は確実に拡大している。
中小企業が今すべきことは3つだ。
- WAFを導入してWebサイト・Webアプリケーションの基本防御を固める
- ボット対策でスクレイピングやクレデンシャルスタッフィングを防ぐ
- API保護の基本(認証・レート制限・棚卸し)を整備する
いずれもクラウドサービスを活用すれば月額数千円〜数万円で実施可能だ。「うちは狙われないだろう」は最もリスクの高い判断であることを、このレポートの数字が証明している。
関連記事:
自社のセキュリティ対策、現状で十分ですか?
GXOでは、WAF導入、ボット対策、API保護を含む中小企業向けセキュリティ対策の設計・導入を支援しています。「何から始めるべきかわからない」「現状のリスクを把握したい」という方は、まずは無料のセキュリティ診断をご利用ください。
セキュリティ無料診断を申し込む → https://gxo.co.jp/contact
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- [ ] 必須要件、将来要件、今回はやらない要件を分けたか
- [ ] 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- [ ] ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- [ ] 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- [ ] リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
Cloudflare 2026脅威レポート要点解説|DDoS・ボット・API攻撃の最新トレンドと企業の対策を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。