TL;DR:
現在、全トラフィックに占めるボットの割合は 49%と、人間 (51%) とほぼ同等の割合に至っています。
そのボットトラフィックの 99%は、スクレイパー、なりすまし、自動化された攻撃、一般的な自動化など、望ましくないボットです。
検証済みのボットや望ましいボットはわずか 1%で、AI は少数ながら影響力の大きなサブセットとなっています。
ボットトラフィックの特徴はビジネスや業界、地域によって異なります。日本およびアジア太平洋では人間が最も少なく、望ましくないボットが最も多い一方、中南米ではその逆の傾向が見られます。
まとめ:ボットは単なるトラフィックの一部ではなく、コンテンツへのアクセス、消費、露出の方法を形成しており、その存在はビジネスごとに異なる影響をもたらします。
----
AI は、私たちがインターネットをどのように使うかだけでなく、私たちがインターネットにどのように使われるかも変えつつあります。
現在では、アプリケーションや API におけるトラフィックの約半分がボットです。しかし注目すべきは量だけではありません。重要なのは、ボットがどこに向かっているのか、何にアクセスしているのか、そしてほとんどの組織がそれをどれほど可視化できていないのかということです。
Fastly の最新の脅威インサイトレポートでは、Fastly のネットワークにある何兆ものリクエストを分析し、キャッシュコンテンツやオリジンコンテンツとボットがどのようにやり取りを行っているのかを理解することを試みました。そこで私たちが発見したことは、パフォーマンス、コスト、コントロールについて長年提唱されていた仮説への反論となるものでした。またそこからは、ボット戦略を真剣に再考すべき理由も浮き彫りになりました。
トラフィックのほぼ半分は人間によるものではなく、そのほとんどは検証できない
2026年1月の全トラフィックに占めるボットの割合は 49%で、人間 (51%) とほぼ同等でした。それだけでは特に驚くに値しませんが、驚くべきは、そのボットトラフィックの 99%が望ましくない、または検証不能なボットであったことです。
これらは無害なクローラーではなく、次のようなことを行っています。
正当なサービスへのなりすまし
競合企業に関する情報のスクレイピング
脆弱性の調査
アカウント乗っ取り (ATO) のような自動化攻撃
またこれらの多くが検証済みのボットに偽装するため、企業側が不正なデータに基づいてポリシー決定を行ってしまうことも少なくありません。たとえば、ユーザーエージェントという宣言だけを見て「ChatGPT」を許可している場合、それを装ったボットも許可してしまっている可能性があるのです。
ここでほとんどのボット戦略が破綻してしまいます。実際には、「これはボットなのか?」というところで止まってしまうのではなく、「このボットは何をしているのか?」「それを許可すべきなのか?」という判断をしなければなりません。
大切なコンテンツが想定よりも無防備な状態にある
キャッシュコンテンツは一般的にリスクが低いと見なされてきました。迅速かつ安価に提供できるキャッシュコンテンツは、セキュリティの観点からは見過ごされがちです。しかし実は、キャッシュコンテンツへのリクエストの半分近く (47%) はボットによるものなのです。ここで一つの重要な疑問が生じます。ユーザーの目に最も触れる貴重なコンテンツにいったい誰がアクセスしているのか?そしてその目的な何なのか?
多くの組織にとって、その答えは明確ではありません。こうしたボットの中には予想できるものもあるでしょう。戦略的なものもあるでしょう。しかし、ボットをもっと可視化していかなければ、以下のような判断は難しくなります。
どのボットが価値を生み出すのか
どれがリスクになるのか
そもそもどれを許可すべきなのか
ボットは静かにインフラストラクチャコストを押し上げる
ボットがキャッシュを超えると、その問題は可視性からコストへと移ります。こうしたリクエストはキャッシュを飛び越えてインフラストラクチャに直接到達し、データ送信コストを増加させ、最も重要な部分に負荷をかけます。
こうしたトラフィックのすべてが悪意あるものというわけではありませんが、その多くは価値が低く、冗長で、そして (潜在的に!) まったく不要です。
これらのリクエストの意図を理解しないと、その価値に伴う負担を把握できずむやみにコストを増大させる結果になってしまいます。本レポートにより、オリジントラフィック全体の 60%がボットによるものであることが判明しています。つまり組織は、それらがどこにアクセスしようとしているのか、またそれらを許可することでどのような価値を得られるのかを理解する必要があるということです。
AI ボット : 小さくても影響力は大きい
AI はどこにでもあります。つまり、AI に払うべき注意を払わないのは怠惰であるのと同じことになってしまいます。しかし私たちのデータにより、(一見すると単純明快な) AI 会話にあるニュアンスが明らかになってきました。
ボットのうち、検証済みまたは「望ましい」ものは全体のわずか 1%で、AI はそのトラフィックの一部を占めているにすぎません。しかし、その影響力はその割合にそぐわないほど大きなものです。
AI ボットは単にコンテンツにアクセスするだけではありません。そこには、コンテンツの表示、要約、利用を別の形に変える力があります。場合によっては、コンテンツを元のソースから完全に切り離すことも可能です。本レポートで指摘している通り、AI フェッチャーリクエストの 57%はキャッシュされていないコンテンツを対象としており、多くの場合、リアルタイムまたは非常に特殊なクエリに関連付けられている、という傾向があります。
つまりボット戦略とは今やビジネス戦略である
以前はボット管理といえば、セキュリティやインフラストラクチャ面で考慮すべき項目として、控えめな位置に存在していました。しかしそのモデルはもう通用しません。
ボットがトラフィックの半分を占め、オリジン負荷の大半の原因となり、AI システムにおけるコンテンツの表現方法を定義するようになった今、ボットはもはや技術的なエッジケースではなくなり、ビジネスに影響を与える変数になりつつあります。現在のシフトが量のみならず意思決定にも及んでいることは、私たちのデータに明確に示されています。
そして現在ではどのリクエストにも以下のような問いが内在しています。
このボットは、このコンテンツへのアクセスを許可されるべきなのか、どのような状況下で許可されるべきなのか?
許可した場合、ビジネスにどのような影響が及ぶのか?
こうした問いに答えられる企業は現在ほとんどありません。それはデータが不足しているからではなく、ボットのアイデンティティと意図を意味のある形で結びつけられる力が不足しているからです。
それがギャップであり、戦略を進化させるべき部分です。
なぜなら AI 主導のエコシステムにおいては、アクセスこそが鍵になるからです。ブランドがどのように表示されるのか、データがどのように使用されるのか、インフラストラクチャがどのように消費されるのかは、どのボットを許可するかによって決まります。またその影響は往々にして、元のリクエストが行われた後も長期にわたって続きます。
適応できる組織とは、単にブロックを増やしたり、許可を増やしたりする組織ではないだろう。彼らは、誰が何にアクセスできるか、そしてその理由について、意図的かつ詳細な決定を下す立場にある。