この記事のポイント
- DataDomeが2026年5月20日、エージェンティックコマース向けに設計された世界初を称する仮想待合室「Priority Protect」を発表しました。リクエスト単位で人間・正規AIエージェント・不正ボットを識別し、優先制御まで一気通貫で実行します。
- 従来の仮想待合室は入口で一度だけ通行判定を行う設計のため、セッション中に挙動を変える「休眠ボット」を素通りさせていました。Priority Protectは入室後も継続的に再評価し、信頼判定をやり直せる点が決定的な違いです。
- ChatGPTやGoogleのエージェントが24時間稼働する世界では、すべてのセールが事実上のフラッシュセールになります。EC事業者は「人間 / 正規エージェント / 不正ボット」の三分法を前提に、待合室と優先制御を再設計する必要があります。
エージェンティックコマースに合わせ作り直された「仮想待合室」
DataDome, the leader in bot and agent trust management, today announced Priority Protect, its virtual waiting room solution built for a world where AI agents shop, book, and buy around the clock.
www.businesswire.comボット対策大手のDataDomeが2026年5月20日に発表した「Priority Protect」は、商品ドロップやチケット発売など高需要イベント時のトラフィック制御を、エージェンティックコマースの前提で組み直したプロダクトです。同社が自ら「エージェンティックコマースのために構築された世界初の仮想待合室」と位置づける今回のリリースは、ボット対策と待合室を別レイヤーで扱ってきた従来の業界構造に対する明確な異議申し立てでもあります。
注目すべきは、リリースに添えられた具体的な数字です。あるスポーツイベントの深夜チケット販売で、DataDomeが観測した待合室トラフィックの31%、780万リクエストのうち240万がボットだったと明かしています。チケット業界ではより極端なデータもあり、Queue-itがAkamaiと共同発表した事例ではある大手チケット販売事業者のセールでは全トラフィックの98%がボットと判定されました。スケールの問題から、誰を通すかという信頼の問題へ──仮想待合室の問いそのものが変わりつつあります。
なぜ「待合室」がエージェント時代の急所になるのか
DataDome自身が公開している「Why Virtual Waiting Rooms Fail」という分析記事は、この問題の構造を冷静に解説しています。要点は一つで、従来の待合室は「入口で一度だけ通行判定を行う」設計になっていることです。
入口でマウスの動き、タイミングのばらつき、ブラウザフィンガープリントを評価し、合格者にセッショントークンを渡す。ここまでは合理的に見えますが、攻撃者はこの3〜5秒の評価窓を精密にリバースエンジニアリングしてきます。ヘッドレスブラウザでJavaScriptを完全実行し、住宅用プロキシでIPレピュテーションを回避し、CAPTCHAは商用ファーミングサービスで秒単位の安価さで突破する。一度トークンを掴んだボットは、待合室の中では誰にも疑われなくなる仕組みです。
最も厄介なのが「休眠ボット(dormant bots)」だとDataDomeは指摘します。入室時は人間そっくりのペースで振る舞い、ベロシティ・スパイクもヘッダの異常も出さない。ところが在庫が解放された瞬間、ミリ秒単位でカート投入・フォーム送信・決済完了へ一斉に切り替わる。セキュリティの境界線が「入口」しかない以上、内側で起きるこの豹変を既存システムは検出できません。
ここにAIエージェントが加わると、問題はもう一段難しくなります。OpenAIのオペレーター、Perplexityのショッピング機能、GoogleのGap連携など、正規のAIエージェントが顧客の代理として購買を行う世界が現実化しつつあります。すべての自動トラフィックを一律で弾けば、自社の顧客が代理人を通して放った正規エージェントまで遮断してしまう。かといって素通しすれば、悪意あるボットも一緒に流入する。「人間か、ボットか」という二分法では、もう運用が成り立たないのです。
Priority Protectの仕組み──三分法と継続検証
Priority Protectは、この詰みかけた状況を二つの基本設計で解こうとしています。
第一は、トラフィックを「人間」「承認済みAIエージェント」「ボット」の3カテゴリに分類し、それぞれに別のアクセスポリシーを適用するという三分法です。DataDomeのCPO Pradheep Sampath氏は、リリース内で次のように述べています。
ピークの瞬間は売上を生むべきで、障害を生むべきではありません。人間の顧客と、ボットや認可されていないAIエージェントを区別できない仮想待合室は、公平性を保証する手段を持たないことを意味します。Priority Protectは不正検知を土台に構築されており、列のすべての座席が、本物の顧客か、企業が本当に信頼するエージェントに割り当てられることを保証できます。
第二は、入口での1回判定ではなく、セッション全体を通じた継続的な再評価(continuous in-session validation)です。リクエストごとにサーバーサイド・クライアントサイドの両方の信号を見て、ふるまいが変わった訪問者にはチャレンジを再提示するか、キューから除外する。同社が日々処理する5兆件の信号を背景に、推論はエッジで2ミリ秒以内に完結すると公式プロダクトページは謳います。先ほどの休眠ボットへの直接的な解答がここにあります。
運用面では、ダッシュボードやAPIから容量と放出レートをリアルタイムに調整でき、URL・ドメイン・ページ単位でポリシーを分けられます。さらに「Priority Lanes」という機能が用意されており、ロイヤル顧客や認証済みエージェントを優先列に並べる運用設計が、追加ツールなしで可能になっています。CTO・CISOから見ると、これは単なるセキュリティ機能ではなく「商業的価値の高いトラフィックをどう優先するか」というレベニュー設計の道具です。
業界全体の動きと、DataDomeの立ち位置
仮想待合室市場の主役は長らくQueue-itであり、ボット管理市場の主役はCloudflare、Imperva、Akamai、HUMAN、Kasada、そしてDataDome自身です。両者は本来別レイヤーで、Queue-itは2025年10月にAkamai Bot Managerと統合した「Hype Event Protection」をリリースし、待合室の中にボット検知を持ち込むアプローチを取りました。プリキュー段階で訪問者を分類し、本セール開始時にボットを一斉に弱体化させる、という巧妙な設計です。
Priority Protectが取るのはこれとは別の戦略です。待合室そのものをボット管理ベンダーが提供し、検知エンジンと一体で動かす──いわばQueue-it側ではなくDataDome側からの統合です。検知精度を「99.99%」と公式ページが主張する根拠は、すでにEtsy、PayPal、SoundCloudなどに採用されている既存のボット対策プラットフォームに同じエンジンが乗っているという事実にあります。2024年のForrester Waveで「Bot Management」部門のリーダーに選ばれたという第三者評価も、この主張を裏付ける材料です。
| 観点 | Queue-it × Akamai (Hype Event Protection) | DataDome Priority Protect |
|---|---|---|
| 統合の主体 | 待合室ベンダーが検知エンジンを取り込む | 検知ベンダーが待合室機能を内包 |
| 検証タイミング | プリキューで分類、セール開始時に一括処理 | リクエスト単位で継続的に再評価 |
| エージェント識別 | 人間/ボットの二分法が基本 | 人間/正規エージェント/ボットの三分法 |
| 配信形態 | 別ドメインへリダイレクト型が多い | 自社ドメイン上でブランドを維持 |
Cloudflare、Imperva、Kasada、HUMANといった競合がエージェント時代向けの待合室機能を未だ正式発表していない中で、DataDomeが「待合室」というレイヤーまで踏み込んだ意味は小さくありません。プロダクト境界の引き直しが業界全体で起き始める合図と見るべきでしょう。
EC事業者の実装観点──CDN・WAF・APIとの噛み合わせ
ECサイト側から見たとき、Priority Protectをどう既存スタックに接続するかは現実的な論点です。DataDomeは従来からCDNやWAFの前段・後段に挟む形でデプロイされ、Akamai、Cloudflare、Fastly、AWSなどの主要エッジと統合実績があります。Priority Protectも同じ配信モデルに乗ると見られ、レイテンシは2ミリ秒未満を維持するとされています。
実装担当者が確認すべき論点は、おおむね次のあたりに集約されます。第一に、Priority Protectが顧客自身のインフラ上で動く点です。ユーザーは別ドメインに飛ばされず、ブランド維持と離脱率の両面で従来型待合室より有利です。第二に、APIエンドポイントや決済ステップのようなセッション後半で起きる重要動作にも継続検証が効くこと。休眠ボットの活性化はチェックアウト直前に発生するため、ここでの再評価は実装観点で大きな価値があります。
そして第三に、Agent Trust Frameworkとの組み合わせです。DataDomeは別途「Agent Trust」という機能群を提供しており、認証済みエージェントをホワイトリスト化し、そのトラフィックに対しては別レーンを開く運用が可能になります。OpenAIやVisaが進めるエージェント認証プロトコルが標準化された後、ECサイト側で「どのエージェントを信頼するか」をポリシー化する基盤がここに用意されつつあります。
誤検知対策については、リリース内で「初期顧客から、本物のユーザー向けの体験指標が測定可能な水準で改善した」という定性的な報告にとどまっており、定量的なベンチマークの公開はこれからの課題です。ピーク時の運用品質を判断する材料としては、PoC段階でのファルスポジティブ率の実測が引き続き重要になるでしょう。
まとめ
Priority Protectの登場は、ボット対策と待合室という別物だったレイヤーが、エージェンティックコマースという外圧によって統合されていくプロセスの象徴です。OpenAI、Google、Anthropic、そしてVisaまでがエージェント経由の取引基盤を整え始めた今、ECサイトに求められるのは「全自動トラフィックを敵視する」運用から「自社が信頼するエージェントを優先列に通す」運用への転換です。
次の注目ポイントは二つあります。一つはCloudflareやImpervaが同様の三分法待合室をどのタイミングで投入するか。もう一つは、Priority Protect自身がBlack FridayやCyber Mondayでどれだけの実運用データを積み上げるかです。2026年の年末商戦は、エージェント時代の待合室が最初の本格的な負荷テストを受ける季節になります。
