レート制限
レート制限 とは何ですか?
レート制限レート制限は、識別子(IP、ユーザー、API キー、トークンなど)あたりの単位時間内のリクエスト数を制限する仕組みで、API やアプリを濫用・スクレイピング・総当たり攻撃から守ります。
レート制限はトラフィックシェーピング制御で、識別子ごと・区間ごとのリクエスト数上限を強制し、上限を超えると 429 Too Many Requests を返すかキューイングします。代表的なアルゴリズムは、バーストを許容しつつ平均レートを安定させるトークンバケット、バーストを定常出力に平滑化するリーキーバケット、実装が単純ながら境界でスパイクが出る固定ウィンドウ、より精度の高いスライディングウィンドウなどです。現代の API ゲートウェイ・CDN・WAF は IP・ユーザー・トークン・エンドポイント別といった複数キーのレート制限を実装し、ボット管理やクレデンシャルスタッフィング対策と組み合わせます。スクレイピング、列挙、総当たり、リトライストームに対する最も安価な最初の防御線です。
● 例
- 01
公開ログイン API を IP あたり毎分 10 リクエストに制限し、クレデンシャルスタッフィングを減速する。
- 02
検索エンドポイントにトークンバケットを適用し、バーストを許容しつつスクレイパーを止める。
● よくある質問
レート制限 とは何ですか?
レート制限は、識別子(IP、ユーザー、API キー、トークンなど)あたりの単位時間内のリクエスト数を制限する仕組みで、API やアプリを濫用・スクレイピング・総当たり攻撃から守ります。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
レート制限 とはどういう意味ですか?
レート制限は、識別子(IP、ユーザー、API キー、トークンなど)あたりの単位時間内のリクエスト数を制限する仕組みで、API やアプリを濫用・スクレイピング・総当たり攻撃から守ります。
レート制限 はどのように機能しますか?
レート制限はトラフィックシェーピング制御で、識別子ごと・区間ごとのリクエスト数上限を強制し、上限を超えると 429 Too Many Requests を返すかキューイングします。代表的なアルゴリズムは、バーストを許容しつつ平均レートを安定させるトークンバケット、バーストを定常出力に平滑化するリーキーバケット、実装が単純ながら境界でスパイクが出る固定ウィンドウ、より精度の高いスライディングウィンドウなどです。現代の API ゲートウェイ・CDN・WAF は IP・ユーザー・トークン・エンドポイント別といった複数キーのレート制限を実装し、ボット管理やクレデンシャルスタッフィング対策と組み合わせます。スクレイピング、列挙、総当たり、リトライストームに対する最も安価な最初の防御線です。
レート制限 からどのように防御しますか?
レート制限 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
レート制限 の別名は何ですか?
一般的な別名: スロットリング, API レート制限。
● 関連用語
- network-security№ 291
DDoS 緩和
DDoS 緩和とは、分散型サービス拒否攻撃が標的のネットワーク・インフラ・アプリケーションの容量を使い切る前に、それを吸収・フィルタリング・経路変更する技術とサービスの総称です。
- network-security№ 118
ボット管理
ボット管理は自動化トラフィックを検出し、善良なボットと悪意あるボットを見分けたうえで、それぞれに対して許可・チャレンジ・遮断を行うプラクティスです。
- network-security№ 1219
WAAP
WAAP(Web アプリケーションおよび API 保護)は WAF の現代版で、API セキュリティ、ボット管理、DDoS 対策を単一のクラウドサービスに統合したものです。
- appsec№ 052
API セキュリティ
認証・認可・データ露出・濫用耐性が攻撃下でも崩れないように API を設計・実装・運用する分野。
- attacks№ 232
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
- attacks№ 130
総当たり攻撃
パスワード、PIN、鍵などの候補値を片端から試し、正しい値を割り出す攻撃。
● 関連項目
- № 144CAPTCHA
- № 151CDN セキュリティ
- № 008アカウント列挙
- № 1196ユーザー名列挙