レートリミットRate Limiting
レートリミットは、APIやWebエンドポイントへのリクエスト数を時間単位で制限する仕組みで、ブルートフォース・DDoS・乱用対策の基本要素です。
詳細解説
レートリミットは、IP・ユーザー・APIキー単位で「N リクエスト / 期間」の上限を設けて超過時に 429 Too Many Requests を返す制御で、ブルートフォース攻撃・スクレイピング・コスト膨張型DoS・APIアビューズの第一防御線です。アルゴリズムは Token Bucket / Leaky Bucket / Fixed Window / Sliding Window / Sliding Window Log が代表で、それぞれバースト許容度と精度のトレードオフがあります。レスポンスヘッダーには X-RateLimit-Limit / X-RateLimit-Remaining / X-RateLimit-Reset / Retry-After が業界慣習で、IETF RFC 9331 で標準化が進んでいます。Cloudflare Rate Limiting・AWS WAF Rate Rules・nginx limit_req・Redis + Lua 等で実装されます。ログイン・パスワードリセット・OTP送信・SMS等の高コスト操作には必須です。
実装例 / 使い方
- 01ログインAPI は 5 req / 5min / IP に制限してブルートフォース対策
- 02Cloudflare Rate Limiting で 100 req / min を超えるIPをチャレンジ
- 03Twitter API v2 は 300 req / 15min のスライディングウィンドウ
関連する用語
ブルートフォース攻撃
Brute Force Attackブルートフォース攻撃は、パスワードやトークンを総当たりで試行し正解を見つける攻撃で、対策はレートリミット・MFA・アカウントロック・強力なハッシュです。...
DDoS 攻撃
Distributed Denial of ServiceDDoS 攻撃は、多数の攻撃元から大量のトラフィックを送り込みサービスを停止させる攻撃で、対策はCDN・スクラビングセンター・レートリミットの多層防御です。...
WAF
Web Application FirewallWAF (Web Application Firewall) は、Webアプリ層の脅威 (SQLi・XSS・LFI 等) をシグネチャや機械学習で検知・遮断する...
OWASP Top 10
Open Web Application Security Project Top 10OWASP Top 10 は、Webアプリケーションの最重要セキュリティリスクを4年ごとに集計するOWASPの代表的ドキュメントで、業界標準のチェックリストとし...
レートリミットを、実際に活用する
用語の意味は分かった。次は実装。EXBANK の無料診断で、貴社で具体的にどう活用できるかをご提案します。
営業時間 平日10-18時 / 通常24時間以内に返信