レート制限は、ユーザーが特定の期間内に実行できるリクエストの数を制御することで、悪用から API を保護します。特定の時間間隔(秒、分、時間)に 1 人のユーザー(または IP アドレス)ができるリクエストの最大数のしきい値を設定します。レート制限は、ユーザーの過剰なリクエストによって API に過負荷がかかりパフォーマンス上の問題が起きたり、サービス妨害(DoS)攻撃や API スクレイピングなどによってセキュリティの脆弱性が生じたりすることを防ぎます。
レート制限とは
レート制限は、所定の期間内に 2 つのシステム間で送信できるデータまたはリクエストの量を制御するのに使用するメカニズムです。不正利用を防止し、システムリソースを保護し、すべてのユーザーが公正利用できるようにします。レート制限を実装することで、組織はサーバーの過負荷リスクを緩和し、ネットワークパフォーマンスを向上させ、全体的なセキュリティを強化できます。
アプリケーション・プログラミング・インターフェース(API)などのデジタルリソースは、本質的に有限です。仮想サーバーが 1 台というように、インフラのリソースが固定されていると考えると、1 分または 1 時間あたりに処理できるリクエストの数には限界があります。このようなリソースの過負荷を防ぐために、リソースの所有者は多くの場合「レート制限」を適用します。これは、所定の期間、ユーザーごとに処理するリクエストの数を制限する方法です。レート制限は、「スロットリング」とも呼ばれます。これは、このプロセスが、空気の流れを制限するためにパイプを狭くする動作のデジタル版だからです。
レート制限には複数の目的があります。レート制限により、デジタルリソースに信頼してアクセスできるため、サービス品質への期待に応えます。レート制限を用いることで、システム所有者はインフラへの不要な投資をしなくて済みます。レート制限は、悪性または不正な使用からデジタル資産を保護するための重要なツールでもあります。また、トラフィックのニーズをより深く理解して、どのように環境を拡張するかを決定できます。
レート制限とは
レート制限はポリシーと考えると最も分かりやすいでしょう。レート制限は、ユーザーがデジタルリソースにアクセスできるレートを制御する一連のルールです。たとえば、ユーザーは 1 分間に何回 Web サイトへのログインの試行ができるでしょうか?レート制限ポリシーがない場合、答えは「望むだけ何度でも」です。レート制限を使用すると、その答えは「ユーザーは 1 分間に最大 3 回ログインを試行できます」になるかもしれません。4 回目のログインをしようとすると、ブロックされます。
レート制限が発生するのは、何らかのハードウェアまたはソフトウェアソリューションによってレート制限ポリシーが適用される場合です。ポリシーとその適用の両方が必要です。ポリシーがなければ、適用は意味がありません。ポリシー適用ポイントがなければ、ポリシーは意味がありません。また、レート制限があることは、リソースの使用率を追跡する監視ツールが存在することになります。このツールは、サーバーの「高温状態」やサイバー攻撃が進行中であることを示す疑わしいアクティビティなど、問題のある状況にフラグを立てます。
レート制限はなぜ重要か
レート制限が重要な理由は、サービス品質、サイバーセキュリティ、財務の主要な運用要素を提供するからです。サービス品質に関しては、リクエストが多すぎてリソースが処理できなくなり、サービスの速度低下や停止につながる状況になることを、レート制限によって防止できます。適切に設計されたレート制限ポリシーがあれば、対象となるすべてのユーザーが同等のサービス品質(QoS)を享受できます。これに関連して、レート制限は、ユーザーによるデジタルリソースの独占を防げるため、公平性を確保するのに役立ちます。
サイバーセキュリティについては、レート制限はさまざまな脅威に対する対策になります。たとえば、サービス妨害(DoS)攻撃は、リソースにリクエストを大量に送り、リソースをシャットダウンしようとします。レート制限により、DoS 攻撃者がこの目標を達成するのをブロックできます。レート制限はまた、高速かつ連続的にパスワードを推測する総当たり攻撃を緩和できます。Credential Stuffing に対しても機能します。これは総当たり攻撃の亜種で、盗んださまざまなユーザー名とパスワードのペアをすばやく試行して、銀行の Web サイトなどのリソースに不正アクセスするものです。
レート制限は、企業の財務面でも役立ちます。デジタル資産には費用がかかるため、効率的に利用すれば、財務成果が良くなります。レート制限により、デジタル資産の使用量が予測可能な範囲内に抑えられます。なぜ重要なのかを理解するために、無制限にアクセスできるユーザーによって引き起こされる大量のトラフィックに対応するために、企業が追加のサーバーの購入を迫られる状況を想定してください。これは採算のとれる投資ではありません。
別の観点から見てみましょう。サービスリクエストにかかるコストです。帯域幅、データセンターの費用、ソフトウェア/ハードウェアの減価償却を考えると、1 回の額はわずか 1 円にも満たないかもしれません。ところが、何百万もの不要なサービスリクエストでシステムが詰まってしまうと、それは多額の浪費につながります。
レート制限が、デジタル資産の収益化の一端を担う場合もあります。たとえば、ある企業では、5,000 回の API コールを 1 週間に 100 ドルでユーザーに許可しています。この API オーナーは、この API コールの最大数を適用するためにレート制限が必要です。
レート制限の仕組み
レート制限は、ユーザー ID またはユーザーのインターネットプロトコル(IP)アドレスに基づいています。レート制限ソリューションは、サービスリクエストに紐付いた IP アドレスを追跡します。IP アドレスは、リクエストされたサービスへの接続ごとに一意のコードを表すため、レート制限ソリューションでポリシー違反のふるまいを効果的にブロックできます。
レート制限の実際のプロセスには、特定の IP アドレスからユーザーが行ったリクエストの総数の追跡が含まれます。レート制限ソリューションは次に、リクエストアクティビティとそのポリシーを照合します。ルールに違反しているユーザーを簡単に検知し、継続を阻止できます。ほとんどの場合、レート制限ソリューションは、ユーザーにエラーメッセージを送信します。
API ページネーションも、API リクエストが行われる時点のレートを制御するために使用するツールです。システムが過負荷にならないように使用され、データを効率的に取得します。この手法は、悪性のリクエストから保護し、データ漏えいのリスクを軽減するのにも役立ちます。リクエストの数を制限することで、サーバーの負荷を軽減し、全体的なパフォーマンスを向上させることもできます。
レート制限の用途
システム所有者はさまざまな理由でレート制限を使用しますが、そのほとんどが QoS とセキュリティに関係しています。その目標はほぼ例外なく、システムを期待どおりに稼働させ、優れたユーザー体験を提供し、デジタル資産を悪性の不正利用から保護することです。主な用途は以下のとおりです。
- リソースの過剰使用による可用性の問題の回避。人気のためかサイバー犯罪によるものかにかかわらず、API などのリソースへの過剰な要求によって、そのリソースを必要とするユーザーが利用しにくくなります。
- IT 資産の他の部分の保護。レート制限により、総当たり攻撃や Credential Stuffing 攻撃によって発生する可能性のあるネットワーク侵入やデータ漏えいのリスクが軽減します。
- クォータと契約の管理。システム所有者は、リソース使用量のクォータを設定したり、アクセスの量とタイミングを制限する契約を求めたりします。レート制限により、これらの契約の実施が可能になります。
- トラフィックとフローの制御。レート制限により、ネットワークトラフィックのフローが定義されたレベル内に維持されるため、速度低下や障害を回避できます。また、たとえば、ストリームを 1 つのデバイスにマージするなど、予測可能な量に基づいてネットワークトラフィックをルーティングするインテリジェントなフロー制御も可能です。
- コストと設備投資の管理。レート制限により、システム所有者は、調達段階で定めたレベルに従って、デジタルリソースにトラフィックを割り当てることができます。たとえば、1 時間に 10,000 件のサービスリクエストを処理するという予測に基づいてサーバーの購入が承認された場合などです。実際のサービスリクエスト数がそれより多い場合は、元の予算には計上されていなかったサーバーの購入が必要になる場合があります。
レート制限の種類
当社では、定義された期間におけるユーザーのサービスリクエストに基づくレート制限に重点を置いています。しかし、リクエストを制限する方法は他にも多数あります。たとえば、レート制限ルールを定めることで、頻度と合計リクエスト量に基づいてリクエストの量を制限できます。ユーザーによる 1 分あたり 10 回を超えるサイトへのログインの試行を禁止することができます。ユーザーによる 1 日に 100 回を超えるログインの試行も禁止することができます。両方のルールを適用可能です。そうしなければ、そのユーザーが 24 時間の 1,440 分のすべてで 1 分あたり 10 回のログインを試みる可能性があります。これは QoS の観点からは望ましくありません。
場所に基づいてレート制限を行うこともできます。フランスのユーザーには 1 日に 200 回のログイン試行が許されるのに対して、ドイツのユーザーに許可されるログイン試行は 100 回かもしれません。また、この種のレート制限ポリシーは、サービスリクエストの再ルーティングをトリガーすることもできます。たとえば、ドイツの過負荷のサーバーからフランスのサーバーにトラフィックを送信できます。
結論
レート制限は、セキュリティを維持し、サービスの中断を防止したいシステム所有者にとって、不可欠の制御であり対策です。また、この手法は、デジタルリソースへの投資で望ましい財務成果をあげるのにも役立ちます。1 分あたりのリクエスト数に関するルールに基づいてアクセスを制限するなど、シンプルな概念ですが、実装には細部にまで注意を払うことが必要です。効果的なレート制限が適用されていれば、使用する資格があるユーザーがサーバーや API などのインフラ要素を利用できるようになります。
よくあるご質問
API セキュリティのほとんどのベストプラクティスで、レート制限の実装に以下のような戦略が一般的です。
- トークンバケット:ユーザーを特定の数のトークンに割り当て、一定のレートで補充します。各 API リクエストはトークンを 1 つ消費し、ユーザーのトークン数は徐々に補充されます。これにより、バースト的なトラフィックやさまざまなリクエストレートに対処できます。
- リーキーバケット:トークンバケットと同様に、このメソッドは、各ユーザーが特定の時間に与えられる試行回数を制御します。ただし、リーキーバケットは、設定された最大値までトークンを積み上げるのではなく、リクエストの安定したフローを確保するために過剰なトークンを「リーク」して、よりスムーズなレート制限を提供し、トラフィックの急激な増加を防止します。
- 固定ウィンドウカウンター:この戦略には、固定時間ウィンドウと許可されるリクエストの最大数の設定が含まれます。リクエスト数が上限を超えると、ウィンドウが更新されるまで後続のリクエストは拒否されます。この戦略は簡単に実装できますが、バースト的なトラフィックパターンの影響を受けやすくなります。
レート制限 API は、遅延やアクセスの問題を引き起こしてユーザー体験に影響を与える可能性があり、「セキュリティ」と「ユーザー体験」の間の最適解を見つけるための微調整が必要です。
レート制限を過度に低くすると、正規ユーザーの応答時間が遅くなる、または拒否エラーが発生する可能性があります。一貫性のないレート制限を行うと、アクセスが断続的になる問題が生じ、動作の信頼性が低下する可能性があります。予想されるトラフィックパターンに基づいてレート制限を微調整することで、この問題はなくなります。コア機能をそのまま維持しながら、必要に応じてスムーズに機能を低下させるアプリケーションを設計することをお勧めします。
透明性と明確性が、API セキュリティのレート制限をユーザーに伝える際に最優先すべきことです。エラーメッセージは HTTP ステータスコード「429 Too Many Requests」を使用し、レート制限が有効であることを示して、許可されているリクエストの最大数や、トークンが追加または更新される前の残っているリクエストについて具体的な情報を提供します。
Akamai が選ばれる理由
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、そして世界中の運用チームが、あらゆるところで企業のデータとアプリケーションを多層防御で守ります。Akamai のフルスタック・クラウドコンピューティング・ソリューションは、世界で最も分散されたプラットフォーム上で、パフォーマンスと手頃な価格を両立します。安心してビジネスを展開できる業界トップクラスの信頼性、スケール、専門知識の提供により、Akamai は、あらゆる業界のグローバル企業から信頼を獲得しています。
