レート制限はどこで、どのように設定しますか?

Question

Accepted Answer

レート制限は、クライアントが時間枠内に行えるリクエスト数に上限を設けます。各レイヤーが異なるものを認識するため**複数のレイヤー**で適用し、**悪用者を識別するもの**をキーにします。

## 設定場所

- **Edge / CDN** — 最初の防御線で、トラフィックがあなたに到達する前です。実装が最も安価です (攻撃者はあなたのオリジンに決してアクセスしません) が粗く、通常は IP でキー指定されます。
- **Reverse proxy** (nginx, Envoy) — CDN を通過するフラッドからオリジンを保護し、ゾーンとバーストの細かい制御が可能です。
- **Application layer** — 最も優れたレイヤー: **ユーザー、API キー、またはトークン**を認識するため、アカウントごとのクォータを適用でき、プロキシが認識できない高価なビジネス操作を保護できます。

## キーの設定と形成方法

- **キー指定:** IP (匿名)、API キー (パートナー)、または認証済みユーザー (アカウントごとの公平性)。
- **Token bucket vs leaky bucket** — token bucket はトークンを蓄積することで短い**バースト**を許可し、その後安定化します。leaky bucket は一定速度に平準化します。ほとんどの API は token bucket を望みます。これにより正当なバーストがペナルティを受けません。
- **ベースライン + 余裕から制限を選択** — クライアントごとの通常のピークを測定し、実ユーザーが決して達しないように上限を十分に上に設定します。
- **`Retry-After` を含む `429 Too Many Requests` を返す** — クライアントはハンマリングの代わりに礼儀正しくバックオフします。

## 例: nginx limit_req

```nginx
# Define a shared-memory zone keyed by client IP.
# rate=10r/s = the steady refill rate (token bucket).
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;

server {
    location /api/ {
        # burst=20: allow a short spike of 20 queued requests
        # nodelay: serve the burst immediately instead of spacing it out
        limit_req zone=api burst=20 nodelay;

# Return 429 (not the default 503) so clients see a rate-limit signal
        limit_req_status 429;

proxy_pass http://backend;
    }
}
```

ここでは各 IP は毎秒 10 リクエストで補充され、最大 20 までバーストでき、それ以上は `429` を取得します。

## なぜ重要なのか

レート制限は、Layer 7 フラッド、認証情報詰め込み、および暴走スクレーパーに対する最も安価で常時稼働している防御です。レイヤー化 (ボリューム用エッジ、オリジン用プロキシ、ビジネスロジック用アプリ) し、正しくキー指定することで、悪用者を阻止しながら実ユーザー (および正当なバースト) を無傷で通過させます。実際のベースラインから制限を設定することが、自分自身の停止にならないようにすることです。