セキュリティチェックシート：APIアクセスログ（レート制限/不正検知含む）

### このページの目的 Web画面だけでなく、API（裏口）からの攻撃やスクレイピング、DDoS攻撃に対する備えを証明します。 ### 得られるもの - API Gateway/WAFの活用アピール - アクセス制限（Rate Limiting）の記述 - 認証エラーの監視 --- ### 回答テンプレート #### パターンA：WAF/Gateway利用（標準） ```text APIへの全てのリクエストは、WAFおよびAPI Gatewayを経由し、アクセス元IP、リクエストパス、レスポンスステータス等のログを取得しています。 単位時間あたりのリクエスト数制限（Rate Limiting）を設定しており、過剰なアクセスやBotによる総当たり攻撃（Brute Force）は自動的に遮断・記録されます。 ``` #### パターンB：トークン監視（詳細） ```text API利用には都度発行されるアクセストークン（JWT）が必須であり、トークン単位での利用状況をログとして追跡可能です。 異常な頻度でのトークン利用や、普段と異なるIPからのAPIコールを検知した場合、当該トークンを即時に無効化する仕組みを有しています。 ``` --- ### 添付・証跡として用意すべきもの 1. **WAFログ**: ブロックされたリクエストのログ。 2. **レートリミット設定**: 「1000 req/min」等の設定画面。 ### やってはいけないNG回答 - ❌ 「APIログは多すぎるので取っていません」（攻撃の痕跡が追えない） - ❌ 「隠しAPIなので大丈夫です」（隠蔽によるセキュリティはNG） ### 最小構成 vs 推奨構成 | 項目 | Minimum（最低ライン） | Recommended（推奨ライン） | |---|---|---| | **対象** | エラー（4xx/5xx）のみ | 全リクエスト（サンプリング可） | | **防御** | なし | WAF/Rate Limitあり |