Web Risk の概要

Web Risk は、Google の安全ではないウェブリソースのリストと照合して、クライアント アプリケーションで URL をチェックできる新しいエンタープライズ セキュリティ プロダクトです。安全でないウェブリソースの例としては、フィッシング サイトや詐欺サイトなどのソーシャル エンジニアリング サイトや、マルウェアまたは望ましくないソフトウェアをホストするサイトがあります。このリストに記載されている URL は安全ではないとみなされます。Google では、安全でないウェブリソースに関する最も正確で最新の情報を提供する取り組みを行っています。ただし、Google の情報が包括的でエラーのないことを保証することはできません。危険なサイトが特定されていなかったり、安全なサイトが誤って分類されたりする可能性があります。

URL がリストにあるかどうかを判断するために、クライアントは Lookup API または Update API を使用できます。

Lookup API

Lookup API を使用すると、クライアント アプリケーションが Web Risk サーバーにステータスを確認するための URL を送信します。この API は Update API の複雑さを回避できるため、シンプルで使いやすい API です。

利点

  • シンプルな URL チェック: HTTP GET リクエストを実際の URL とともに送信すると、サーバーは URL の状態(安全または安全でない)を返します。

デメリット

  • プライバシー: URL はハッシュ化されないため、サーバーが検索する URL を認識します。
  • 応答時間: すべての検索リクエストがサーバーによって処理されます。検索の応答時間は保証されません。

クエリされた URL のプライバシーをあまり気にせず、ネットワーク リクエストによるレイテンシを許容できる場合は、Lookup API を使用することをおすすめします。

Update API

Update API を使用すると、クライアント アプリケーションが、安全でないリストのハッシュ バージョンをローカル データベースにダウンロードし、保存してローカルで確認できます。ローカル データベースで一致するものが見つかった場合にのみ、Web Risk サーバーにリクエストを送信し、URL が安全でないリストに含まれているかどうかを確認します。この API は Lookup API よりも実装は複雑ですが、ほとんどの場合、ローカル検索が可能になるため、より速く処理されます。

利点

  • プライバシー: サーバーとのデータ交換頻度が低く(ローカルのハッシュ プレフィックスと一致した後のみ)、ハッシュ化された URL を使用するため、サーバーはクライアントがクエリした実際の URL がわかりません。
  • 応答時間: Web Risk リストのコピーを含むローカル データベースを維持します。URL を確認するたびにサーバーにクエリする必要はありません。

デメリット

  • 実装: ローカル データベースを設定し、Web Risk リストのローカルコピーをダウンロードして定期的に更新する必要があります(可変長の SHA256 ハッシュとして保存されます)。
  • 複雑な URL のチェック: URL の正規化、サフィックス / プレフィックス式の作成、SHA256 ハッシュの計算を行い、Web Risk リストのローカルコピーとサーバーに保存されたWeb Risk リストを比較する方法を認識している必要があります。

クエリされた URL のプライバシーやネットワーク リクエストによって誘導されるレイテンシが心配な場合は、Update API を使用します。

次のステップ