Web Risk の概要

このページでは、Web Risk の概要を紹介します。

概要

Web Risk は、Google の安全ではないウェブリソースのリストと照合して、クライアント アプリケーションで URL をチェックできる新しいエンタープライズ セキュリティ プロダクトです。安全でないウェブリソースの例としては、フィッシング サイトや詐欺サイトなどのソーシャル エンジニアリング サイトや、マルウェアまたは望ましくないソフトウェアをホストするサイトがあります。このリストに記載されている URL は安全ではないとみなされます。Google では、安全でないウェブリソースに関する最も正確で最新の情報を提供する取り組みを行っています。ただし、Google の情報が包括的でエラーのないことを保証することはできません。危険なサイトが特定されていなかったり、安全なサイトが誤って分類されたりする可能性があります。

URL がリストに含まれているかどうかを判断するには、Lookup API または Update API を使用します。

Lookup API

Lookup API を使用すると、クライアント アプリケーションから Web Risk サーバーに URL を送信してステータスを確認できます。この API は、Update API の複雑さを回避するため、シンプルで使いやすいものです。

メリット

  • シンプルな URL チェック: HTTP GET リクエストを実際の URL とともに送信すると、サーバーは URL の状態(安全または安全でない)を返します。

デメリット

  • プライバシー: URL はハッシュ化されないため、サーバーが検索する URL を認識します。
  • 応答時間: すべての検索リクエストがサーバーによって処理されます。検索の応答時間は保証されません。

クエリされた URL のプライバシーをあまり気にせず、ネットワーク リクエストによるレイテンシを許容できる場合は、Lookup API を使用することをおすすめします。

Update API

Update API を使用すると、クライアント アプリケーションで、安全でないリストのハッシュ バージョンをダウンロードしてローカル データベースに保存し、ローカルで確認できます。ローカル データベースで一致するものが見つかった場合にのみ、Web Risk サーバーにリクエストを送信し、URL が安全でないリストに含まれているかどうかを確認します。Lookup API より実装は複雑ですが、ほとんどの場合でローカル検索が可能になるため、より速く処理されます。

メリット

  • プライバシー: サーバーとのデータ交換頻度が低く(ローカルのハッシュ プレフィックスと一致した後のみ)、ハッシュ化された URL を使用するため、サーバーはクライアントがクエリした実際の URL がわかりません。
  • 応答時間: Web Risk リストのコピーを含むローカル データベースを維持します。URL を確認するたびにサーバーにクエリする必要はありません。

デメリット

  • 実装: ローカル データベースを設定し、Web Risk リストのローカルコピーをダウンロードして定期的に更新する必要があります(可変長の SHA256 ハッシュとして保存されます)。
  • 複雑な URL のチェック: URL の正規化、サフィックス / プレフィックス式の作成、SHA256 ハッシュの計算を行い、Web Risk リストのローカルコピーとサーバーに保存されたWeb Risk リストを比較する方法を認識している必要があります。

クエリされた URL のプライバシーやネットワーク リクエストによって誘導されるレイテンシが心配な場合は、Update API を使用します。

次のステップ