> ## Documentation Index > Fetch the complete documentation index at: https://docs-dev-actions-triggers-prototype.mintlify.site/llms.txt > Use this file to discover all available pages before exploring further. # 不審なIPのスロットリング > 不審なIPのスロットリングの仕組みとAuth0 Dashboardでの設定方法をご説明します。 不審なIPのスロットリングは、短時間に頻繁にログインやサインアップを試みるIPアドレスが見つかった場合に、そのIPアドレスからのトラフィックをブロックします。そうすることで、アプリケーションが複数のアカウントを狙った高速な攻撃から保護されます。 不審なIPのスロットリングは、Auth0テナントの作成時にデフォルトで有効になります。Auth0は、IPアドレスからのサインアップ試行またはログイン試行の失敗回数が多いことを検出すると、そのIPアドレスのスロットリングが解除されるまで、後続の試行に対して[HTTP 429 Too Many Requestsステータスコード](https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/429)で応答します。 ## 不審なIPのスロットリングを設定する 不審なIPスロットリングは、[Auth0 Dashboard](https://manage.auth0.com/#)または[Auth0 Management API](https://auth0.com/docs/api/management/v2/attack-protection/patch-suspicious-ip-throttling)を使用して構成できます。 Auth0では、不審なIPのスロットリングを無効化しないことを強くお勧めします。 1. [[Dashboard]>[Security(セキュリティ)]>[Attack Protection(攻撃防御)]](https://manage.auth0.com/#/security/attack-protection)に移動し、**[Suspicious IP Throttling(不審な IP スロットリング)]** を選択します。 2. ページ上部にあるトグルを選択して不審なIPのスロットリングを有効または無効にします。 Auth0 不審なIPのスロットリング設定 ## 信頼できるIPアドレスにスロットリング制限の超過を許可する **IP AllowList** に最大100個の個別のIPアドレスおよび/またはCIDRレンジ(IPv4またはIPv6)を追加することで、不審なIPスロットリングを除外することができます。これらのIPアドレスが上限値を超えても、ブロックされず、テナント管理者にアラートが送られることもありません。 1. [[Dashboard]>[Security(セキュリティ)]>[Attack Protection(攻撃防御)]](https://manage.auth0.com/#/security/attack-protection)に移動し、**[Suspicious IP Throttling(不審な IP スロットリング)]** を選択します。 2. **[IP AllowList]** フィールドに、無制限のログインおよびサインアップ試行を許可するIPアドレスおよび/またはCIDRレンジを入力します。IPアドレス・CIDRレンジが複数ある場合は、カンマで区切ります。 ## 応答を構成する デフォルトでは、あるIPアドレスが不審であるとマークされると、Auth0がテナント管理者宛てにメールを送ります。 高速なログイン・サインアップに対してAuth0がどのように応答すべきか設定することができます。 応答の設定をまったく有効にせずに攻撃防御機能を有効にすると、モニタリングモードが作動し、関連イベントがテナントログにのみ記録されます。詳細については、「[攻撃防御のログイベントを表示する](/docs/ja-jp/attack-protection/view-attack-protection-events)」をお読みください。 1. [[Dashboard]>[Security(セキュリティ)]>[Attack Protection(攻撃防御)]](https://manage.auth0.com/#/security/attack-protection)に移動し、**[Suspicious IP Throttling(不審なIPスロットリング)]** を選択します。 2. **[Response (応答)]** セクションを見つけます。 3. **[Block Settings(ブロック設定)]** セクションで、**[Limit high-velocity traffic targeting too many accounts(多数のアカウントをターゲットとする高速トラフィックを制限する)]** を有効にして、ログインまたはサインアップしきい値を超えるIPアドレスからのトラフィックを制限します。 4. **[Notifications(通知)]** セクションで、**[Send notification to account administrator(アカウント管理者に通知を送信する)]** を有効にして、IP アドレスがログインまたはサインアップしきい値を超えたときにテナント管理者に自動的にメールを送信します。 5. **[Save(保存)]** を選択します。 ## スロットリングの制限値とレートを設定する Auth0では、不審なIPのスロットリングをカスタマイズできます。次の設定が変更できます。 * 1つのIPアドレスに対して許可されるログイン・サインアップ失敗の最大回数。 * スロットリング対象となったIPアドレスが新たなログイン・サインアップを試行できるレート。 最大試行回数とスロットリング率、およびその仕組みの詳細については、[[How suspicious IP throttling works(不審なIPスロットリングの仕組み)]](#how-suspicious-ip-throttling-works)をお読みください。 1. [[Dashboard]>[Security(セキュリティ)]>[Attack Protection(攻撃防御)]](https://manage.auth0.com/#/security/attack-protection)に移動し、**[Suspicious IP Throttling(不審なIPスロットリング)]** を選択します。 Auth0 Dashboardで不審なIPのスロットリングをカスタマイズ 2. **[Detection(検出)]** セクションを見つけます。 3. **[Suspicious IP Thresholds(不審なIPしきい値)]** で **[カスタム(Custom)]** を選択します。 4. **[Login Threshold(ログインしきい値)]** 設定を構成します。 * **最大試行回数** :1つのIPアドレスが失敗できるログイン試行回数(1日当たり)を入力します。この値を超えるとAuth0にブロックされます。 * **スロットリングレート** :新しいログイントークンを付与するレートを入力します。 5. **[Signup Threshold(サインアップしきい値)]** 設定を構成します。 * **最大試行回数** ::1つのIPアドレスからのサインアップ試行回数(1分当たり)を入力します。この値を超えるとAuth0にブロックされます。 * **スロットリングレート** ::新しいサインアップトークンを付与するレートを入力します。 6. **[Save(保存)]** を選択します。 ### 不審なIPのスロットリングの仕組み Auth0では、ログインの試行とサインアップの試行が別々にカウントされます。ログイン試行がブロックされているIPアドレスでもサインアップの試行は可能で、サインアップ試行がブロックされているIPアドレスでもログインの試行は可能です。 #### ログイン試行 Auth0は、1日にログイン試行とログイン失敗の回数が多すぎるIPアドレスを制限します。ログインのスロットリング率によって、Auth0が1つのIPアドレスに対して24時間に容認するログイン試行回数が決まります。たとえば、スロットリング率が100の場合、Auth0は約15分ごとに1回のログイン試行を許容します。 #### サインアップ試行 Auth0は、1分間にサインアップ試行の合計回数が多すぎるIPアドレスを制限します。たとえば、1つのIPアドレスが50回サインアップしようとした場合、Auth0はそれ以降のサインアップ試行をブロックします。ログインの場合とは異なり、サインアップ試行では失敗は考慮されません。 サインアップスロットリングレートによって、1つのIPアドレスに対して24時間に許容されるサインアップ試行の回数が決まります。たとえばスロットリングレートが72,000の場合、およそ毎秒ごとに新しい試行が許可されます。 #### 不正な要求とスキーマの検証エラー 正しい構造やフォーマットに従っていないログイン・サインアップ要求は、有効な試行とみなされないため、設定したしきい値にカウントされません。 ログインおよびサインアップ要求の詳細については、[Auth0 Authentication API](https://auth0.com/docs/api/authentication)をお読みください。 ## 特殊なケース 不審なIPのスロットリングは、ユーザーのIPアドレスに応じて行われるため、次のようなユースケースではさらなる設定が必要になります。 * **アプリケーションのバックエンドからリソース所有者のパスワード付与を使用している** :この呼び出しでは、ユーザーのIPアドレスが取得されませんが、不審なIPのスロットリングを正常に機能させるために、要求の一部としてユーザーのIPアドレスを送信するようアプリケーションを設定することができます。[リソース所有者のパスワードフローと攻撃防御のよくある不具合を回避するサーバーからユーザーのIPアドレスを送信します](/docs/ja-jp/get-started/authentication-and-authorization-flow/resource-owner-password-flow/avoid-common-issues-with-resource-owner-password-flow-and-attack-protection)を参照:。 * **同一のIPアドレスから多数のユーザーを認証** :複数のユーザーが1つのプロキシを経由すると、制限回数に達してアクセス制限を引き起こしがちです。そのようなプロキシの場合、IPとCIDRレンジをAllowListに含めれば、不意のアクセス制限を防げます。[リソース所有者のパスワードフローと攻撃防御のよくある不具合を回避するIPアドレスを信頼するようにアプリケーションを構成します](/docs/ja-jp/get-started/authentication-and-authorization-flow/resource-owner-password-flow/avoid-common-issues-with-resource-owner-password-flow-and-attack-protection)を参照:。 ## もっと詳しく * [総当たり攻撃防御](/docs/ja-jp/secure/attack-protection/brute-force-protection) * [ボット検知](/docs/ja-jp/secure/attack-protection/bot-detection) * [パスワード漏洩検知](/docs/ja-jp/secure/attack-protection/breached-password-detection) * [アカウントのブロック通知メールをカスタマイズする](/docs/ja-jp/customize/email/customize-blocked-account-emails) * [攻撃防御のログイベントを表示する](/docs/ja-jp/secure/attack-protection/view-attack-protection-events) * [ユーザー/パスワード認証のレート制限](/docs/ja-jp/troubleshoot/customer-support/operational-policies/rate-limit-policy/database-connections-rate-limits)