レイヤー7とは? | インターネットのレイヤー7の仕組み
レイヤー7は、ユーザーインタフェースのすぐ下にあるOSIモデルにおける1つの層であり、最上位にある層です。この層では、データはユーザーと接するアプリケーションが使用できる形で表示されます。DDoS攻撃はレイヤー7で発生することが多いです。
学習目的
この記事を読み終えると、以下のことができるようになります。
- OSIモデルの仕組みを理解する
- OSIモデルのレイヤー7について理解する
- レイヤー7が「アプリケーション層」と呼ばれる理由を理解する
- レイヤー7に対するDDoS攻撃の仕組みを説明する
記事のリンクをコピーする
インターネットのレイヤー7とは?
レイヤー7は、インターネットのOSI 参照モデルにおける7つの層の最上位層を指します。「アプリケーション層」とも呼ばれています。ユーザーが操作するソフトウェアアプリケーションのすぐ下にまたは裏で発生するデータ処理の最上位層です。たとえば、Webページを読み込むのに使用されるHTTPのリクエストおよびレスポンスはレイヤー7で発生する事象です。
このレベルで発生するDDoS攻撃をレイヤー7攻撃またはアプリケーション層攻撃と呼んでいます。DDoS攻撃はOSI 参照モデルのレイヤー3または4でも発生します。
OSI参照モデルとは?
OSI(開放型システム間相互接続)参照モデルは、ネットワークシステムを7つのレイヤー(層)に分けて、各レイヤーは1つ下のレイヤーから分離したものであるとする考え方です。このモデルでは、各レイヤーはその上下のレイヤーとのみ連係して働きます。
OSI 参照モデルは純粋な理論であり、関係する実際の技術について述べたものではなく、ネットワーク通信において起きることを説明するためのものであることに注意してください。ただし、OSI 参照モデルが概念的なフレームワークだからといって役に立たないということではありません。モデルを参照することは、エンジニア、開発者、およびITプロフェッショナルが、プロダクトやプロトコルの機能およびネットワーク通信プロセスにおける位置付けを正確に特定するのに有益です。
モデルの最下位層が物理層(レイヤー1)です。インターネットインフラストラクチャを構成するケーブル、ルーター、スイッチ、Wi-Fiネットワークを介して情報をやり取りする電気的なパルスの伝送経路を確保します。最上位層のレイヤー7は、プロトコルやサービスアプリケーションが機能するために使用するものです。それらの中間にあるのが、ネットワーク通信においてデータが通過するさまざまな機能やプロトコルです。
各レイヤーの詳しい機能については、「OSI 参照モデルとは?」を参照してください。
レイヤー7はどのような機能を果たすか?
レイヤー7はアプリケーション層と呼ばれていますが、アプリケーションのユーザーインタフェースではありません。むしろ、レイヤー7はユーザー向けのソフトウェアアプリケーションがデータを表示するために使用する機能やサービスを提供します。アプリケーションを家にたとえると、レイヤー7は家そのものではなく土台です。
API呼び出しとAPI応答は、このレイヤーに属し、使用される主なプロトコルはHTTPとSMTP(メールアプリケーションが使用する簡易メール転送プロトコル)です。
レイヤー7はほかのOSIレイヤーとどのように連係するか?
レイヤー7からのデータは、下位の層に引き渡されますが、レイヤー7が対話するのはレイヤー6のみです。データが各層を通過すると、パケットに分割され、一定のレイヤーは各パケットにヘッダーやフッターを追加します。たとえば、レイヤー3では、送信先と送信元のIPアドレスが各パケットに追加されます。最下位層のレイヤー1では、データはビットに変換されて物理的なインターネットを介して転送されます。
送信先に到達すると、データはレイヤー1から上位の層に戻ります。各層にて、ヘッダーやフッターのデータは解釈および削除され、データは次の層で使用できる形に変換されます。データがレイヤー7に到達すると、アプリケーションが利用できるようになります。(これらすべての手順の所要時間はほんの数ミリ秒です。)
OSI 参照モデルの仕組みを理解するうえで重要なのは、各層はやり取りをする相手側の同じレイヤーとのみ交信するということです。レイヤー7のデータは、通信相手となる受信側のレイヤー7によってのみ解釈されます。受信側のほかの層は、単にデータをレイヤー7に引き渡すだけです。同様に、一方のレイヤー3のデータパケットに追加されるIPヘッダーデータは、受信側のレイヤー3によってのみ解釈されます。
レイヤー7に対するDDoS攻撃の仕組み
レイヤー7に対するDDos攻撃(アプリケーション層に対するDDoS攻撃)は、大量のトラフィック(通常はHTTPトラフィック)でネットワークまたはサーバーリソースを過負荷状態にさせようとします。1つの例では、サーバーが飽和状態になり、すべてのリクエストに応答できなくなるまで、1秒あたり数千のリクエストを特定のWebページに送信するというものです。もう1つの例は、サービスがクラッシュするまで、APIを繰り返し呼び出すというものです。通常、レイヤー7に対するDDoS攻撃は、ほかの種類のDDoS攻撃よりも複雑です。
詳細については、「アプリケーション層に対するDDoS攻撃」を参照してください。
OSI 参照モデルとTCP/IPモデルの違いは?
TCP/IPネットワーキングの概念モデルは、OSI 参照モデルの代替となるモデルです。ネットワーキングスタックを7つの層ではなく4つの層に分けます。OSI 参照モデルと似ていますが、完全に一致するわけではありません。TCP/IPモデルでは、「レイヤー7」はありません。これは、純粋に意味論的な区別であり、2つのモデルのネットワーキングの仕組みが異なるわけではありません。
TCP/IPモデルでの4つの層:
- アプリケーション層(HTTPやSMTPのようなプロトコル用)
- トランスポート層(TCPやUDPのようなトランスポートプロトコル)
- インターネット層(インターネットプロトコル)
- ネットワークアクセス層
Cloudflareはレイヤー7に対する攻撃をどのように防止するのか?
Cloudflare DDoS攻撃対策は、標的がどのOSIレイヤーであっても、DDoS攻撃から保護するように構築されています。世界中の275データセンターにネットワークトラフィックをインテリジェントに選別して分散することで、Cloudflareネットワークは大量のレイヤー7トラフィックを吸収することができます。Cloudflareネットワークは、Cloudflareのベストプラクティスに従うことで、こうした攻撃から保護します。