セキュリティ研究者のTroy Hunt氏が設立した人気のデータ漏洩通知サービスHave I Been Pwned社(HIBP)が漏洩情報の可視性向上と将来の機能拡張を目的とした大規模なフロントエンドの再設計を発表した。InfoQ社とのインタビューで、Hunt氏は自動化、ファミリーアカウントの登録、そして企業向けワークフローの改善を次の具体的なステップとして挙げる一方、業界全体でより強力な漏洩情報開示の規範を求めた。
今回のアップデートでは、現代的なユーザーエクスペリエンスが導入され、個人および組織が漏洩した認証情報やドメインをより簡単に監視できるよう支援する新しいページが複数追加された。
Hunt氏は、今回のアップデートが単なる技術的な刷新ではなく、ユーザー層の進化するニーズに応えるものであると強調している。世界中のユーザーとの交流を通じて、「HIBPをより親しみやすく、使いやすいものにしてほしい」という共通のテーマが浮かび上がってきたと述べた。
Hunt氏は、今回の再構築が将来的な機能拡張の基盤を築くものであると述べており、具体的には、パスキーのサポートや委任型アカウント管理など、最新のセキュリティトレンドや実際の使用パターンを反映した機能が含まれるという。例として、家族のメールアドレスを登録できる機能を挙げており、これは他者の非公式な技術サポートを担うユーザーを対象としたものだ。
バージョン2.0のアップデートでは、使いやすさと状況認識の向上を目的としたいくつかの新しいフロントエンド機能が導入された。再設計された検索ページは、より高速な応答時間とすっきりとしたレイアウトを提供し、新しい漏洩ページ(以下)は漏洩の詳細をより明確に分かりやすく表示するようになった。
(出典:troyhunt.com)
新しいダッシュボードページ(以下)は、ユーザーの監視対象のメールアドレスとドメインの結果を一つのビューに統合し、毎回新しい検索をすることなく漏洩活動の継続的な可視性を提供する。
(出典:troyhunt.com)
複数のドメインを管理・監視する有料登録者は、改良されたドメイン検索機能を利用して、組織内で誰が影響を受けたかを確認できるようになった。
さらに、Hunt氏は、ウェブサイトからユーザー名と電話番号検索サポートを削除した理由についても言及している。これらの機能は特定の事件に対応するために導入されたが、その後ほとんど利用されなかったという。これらの機能の削除の決定は、解析の難しさ、通知の制限、そしてユーザーの混乱などの要因に基づいて行われたと説明している。
個人や組織、特に多数のユーザーやドメインを管理する企業からの需要が増加する中、自動化、可視性、そして責任ある情報開示がアプリケーションの継続的な優先事項とされている。InfoQ社は、今回のリリースの背景にある動機や、Troy Hunt氏が考えるHIBPの今後の進化について詳しく聞くために、Hunt氏に取材を行した。
InfoQ社:認証がパスキー、フェデレーションID、そしてAI駆動のセキュリティツールへと移行する中で、HIBPがどのように進化していくとお考えですか?
Troy Hunt氏:これらは確かに前向きな進展ですが、データ漏洩が発生する可能性そのものを大きく変えるものではありません。ただし、漏洩の影響は変わります(例えば、パスキーがパスワードの代わりになることで、漏洩したパスワードによる再利用やアカウント乗っ取りが防げるようになります)。しかし、それでも他の個人識別情報(PII)が漏洩するリスクを完全に防ぐことはできません。
InfoQ社:リリースが公開された今、次にもっとも期待している機能やユースケースは何ですか?
** Hunt氏**:これは少し退屈に聞こえるかもしれませんが、次の優先事項は現在手動で処理しているリクエストの自動化です。具体的には、リセラーが顧客を管理できるようにすることや、Director顧客がチケットを発行せずに見積もりを作成できるようにすることです。これは、企業のコンプライアンスや調達制度をナビゲートする必要がある有料顧客を持つサービスを運営する上での現実であり、できるだけ早くその作業を自動化プロセスに委任したいと考えています。また、私のように他の人の技術サポートを担当するユーザーが家族のメールアドレスを登録できる機能を追加することに非常に興奮しています。
InfoQ社:あなたの考えでは、漏洩通知やデータ保護の分野でまだ十分に対応されていない領域はどこだと思いますか?また、今後数年間でどのような革新が見られる可能性がありますか?
** Hunt氏**:これは私にとって非常に重要な問題であり、実際に世界中を旅して政府や法執行機関とこの件について話し合ってきました。それは『情報開示』です。多くの場合、データ漏洩の被害者は自分の情報が漏洩したことを知らされず、しかもそれが企業にとって完全に合法的な対応であることがほとんどです。この問題については、9月に『データ漏洩開示のジレンマ』という記事で詳しく書きました。