HaveIBeenPwned? \(個人情報の漏えい確認サイト\)

Troy Hunt氏はCloudflareを使用してWebサイトとAPIを保護し、オンラインでの安全性を支援しています。

Troy Hunt氏は、Microsoftのリージョナルディレクターで、独立したインターネットセキュリティの研究者です。彼はインターネットセキュリティブログ www.troyhunt.com ,と HaveIbeenPwned (HIBP) というサービスの両方でよく知られた人物です。HIBPでは、データ漏えいを集約し、Web上の悪意のあるアクティビティによって影響を受けているかどうかを確認できます。Hunt氏の目標は、彼の知識とサービスで、できるだけ多くの人々を助けることです。

Troy Hunt氏の課題:犯罪者に利用されることなく人々を助ける

リソースが限られている場合、できるだけ多くの人を助けることが困難になることがあります。Hunt氏の主な課題は、MicrosoftのAzureインフラストラクチャで実行されているWebサイトとAPIへのトラフィックの急増を管理することです。このようなトラフィックの急増は、パフォーマンスの問題を引き起こし、帯域幅コストが増加し、信頼と整合性がすべてであるサービスのダウンタイムと信頼性の喪失を招きます。大規模な機関でのデータ漏えいが広く公表されると(最近のAshley MadisonやDropboxの情報漏えいなど)、Hunt氏のHIBPサービスでは、トラフィックが急増します。Hunt氏によると、こうしたトラフィックスパイクはCPUを使い果たし、より多くのインスタンスが配備されるまでパフォーマンスを低下させます。Azureの自動負荷処理であるオートスケールは、トラフィックが安定的に上昇するとみごとに機能しますが、トラフィックが突然チャートから外れた場合、パフォーマンスは低下します。」このようなトラフィックスパイクは、パフォーマンスの低下を意味するだけでなく、オートスケールがオンデマンドの負荷に順応するため、急増はHunt氏のウォレットに直接取り付けられたレバーのように機能します。

さらに、Hunt氏はHIBPのAPIを悪用する不正アクターを憂慮していました。APIは、データ漏えいの影響を受けているかを調べるために作成されましたが、Hunt氏は、「このところ、APIが作成された当初の目的にそぐわないような方法で使用されていることを示すさまざまな事例があるのです. . . 」と説明しています。こうした事態が続くことは避けたいのです。」

こうして、Hunt氏はトラフィックスパイクをきっかけにWebパフォーマンスを維持しながら、コストを軽減し、APIの悪用を防止するためのソリューションを探していました。

Troy Hunt氏のソリューション:悪意のある不正アクターのレート制限

Troy Hunt氏は、複数の要件に見合う単一のソリューションをCloudflareのレート制限サービスで見つけました。レート制限は、特定の期間に、Hunt氏がWebサイトとAPIにヒットした個々のIPアドレスからのリクエスト数に制限を設定できるようにすることで、トラフィックスパイクを管理する手助けをします。レート制限では、各ユーザーが特定のリクエストの数に制限されるため、トラフィックの急増によるパフォーマンスの低下を防止します。Hunt氏はこの制限を設定することで、通常のユーザーにはサービスの変更を感じさせずに、Hunt氏のWebサイトとAPIを悪用するユーザーの活動を取り締まることができます。Hunt氏のAPIは正当なトラフィックに対して高いパフォーマンスと信頼性を維持しながら、乱用者をブロックするのです。Hunt氏は次のように称賛しています。「Cloudflareは、正当なサイトユーザーには、サイト全体をより速く、安全なものに変え、安定化させる一方で、コストも削減してくれました。」

HaveIBeenPwned? \(個人情報の漏えい確認サイト\)
主な成果

レート制限により、悪意のあるアクターによるHIBPのAPIの乱用を防止

インフラストラクチャのコストを90%削減

リクエストの99.5%をCloudflareのキャッシュから直接配信

Troy Hunt氏

Rate Limitingによって、サービスを安定的に、コスト効率よく、倫理的に運用できます。

Troy Hunt氏