シークレット管理とは？

• IAM 用語集
• シークレット管理とは？

シークレット管理とは、IT インフラのシークレットを整理、管理、保護するプロセスです。シークレットマネージャーは、IT インフラで使用される特権クレデンシャル、API 鍵、その他のセンシティブな情報のための安全なストレージシステムであり、信頼できる唯一の情報源です。

シークレットマネージャーの詳細と、企業のデータ環境を保護するためにできることに関しては、引き続きこの記事をご覧ください。

シークレットとは？

IT データ環境において、シークレットとは人間以外の特権クレデンシャルであり、多くの場合、システムやアプリケーションが認証のために、あるいは暗号アルゴリズムへの入力として使用されます。シークレットは、センシティブな情報や特権的なシステムを含むアプリケーション、サービス、IT リソースのロックを解除します。

一般的なシークレットのタイプは以下のとおりです：

• 人間以外のログイン情報
• データベース接続文字列
• 暗号鍵（Cryptographic keys）
• クラウドサービス・アクセスクレデンシャル
• アプリケーションプログラミングインターフェース（API）鍵
• アクセストークン
• SSH（セキュア・シェル）鍵

なぜシークレット管理は重要？

シークレット管理は、人間以外の認証クレデンシャルに対するセキュリティポリシーを一貫して強制するためのサイバーセキュリティのベストプラクティスです。そこでは、認証され、許可されたエンティティのみがリソースにアクセスできるようにすることを保証します。

組織の成長に伴い IT および DevOps チームは、インフラのシークレットが複数の場所に散在し、異なる部門、チーム、さらにはチームメンバーまでもがそれぞれの管理下で独自にシークレットを管理するという状況である、シークレットスプロールと呼ばれる問題に直面するようになります。一方、IT 管理者は、これらのシークレットの使用に関する可視性、監査可能性、アラート機能を欠いている状況となります。

シークレット管理のベストプラクティス

シークレットは非常に多く、SSH 鍵だけでも数千にのぼるため、Keeper Secrets Manager のようなシークレット管理ソリューションを使用することが必須となります。Ponemon Institute による 2021 Global Encryption Trends Study によると、28%の組織がシークレットを保護するのにシークレット管理ソリューションを使用しており、33%が今後 1 年以内にシークレット管理ソリューションの使用を展開する予定となっています。

しかしながら、技術的なツールでできることは限られています！シークレット管理ツールを使用する際には、以下のベストプラクティスを実践してください：

適切なアクセス制御を確立する

シークレット管理ソリューションでシークレットを一元化して保護した後は、許可された人物とシステムだけがそのシークレットにアクセスできるようにすることが次のステップとなります。これは、ロールベースのアクセス制御（RBAC）に特権アクセス管理（PAM）と最小特権アクセスを組み合わせることで達成されます。

シークレットのローテーションとジャストインタイム・アクセスの使用

鍵や証明書など様々なシークレットは、通常 30～90 日ごとに定期的なローテーションを必要とします。Keeper Secrets Manager のようなツールを使用することで、このプロセスを自動化することができます。

シークレットローテーションに加え、可能な限りジャストインタイムアクセスを使用します。これは、人間のユーザーとアプリケーションが、指定された期間だけ、知る必要に応じて特権システムにアクセスすることを許可するものです。これは、特権クレデンシャルの漏洩を防ぐためのフェイルセーフです。

シークレットと識別子の区別

識別子とは、ID 管理システムやその他のエンティティがデジタル ID を参照する方法です。ユーザー名と電子メールアドレスが識別子の一般的な例となります。多くの場合、識別子は組織内および組織外で自由に共有されます。

逆に、シークレットは非常に機密性の高いものです。シークレットが漏洩した場合、脅威者（ハッカーなど）はそれを使用して高度な特権を持つシステムにアクセスすることができ、組織は甚大な、または破滅的な損害を被る可能性があります。