シークレット管理とは?

シークレット管理とは、ITインフラストラクチャのシークレットを整理、管理、保護するプロセスです。組織はシークレットの保管、送信、監査を安全に行えるようになります。シークレット管理を行うことで不正アクセスからシークレットを保護して組織のシステムが適正に機能するようにします。シークレット管理ツールは、特権認証情報、APIキーなど、ITインフラストラクチャで使用される機密度が高い情報向けの安全な保管システムであり、唯一の信頼できる情報源として機能します。

シークレットマネージャーの詳細と、企業のデータ環境を保護するためにできることに関しては、引き続きこの記事をご覧ください。

シークレットとは?

ITデータ環境においてシークレットとは人間ではない特権認証情報のことで、通常はシステムやアプリケーションで認証目的で使用されたり暗号アルゴリズムへの入力として使用されたりします。シークレットを使用することにより、アプリケーションやシステム間でデータの転送とサービスのリクエストが可能となります。シークレットは非常に機密度が高い情報や特権システムが含まれたアプリケーション、サービス、ITリソースへのロックを解除してアクセスを可能にします。

一般的なシークレットのタイプは以下のとおりです:

  • 人間以外のログイン情報
  • データベース接続文字列
  • 暗号鍵(Cryptographic keys)
  • クラウドサービス・アクセスクレデンシャル
  • アプリケーションプログラミングインターフェース(API)鍵
  • アクセストークン
  • SSH(セキュア・シェル)鍵

なぜシークレット管理は重要?

シークレット管理は、サイバーセキュリティのベストプラクティスであり、使用することで人間以外の認証情報に対してセキュリティポリシーが一貫して適用されます。認証および認可されたエンティティのみが、機密データ、非常に機密度の高いアプリやシステムを含むリソースにアクセスできることになります。シークレット管理ツールを利用すると、シークレットの保存場所、シークレットにアクセスできるユーザー、シークレットの使用状況を可視化できます。

組織が成長し、拡大すると、シークレットスプロールと呼ばれる問題に直面します。組織が持つシークレットの数が増えすぎて管理しきれなくなり、シークレットが組織全体に散逸し、安全でない場所に安全でない手段で保管されるようになってしまう問題です。一元的なシークレット管理ポリシーまたはツールがなければ、組織内のチームそれぞれが独自にシークレットを管理するようになり、シークレット管理がずさんになる可能性があります。それと同時に、IT管理者にとってはこうしたシークレットの保管および利用状況に関して一元的な可視性がなく、監査や制御を行うことができません。

シークレット管理のベストプラクティス

シークレットの数はおびただしいもので、SSHキーだけでも組織によっては数千件にのぼるため、Keeperシークレットマネージャー®のようなシークレット管理ソリューションの利用は必須と言えます。シークレット管理ツールを使用してシークレットを1箇所の暗号化された場所に保管することで、シークレットの追跡、アクセス、管理、監査を簡単に行えるようになります。

しかし、ツールを使用するだけでは限界があります。そのため、シークレット管理ツールを導入した上で、シークレット管理のベストプラクティスも実践する必要があります。

特権と認可ユーザーの管理

シークレット管理ソリューションでシークレットを一元化した後は、認可されたユーザーとシステムのみがシークレットにアクセスできるようにします。これには、ロール (役割) に基づいたアクセス制御 (RBAC) を使用します。ロールに基づいたアクセス制御により、組織内のユーザーの業務内容に基づいてロールと権限を定義し、許可されたユーザーのみがシステムにアクセスできるようになります。これにより、不正ユーザーによるシークレットへのアクセスを防ぐのに役立ちます。

こうしたシークレットを用いて非常に機密性の高いデータにアクセスできるため、シークレットへの特権も管理する必要があります。特権の管理を誤ると、組織ネットワーク内での内部脅威やサイバー犯罪者によるラテラルムーブメント (水平移動) など、特権乱用の被害を受けやすくなります。このため組織は最小特権アクセスを導入する必要があります。これは、ユーザーやシステムには職務の遂行に必要な最小限の機密リソースへのアクセス権のみを付与する、というサイバーセキュリティの概念です。特権を管理し、最小特権アクセスを導入するには、特権アクセス管理 (PAM) ツールを利用するのが最良の方法となります。

シークレットのローテーション

多くの組織では静的なシークレットを使用しているために、時間が経過するにつれてシークレットにアクセスできるユーザーの数が多くなります。シークレットが漏洩したり悪用されたりするのを防ぐため、定期的にシークレットのローテーションを行い、シークレットの有効期間を制限する必要があります。シークレットのローテーションを行うことで、特定のユーザーがシークレットにアクセスできる時間が制限され、業務遂行に必要最低限のアクセス権のみを付与できることになります。これにより、シークレットが過失や悪意のあるユーザーが原因で漏洩するのが防止されます。また、ユニークで強力なパスワード多要素認証を利用してシークレットを保護する必要もあります。

シークレットと識別子の区別

組織では、組織内のすべてのシークレットを確保した上で不正アクセスから保護しなければなりません。ただし、シークレット確保の際にはシークレットと識別子を区別する必要があります。

識別子とは、アイデンティティアクセス管理 (IAM) システムやその他のエンティティでデジタルアイデンティティを参照するために使用されるものです。識別子の一般的な例にはユーザー名やメールアドレスがあります。多くの場合、識別子は組織内で自由に共有され、組織外で共有されることもあります。識別子は、組織のリソースとシステムへの一般的なアクセス権を付与するために使用されます。

対照的に、シークレットは非常に機密性の高いものです。シークレットが漏洩すると、脅威アクターはそのシークレットを使用して高度な特権システムにアクセスすることができるため、組織は大規模な損害、あるいは破壊的な損害さえ被る可能性があります。機密データやシステムへの不正アクセスを防ぐためには、シークレットを厳重に監視および制御する必要があります。

close
ビジネス営業部
サポート
close言語を選択
日本語 (JP) お問い合わせ
App Store でダウンロード Google Play で入手