Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモを見る
無料トライアル お問い合わせ

シークレット管理: 認証のためのツールと方法

アダプティブな多要素認証でデータ漏えい、弱いパスワード、フィッシング攻撃に対抗する方法を解説します。

更新済み: 2024年09月02日 読了目安時間: ~

トピック

Security

目次

 

この記事は機械翻訳されました。

 

シークレットと呼ばれる人間以外のアイデンティティと特権付き認証情報は、シークレット管理と呼ばれるプラクティス、ツール、プロセスを通じて保護されます。これらのシークレットには、ITネットワーク全体のデジタル環境にある機密情報が含まれます。これらはセキュリティで保護し、信頼できるエンティティのみがアクセスする必要があります。デジタル環境は複雑で絶えず変化しているため、シークレットの保存、送信、監査は複雑になる可能性があります。包括的で、包括的で、広範で、自動化されたソリューションは、通常、シークレット管理のための最も安全な環境とベストプラクティスを提供します。

シークレット管理の定義

テクノロジーの世界では、デジタル認証ツールを指し、次のようなものが含まれます。

  • APIキー、およびその他のアプリケーション (アプリケーション) キーと認証情報
  • 自動生成されたパスワードまたはユーザーパスワード
  • データベースを含むシステム間パスワード
  • SSH鍵
  • プライベート暗号化キー
  • TLSやSSLなどの安全な通信、データの送受信のためのプライベート証明書
  • RSAおよび追加のワンタイムパスワードデバイス
  • 特権付き アカウント 認証情報

シークレット管理とは、これらのシークレットを保護し、承認および認証されたエンティティのみがアクセスできるようにすることです。シークレット管理には、デジタル環境におけるポリシー、プロセス、ツールが含まれます。ITには、次のようなものがあります。

  • アクセス要求の認証 using non-human 認証情報
  • シークレットの自動管理
  • 一貫性のあるアクセスポリシー
  • 最小権限の原則の施行(可能な限り低いレベルのアクセスを許可する)
  • 認証情報とシークレットを頻繁にローテーションする
  • ロールベースのアクセスコントロール (RBAC) の利用 ( ロールに基づくアクセスの許可 )
  • 包括的な監査を維持し、すべてのアクセスを追跡します
  • 保護されていない領域 (コードや構成ファイル内を含む) からのシークレットの削除

シークレット管理は、人為的エラーを減らし、 アプリケーション(アプリケーション)とパイプラインを安全に保つのに役立ちます。

秘密管理の課題

アプリケーション (アプリケーション) シークレットとデジタル認証認証情報は、慎重に管理する必要がある複雑な IT インフラストラクチャの一部です。 シークレット管理に関する課題には、次のようなものがあります。

  • シークレットの範囲は大きく、多くの場合、完全な監視が行われていません。 シークレットは、たとえば、チームや組織の特定の部分に保持されていることが多く、インフラストラクチャ全体では見えません。これにより、監査にセキュリティのギャップや課題が残る可能性があります。
  • 認証情報はハードコードされていることが多く、簡単に解読できます。 Application (アプリケーション) と lOT デバイスには、通常、デフォルトの認証情報が付属しています。 DevOps ツールには、多くの場合、ファイルやスクリプトにすでにハードコードされたシークレットがあります。これにより、シークレット管理の自動化にセキュリティリスクが生じる可能性があります。
  • 複雑なインフラストラクチャには、多くの場合、複数のクラウドサービスが含まれており、すべてに管理が必要な独自のシークレットがあります。
  • DevOps 環境は、シークレットを適切に実行するために必要とする多数のスクリプトと自動化プロセスに依存しています。これらのシークレットは、適切なセキュリティプラクティスを使用して管理する必要があります。
  • 大規模なインフラストラクチャや環境では、統合が難しい場合があります。シークレットの管理に使用されるツールは、セキュリティスタック内の他のツールや DevOps スタックのすべての部分と適切に連携する必要があります。
  • リモートアクセスと許可されたサードパーティアクセスを適切に使用する必要があり、これらのユーザーのシークレットも管理する必要があります。

シークレットを管理するためのベスト プラクティス

ソフトウェアシークレットの管理に関する問題の一部は、シークレット自体です。シークレットは強力である必要があるため、長く、複雑で、定期的に変更する必要があります。秘密が漏洩する原因は人間であることが多いため、秘密の作成と保存には人間的な要素があります。シークレット管理を自動化することで、人為的ミスの要因を取り除くことができます。パスワードは定期的にローテーションする必要があります。自動化はこれを達成 し、漏れのリスクを減らすのに役立ちます。
シークレット管理のベスト プラクティスには、次のものがあります。

  • 一元化された管理システムですべてのパスワードを特定し、追跡します。
  • ハードコードされたシークレット、組み込むシークレット、デフォルトのシークレットをすべて削除します。
  • 機密性の高いシステムのワンタイムパスワード、パスワードのローテーション、特権の分離、最小権限の原則(PoLP)など、セキュリティのベストプラクティスを強制します。
  • シークレット管理をパートナーやベンダーにまで拡大し、サードパーティもベストプラクティスに準拠していることを確認します。
  • 特権付き セッション monitoring を使用して、アクティビティのログ、監視、および監査を行います。
  • シークレットを継続的に分析して、脅威と異常の検出に取り組みます。
  • DevOpsライフスタイルにセキュリティを組み込み、コードにパスワードが組み込むことのないようにします。

シークレット管理は、自動化され、統合され、包括的で、ITインフラストラクチャ全体をサードパーティまで網羅する必要があります。

シークレット管理のソリューション

シークレットは、簡単にハッキングされたり、権限のないユーザーがアクセスしたりできる場所に保存しないでください。これは、ソースコードやアプリケーション(アプリケーション)システムからそれらを遠ざけることを意味します。 今日、市場には、秘密を保存および維持するのに役立ついくつかの種類の秘密管理ツールがあります。それらの多くは、機密情報を保存および管理するための方法または外部の場所を提供します。優れたシークレット管理ソリューションは、アプリケーション (アプリケーション) パスワードを管理し、ハードコードされたパスワードを排除し、スクリプトのシークレットを管理し、容量や使用が限られているだけでなく、 IT インフラストラクチャ全体で機能します。 この包括的なシークレット管理の形式は、より広範で包括的であり、ITをより効果的、安全、効率的にします。 すべての大手クラウドサービス プロバイダーにはシークレット マネージャーがいますが、複数のクラウドサービスを使用している場合は、外部のシークレット マネージャー ツールを使用すると、物事をシンプルに保つことができます。 シークレット管理サービスを使用すると、物事を安全、統合、自動化に保つのにも役立ちます。シークレット管理ツール、プラクティス、およびプロセスを組み合わせることができます。複数のツールを一緒に使用して、さらにセキュリティを高めることができます。

シークレット管理のユースケース

デジタル認証認証情報がある環境であれば、シークレット管理の恩恵を受けることができます。 シークレットを適切に管理することで、サイバー攻撃や、特権付き情報や機密情報にアクセスしようとする悪意のある人物から身を守ることができます。 シークレット管理の最も一般的なユースケースは、以下の4つです。

  1. コンテナのシークレット管理: コンテナは、エンジニアリングチームやDevOpsチームが生産性を向上させ、移植性を向上させるためによく使用されます。機密情報にアクセスするためにはシークレットが必要ですが、短期間しか使用されないため、追跡や安全性の確保が難しくなる可能性があります。 シークレット管理プロセスは、コンテナリクエストを認証し、重要な情報へのアクセスを保護および制御するのに役立ちます。
  2. CI/CD パイプラインのシークレット管理: CI/CD パイプラインツールは、スピードと効率性を追求して作られており、セキュリティの課題がないわけではありません。 これらは、HTTPS サービス、データベース、SSH サーバーなどの保護されたリソースにアクセスするためにシークレットを必要とする自動構成管理ツールです。彼らはしばしば、安全でない形でハードコードされた秘密を持っています。シークレット管理を使用すると、これらのデフォルトのシークレットを削除して保護できます。
  3. COTSと社内で開発されたアプリケーション(アプリケーション)を保護するためのシークレット管理: サードパーティのソリューションとツール、 IT 管理ツール、および社内で開発されたスクリプトとアプリケーション (アプリケーション) には特権アクセスが必要であり、多くの場合、ハードコードされた認証情報が付属しています。 シークレット管理ソリューションは、これらのハードコードされた認証情報を削除し、より安全なシークレットを作成して、効果的に保存、管理、およびローテーションできます。
  4. 自動スケールとエラスティック環境のシークレット管理: 自動スケーリング機能はクラウドプロバイダーによって提供され、効率を向上させるだけでなく、セキュリティの管理に課題が生じることもあります。シークレット管理の実践により、セキュリティと自動化をリアルタイムで強化できると同時に、人間のオペレーターが各ホストに手動でポリシーを適用する必要がなくなります。

シークレット管理では、セキュリティのベスト プラクティスを実施する必要があります。ITは 必要なだけ複雑にすべきであり、システムは引き続き管理可能です。 シークレット管理プログラム、ポリシー、およびツールは、人為的ミスの一部を排除し、使いやすさを維持しながらセキュリティを向上させるように設計されています。

参考文献

シークレット管理によるパイプラインの保護。(2021年6月、ニュースタック。

秘密の管理設計上の決定:理論と例。(2018年3月)。サンダー・クナペ。

シークレット管理アーキテクチャ: セキュリティと複雑さのバランスを見つける。(2017年6月)。スラローム。

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ