TOPSoftware > DevSecOps時代に重要なシークレット管理(前)

Software

DevSecOps時代に重要なシークレット管理(前)

2022/04/26

Chris Hughes CSO

 DevSecOpsを取り入れる動きが広がりつつある。開発、セキュリティー、運用の隔たりをなくし、クラウドネイティブ・アーキテクチャーを活用して、セキュアなソフトウエアの実現を目指す動きだ。だがその中で、シークレット管理の問題が広く見られる。

Credit: DNY59 / Traffic Analyzer / Getty Images
Credit: DNY59 / Traffic Analyzer / Getty Images

 シークレットとは、組織として秘密にしておくべき情報のうち、クレデンシャルやアクセスキー、証明書といった類いの情報を指す。データ侵害についての各種レポートからも明らかなように、クレデンシャルをはじめとするシークレットは、インシデントやデータ侵害に関連する大きな要素の1つである。攻撃の糸口となったり、ラテラルムーブメントに利用されたりすることが多々ある。

 シークレット管理の不備に伴って生じたデータ侵害としては、CodecovやTwitchなどの事例がある。また、最近のサイバー攻撃で韓国Samsungから流出したソースコードの中には、6000件以上の秘密鍵が含まれていた。

 シークレット管理は以前から難題だったが、状況はますます厳しくなっている印象だ。フランスGitGuardianのレポート「State of Secrets Sprawl 2022」によると、GitHubの公開リポジトリを同社がスキャンして発見したシークレットの数は、2021年は600万件を超え、2020年の2倍となった。

 問題の一端は、DevSecOps指向のクラウドネイティブ環境をはじめとして、シークレット管理に対する組織の成熟度が不足している点にある。例えば、インベントリ管理や一元的なアプローチ、アクセスの統制といった面でギャップが見られたり、インシデントへの備えが不足していたりする。インシデントは必ず起きるという意識で臨まなくてはならない。

↑ページ先頭へ