AtlassianのBitbucketは業界をリードするバージョン管理およびコラボレーションプラットフォームであり、チームがGitリポジトリにコードを簡単にホストできると同時に、開発プロセスをこれまで以上に円滑に効率化します。
コードがデプロイされ変更されるにつれ、パスワード、APIキー、機密認証情報などの機密情報が誤って公開されるという固有の危険性が残ります。シークレットスキャンは、リポジトリを定期的にスキャンして不注意による情報漏えいを検出する、この分野の監視役です。
Bitbucket シークレットスキャンのコア機能から、その重要性の理解、効果的な使用方法、限界の認識、SentinelOne の効果的な活用方法まで、詳しくご説明します。SentinelOne が、信頼できるサイバーセキュリティのパートナー、そして保護者となる方法を探ります。
Bitbucket シークレットスキャンとは?
Bitbucket シークレットスキャンは、Bitbucket に統合された機能であり、コードの変更をリアルタイムで監視および評価します。開発者が変更をコミットしてリポジトリにプッシュすると、このスキャンメカニズムがデータを分析し、開発者が変更をレビュー可能にした際に、API キー、OAuth トークン、データベース認証情報と一致するパターンを探します。
その中核となるのは、高度なパターン認識技術です。単純な平文のシークレットを見つけるだけでは満足せず、スキャナーはヒューリスティック、正規表現、既知のシークレット構造を使用して、潜在的な露出を迅速に特定し、誤検知と誤否認を最小限に抑える効果的な検出メカニズムを実現します。Bitbucket Secret Scanningは、複数のサードパーティサービスやプラットフォームからシークレットを効率的に特定するサポートを提供します。発見した潜在的なシークレットをフラグ付けするとともに、その漏洩に対処する最善の方法に関するツールや提案を提供し、開発者がコードベース内の漏洩に対して迅速に対処し、効率的にセキュリティを確保するのを支援します。
Bitbucketシークレットスキャニングが重要な理由とは?
ソフトウェア開発プロジェクトでは、セキュリティが機能性やリリース速度に後回しにされることが少なくありません。しかし、機密情報のわずかな漏洩でさえ、企業にとってデータ侵害財務損失に至るまで、企業に壊滅的な影響をもたらす可能性があります。Bitbucket Secret Scanningを防御策として活用し、重大な脅威となる前に脆弱性を積極的に検出することが私たちの目標です。
このようなスキャン機構なしに行われるコミットやプッシュは、目隠し射撃のようなものです。潜在的なリスクが潜んでいるかどうかもわからない状態です。Bitbucketはこうした偶発的な漏洩を即座に特定・対処し、コードのセキュリティ層を強化します。
Bitbucketシークレットスキャンの5つの重要ポイント:
- データセキュリティ:シークレットスキャンにより、API キーやデータベース認証情報などの機密情報は、不正アクセスや潜在的なデータ侵害から保護されます。
- データプライバシー法の遵守: 個人データの保護は、多くの企業にとってベストプラクティスであると同時に法的義務でもあります。シークレットスキャンは、企業がデータ保護規制を順守するのに役立ちます。
- 評判管理:データ侵害は組織の信頼性を損なう可能性があります。積極的にリスクを認識し是正することで、組織はブランドの信頼性を維持できます。
- コスト効率性:脆弱性が発生した後の対応は、リスク低減のためのシークレットスキャニングなどの予防策よりも費用がかかる場合があります。シークレットスキャニングは将来の侵害に対する効率的なコスト削減策として機能します。
- 開発者の生産性:潜在的な脆弱性に関するリアルタイムのフィードバックにより、開発者は後で戻ってデバッグするのではなく、問題を即座に対処できます。
CNAPPマーケットガイドBitbucketシークレットスキャンの使用方法とは?
Bitbucketシークレットスキャンは、コードベースの保護を強化するために特別に構築された統合セキュリティツールです。このプロセスでは、開発中に誤って埋め込まれる可能性のあるトークン、パスワード、秘密鍵などの潜在的に機密性の高い素材をコード内でスキャンします。
新規コミットで潜在的なシークレットが検出されると、直ちに通知が配信されます。通知先は責任者だけでなく、その特定のコミット履歴に関わる全ての関係者に及びます。メールサーバーが設定されていなくても、Bitbucketは検出されたシークレットを記録する監査ログを維持します。このログは管理セクションからアクセス可能で、システム上にファイルとして保存できます。
- シークレットスキャナーのカスタマイズ
- 検出された問題の解決
- 漏洩したシークレットの追跡と監視
- 誤検知の微調整と削減
1.シークレットスキャナーのカスタマイズ
デフォルトでは、シークレットスキャナーは事前定義されたパターンを使用してリポジトリをスキャンします。これらは一般的なシークレットの大半を効率的に検出しますが、必要に応じて動作をカスタマイズする余地があります:
- ルール変更: システム、プロジェクト、またはリポジトリ設定からシークレットスキャンを有効化し、行パターンやパスパターンに正規表現を使用して既存ルールを作成・変更できます。両パターンを同時に指定した場合、スキャナーはそのパターンで明示的に指定されたパスのみを検索します。
- 許可リストのカスタマイズ: 許可リストのカスタマイズにより、特定の一致が通知を起動しないように定義できます。これにより、機密情報を含まないにもかかわらずスキャナールールによって誤ってフラグが立てられるパターンをバイパスするのに理想的な方法となります。スキャナールールと同様に、許可リストルールも必要に応じてカスタマイズできますが、許可リストルールより前に発生した一致はスキャンルールよりも優先されます。
- スキャン対象除外: 全体レベルおよびプロジェクトレベルの両方で、特定のリポジトリをシークレットスキャンの対象から除外できます。これらのリポジトリからの新規コミットは、現時点ではスキャン対象となりません。
2.検出された問題の解決
スキャナによって検出されたシークレットは、すべて漏洩したものとみなされ、元のプラットフォーム上で直ちに無効化され、適宜置き換えられる必要があります。Git の履歴から削除するだけでは不十分です。他のブランチ、プルリクエスト、ローカルに保存されたコピー内に残存する可能性があります。したがって、最善の結果を得るためには、ソースで直接秘密鍵を無効化することを推奨します。
誤検知が発生した場合、管理者はスキャナー設定の調整を検討してください。これには正規表現パターンの修正、スキャン対象ファイルパスの指定、または正当なシークレットに該当しないパターンのみを列挙した許可リストの作成が含まれます。
3.漏洩したシークレットの追跡と監視
Bitbucketシークレットスキャンは、メールサーバーを設定していなくてもシークレットが検出された事例を記録するプロアクティブな監視ソリューションを提供します。これにより、システムによって検出されない事例が発生しないことが保証されます。
Bitbucketは管理インターフェースから簡単にアクセスできる監査ログを提供しており、ログエントリをフィルタリングすることで検出されたシークレットに関するアラートを簡単に見つけられます。各シークレット検出記録には、ノードID、使用されたメソッド、作成者のコミットID、検出をトリガーしたパスや特定のルールなどの詳細情報が含まれます。
Bitbucketは、生のデータへのアクセスが必要な場合や監視ツールとの統合が必要なユーザー向けに、$BITBUCKET_HOME/log/auditにあるaudit.logファイルを介して生データへのアクセスを提供します。これにより、各アラート’s JSONレコードを容易に解析可能にし、サードパーティ監視ツールとの統合を可能にします。このファイル内の各シークレット検出イベントには、auditTypeキーに“シークレット検出済み」というauditTypeキーが付与されるため、識別が容易になります。
4.微調整と誤検知の削減
シークレットスキャンの使用における重要な目標の一つは、警戒性と正確性のバランスを取ることです。つまり、真のシークレットを見逃さない一方で、誤検知が多すぎて運用効率を低下させ、より差し迫った問題から注意をそらさないようにすることです。
シークレットスキャンのルール変更:スキャナーの動作が過剰または不正確な場合、その挙動を適宜変更できます。正規表現パターンの修正は感度調整に有効です。大規模な正規表現パターンは多くの文字列を潜在的なシークレットとして捕捉し、過剰なスキャンルールが誤検知を引き起こす可能性があります。
スキャン範囲の制限:特定のファイルやディレクトリが誤検知を生じやすく、かつ真のセキュリティ脅威とならない場合、パスパターンを活用することでそれらをスキャン対象から除外できます。
許可リストの活用:許可リストは、シークレットとして扱わないべきパターンを指定する極めて効果的な手段です。誤検知が繰り返される問題があれば、プロジェクトまたはリポジトリレベルの許可リストに追加することで、将来的な通知発生を確実に防止できます。
シークレット管理のベストプラクティス
相互接続が進むデジタル環境において、機密データの保護は最重要課題です。APIキー、パスワード、トークンなどのシークレットは、あらゆる組織の運用を保護する上で重要な役割を果たします。Bitbucketシークレットスキャンのような自動化ツールは漏洩の検出に特に効果的であり、シークレット管理の基本的な実践はセキュリティを強化します。
- シークレット管理の集中化
- シークレットの定期的なローテーション
- アクセス制限とロールベースの権限設定
- 多要素認証(MFA)の導入
- シークレットへのアクセスを監査および監視する
1.シークレット管理の集中化
シークレット管理を集中化することで、組織は機密情報を体系的かつ一貫した方法で扱うことができます。単一の情報源を基準とすることで、シークレットの追跡、管理、更新が大幅に簡素化され、発生する可能性のあるエラーや見落としが大幅に減少します。集中型システムは、ロールベースのアクセス制御、シークレットローテーションスケジュール、詳細な監査ログなど、セキュリティを強化する多くの実証済みの戦略を提供します。これらはすべて、シークレットのセキュリティ強化に役立ちます。
一方、分散型システムでは、機密資料の取り扱いにおいて冗長性、見落とし、一貫性の欠如が生じる可能性があります。さらに、管理が分散化するにつれ、情報保管を目的とした様々な保管場所においてセキュリティ基準を一貫して適用することがますます困難になります。
2. 秘密情報の定期的なローテーション
秘密情報の定期的なローテーションはサイバーセキュリティの不可欠な要素であり、たとえ1つ以上の秘密情報が漏洩しても、その有効期間と悪用可能性を制限するのに役立ちます。ローテーションツールはこのプロセスを自動化すると同時に、管理負担と人的ミスを排除し、悪意のある主体がアクセスを得た場合でも悪用しにくくするため、秘密情報が定期的に更新されることを保証します。
3.アクセス制限とロールベースの権限の使用
最小権限の原則(PoLP)& の遵守は、潜在的なセキュリティ脆弱性を大幅に低減します。この戦略では、アクセスを必要とする者(その役割に基づいて)のみにアクセス権を付与します。情報や秘密へのアクセス権限を持つ者を制限することで、意図しない漏洩や意図的な悪用が大幅に減少します。これにより、秘密の漏洩や意図しない第三者による悪用に関連するリスクと脆弱性が大幅に低減されます。
ただし、権限設定だけでは不十分です。役割の変化や進化に合わせて権限が適切に調整されるよう、定期的な見直しと調整を行う必要があります。これにより、脆弱性となる可能性のあるアクセスポイントを排除し、秘密情報のセキュリティをさらに強化します。
4. 多要素認証(MFA)の導入
パスワード認証だけではセキュリティ保護が不十分な場合があります。多要素認証によって別の層を追加することで、この障壁を大幅に高め、悪意のある攻撃者が最初の防御層を突破したとしても、さらに別の認証障壁に直面することを保証します。これにより、攻撃者に対する追加の安心感と防御層が提供されます。
第二の層は通常、ユーザーが所有または継承するもの(例:携帯電話)か、生体特性(例:指紋、顔認証)で構成されます。二つの保護障壁を同時に構築することで、一方の秘密が漏洩しても、不正な個人が侵入するのはますます困難になります。
5. 秘密情報のアクセス監査と監視
誰が、いつ、どの秘密情報に、なぜアクセスしたかを監視することは、システムの健全性を把握する上で貴重な知見を提供します。シークレットへのアクセスを定期的に監査・監視することで異常を検知し、機密情報の漏洩や不正利用の早期警告信号を提供します。
意図的なログ記録は、組織に不一致に対する効果的な抑止力を提供すると同時に、不一致が発生した場合に迅速に対応する手段を装備します。アクセス可能な活動記録は、問題や原因の追跡を容易にし、より効率的な是正措置を可能にします。さらに、その存在自体が内部関係者による不正行為を抑制する効果があります。
シークレットスキャンの課題と限界
- 誤検知(偽陽性・偽陰性)
- スケーラビリティの問題
- 多様な環境との統合
- メンテナンスと更新
1. 誤検知と見逃し
誤検知と誤否認:シークレットスキャニングに関連する主な課題の一つは、誤検知です。これは、自動システムが実際には機密ではないオブジェクトを誤って機密としてフラグ付けする場合を指します。このような誤識別は、不必要な警報を鳴らすだけでなく、調査リソースを無駄に消費し、解決に向けた努力を無駄にすることになります。
逆に、スキャンプロセス中に真の機密情報が検出されない場合の偽陰性も同様に有害であり、長期間にわたって誤った安心感を生み出し、組織を攻撃者による侵害や悪意のある悪用の危険にさらします。
2.スケーラビリティの問題
組織が拡大し、リポジトリ、プロジェクト、コードベースが増加するにつれて、シークレットスキャンシステムの拡張性がより大きな問題となります。小規模な設定向けに設計されたシステムは、データ量が急速に増加すると正確な結果の維持に苦労する可能性があります。その結果、スキャン時間が長くなり、過負荷やシステムダウンが発生する可能性があり、成長が効率性と正確性の期待を上回った場合、当初の予測よりも長いスキャン時間につながります。
したがって、シークレットスキャンツールは、長期的な信頼性を考慮して構築されなければなりません。
3.多様な環境との統合
現代のテクノロジー環境は極めて多様であり、様々なプラットフォーム、言語、ツールが調和して動作する必要があります。シークレットスキャンツールがこれらの多様なエコシステムにシームレスに統合されることを保証することは大きな課題となり得ます。これが失敗すると、スキャン範囲に隙間が生じ、脆弱性リスクが増大する可能性があります。さらに、複雑な統合は、プラットフォーム全体でスキャンを効果的に維持するために定期的なメンテナンス調整を必要とするため、管理上のオーバーヘッドを増大させます。
4. メンテナンスと更新
技術の急速な進化に伴い、シークレットスキャンツールは効果を維持するために頻繁な更新が必要です。更新には、新たなコーディング手法への対応、新たな脅威への対策、技術スタックの変更などが含まれます。しかし、定期的な更新にはリソースが必要です。更新後に機能に影響を与える問題が発生する可能性があるためです。組織は、コンプライアンスを維持するために、継続的な運用に影響を与えない方法で更新を展開する方法を習得しなければなりません。
結論
これでBitBucketのシークレットスキャナーの仕組みが理解できたでしょう。シークレットのスキャンは組織のセキュリティ維持において重要な役割を果たします。ユーザーアカウントを保護し、悪意ある第三者による乗っ取りを防止します。シークレットスキャナーを使用すれば、複数のサードパーティサービスやプラットフォームのシークレットを管理できます。また、シークレットを定期的にローテーションし、機密性の高い認証情報を最新の状態に保つのに役立ちます。これに加えて、MFA(多要素認証)を導入し、パスワード管理ツールを使用することで、さらなる安心感を得られます。
Bitbucket シークレットスキャン FAQ
Bitbucket シークレットスキャンは、コードがプッシュされるたびに、リポジトリ内で公開された認証情報(API キー、パスワード、トークン、証明書)を監視します。パターンマッチング(正規表現、ヒューリスティック)を使用して、シークレットのように見えるものをすべてフラグ付けします。
一致が発生すると、Bitbucket はアラートを記録し、コミッターに通知します。これにより、それらのシークレットが悪用される前にアクションを起こすことができます。
ソースコードに露出したシークレットは、攻撃者が横方向に移動したり、権限を迅速に昇格させたりすることを可能にします。スキャンにより、コードがマージされる前にミスを早期に発見できるため、リポジトリへのアクセス権を持つ誰もが閲覧可能なコミット履歴にシークレットが残ることはありません。これにより、漏洩の影響範囲が縮小され、機密性の高い認証情報が本番環境やバックアップに混入することが確実に防止されます。
Bitbucket はデフォルトおよびカスタムルールを用いて差分とコミット全体をスキャンします。プッシュされた変更すべてに組み込み正規表現と既知のシークレット構造を適用します。行パターンとパスパターンの両方が設定されている場合、チェックは特定のファイルに限定されます。一致すると、監査ログエントリが生成され、作成者、コミッター、プッシャーにメールが送信されます。
管理 → システム(またはプロジェクト/リポジトリ)→ シークレットスキャンに移動し、ルールを作成または編集します。名前、行パターン正規表現、およびオプションでパスパターン正規表現を定義します。既知の誤検知をスキップする許可リストの設定や、リポジトリ全体の除外も可能です。変更は新しいプッシュに対して即時反映されます。
本番環境やバックアップに到達する前に漏洩した認証情報を検出できます。リアルタイムアラートにより開発者は迅速に問題を修正でき、監査ログで全ての検出記録を保持します。カスタムルールにより公開パターンに加え内部トークン形式も特定可能です。開発ワークフローを不必要に妨げず、コードの安全性を全体的に維持します。
はい。デフォルトのパターンに加え、グローバル、プロジェクト、リポジトリレベルで無制限のカスタム正規表現ルールと許可リストを追加できます。スキャン対象のファイルパスや無視するパターンを自由に設定可能です。これにより検出を微調整でき、内部シークレット形式をカバーしつつ誤検知を削減できます。
すべての検出結果はBitbucketの監査ログ($BITBUCKET_HOME/log/audit)とUIの監査セクションに記録されます。コミットに関わった全員にメール通知が送信されます。管理者は監査ログで「シークレット検出」エントリを検索し、コンプライアンスのためにログをエクスポートし、過去の漏洩を確認して是正措置(シークレットのローテーションまたは失効)が実施されたことを確認できます。
デフォルトでスキャンを有効化し、違反をブロックするプッシュ保護をオンにします。カバレッジとノイズのバランスを取るため、正規表現ルールと許可リストを定期的に見直し更新します。フラグが立てられた認証情報についてはシークレットのローテーションを自動化してください。スキャンをCI/CDチェックと組み合わせ、シークレットが削除またはマスキングされるまでプルリクエストがマージされないようにします。
SentinelOneはBitbucketと連携し、検知と対応を一元化します。シークレットの一致が検出されると、SentinelOneのSingularityプラットフォームがアラートを取り込み、エンドポイントまたはクラウドのアクティビティと相関分析を行い、リスクを迅速に封じ込めるために、シークレットキーのローテーションの強制や影響を受けたコードブランチの隔離などの修復プレイブックを自動的にトリガーできます。
