シークレットスキャニングとは？ 仕組みとベストプラクティス

組織がデータの保護に取り組む中で、様々な課題に対処し解決する必要があります。最も重要な課題の一つが、APIキー、パスワード、トークンなどの機密データの露出です。この問題を解決するため、組織はシークレットスキャンを活用し、露出している機密情報を発見します。しかしシークレットスキャンとは何か？ コードベース、設定ファイル、JiraやConfluenceなどのコラボレーションツールなどから機密データを検出するプロセスである。

ソフトウェアアプリケーションの複雑化に伴い、機密漏洩リスクは指数関数的に増加している。漏洩したパスワードやAPIキーはデータ侵害や不正アクセスを引き起こす可能性があり、組織に多大な金銭的損失をもたらすため、シークレットスキャニングは極めて重要となります。

本ブログでは、シークレットスキャニングに関する包括的な知識と、サイバーセキュリティ環境におけるその重要性について解説します。シークレット管理を通じて強固なセキュリティ体制を確保するためのベストプラクティスを探求します。

シークレットの理解

ソフトウェア開発におけるアプリケーションとシステムのセキュリティにおいて、シークレットが果たす役割を理解しましょう。

シークレットとは何か？

安全な通信チャネルの確立、ユーザーの識別、個人デバイスの保護、個人記録へのアクセス取得などの活動を行うには、シークレットと呼ばれる機密の認証情報へのアクセスが必要です。

シークレットにはさまざまな種類があり、APIキー、OAuthトークン、SSHキー、データベース接続文字列、暗号化キーなどがその例です。

コードや設定ファイルに一般的に存在するシークレットの種類

シークレットは、コード、Jiraチケット、さらには設定ファイルなど、様々な場所に存在し得ます。以下に、一般的なシークレットの種類とその潜在的な存在場所を示します：

1. ハードコードされた認証情報: 「簡単すぎるものは間違っている」という概念に忠実であるならば、コードにシークレットや認証情報をハードコードすることは、開発者にとって追加の設定やコードを書く手間を省ける便利な方法です。しかし組織にとっては致命的な結果を招く可能性があります。パスワードやAPIトークンなどの機密情報がアプリケーションのソースコードに直接ハードコードされ、そのコードがGitHubリポジトリで公開された場合、攻撃者はそれらの認証情報を抽出して再利用できます。
2. 設定ファイル 設定ファイルは、APIキー、データベースパスワード、アプリケーションの実行に必要なあらゆるデータなどを保管するのに最適な方法ですが、それと同じリスクを伴います。ファイルが非公開にされていない、あるいは安全な方法で保管されていない場合、誰でもそのファイルにアクセスし、そこに存在するすべての秘密情報や機密情報を見つけることができます。
3. 環境変数 環境変数を使用することは、ローカルアプリケーションよりも、秘密情報を保存するためのより優れた、より適切な方法です。ただし、実行時のログにその情報が表示される場合、これらは情報漏えいの原因となる可能性があります。
4. シークレット管理ツール 多くの組織では、HashiCorp Vault、AWS Secrets Manager、Azure KeyVault などのツールを使用してシークレットを暗号化および保存しています。これらのツールは、シークレットの安全な保存、暗号化、およびアクセス制御を提供します。しかし、これらのツールを最大限に効率的に活用するには、正しいセキュリティ対策を実施する必要があります。

シークレット漏洩のリスク

シークレットが不適切に保護されている場合、組織に深刻な結果をもたらす可能性があります。シークレットが公開されている場合のリスクを理解することは非常に重要です。

シークレット漏洩の結果

1. 不正アクセス:攻撃者は常にシステムを悪用する方法を模索しており、最も容易な手段はシステムやサービスの漏洩したシークレットを入手することです。あらゆるアプリケーション、データベース、クラウドサービスはAPIキーやパスワードで保護されていますが、これらが漏洩すると悪意ある者（脅威アクター）の手に渡り、不正アクセスを許す結果となります。
2. サービスの悪用： これまで世界では危険な DDOS 攻撃が発生しており、これは基本的にサービスを悪用して混乱させ、過負荷状態に陥らせることで、サービスの利用不能化やプロバイダの運用コストの増加をもたらします。これは、当該サービスのAPIキーが漏洩し、攻撃者がそれを入手して悪用し、APIを絶え間なく要求することで発生する可能性があります。これにより組織の日常業務が妨げられ、評判も損なわれる可能性があります。
3. 規制上の罰則：データ侵害により組織の機密情報が漏洩した場合、法的トラブルに巻き込まれ多額の罰金を支払う可能性があります。企業はデータセキュリティを確保するため、適切な規制を遵守すべきです。
4. 顧客信頼の喪失: 顧客の信頼こそが組織を支える基盤です。組織でデータ侵害が発生した場合、顧客は信頼を失い、ひいては売上の低下を招く可能性があります。

機密情報が漏洩する経路

機密情報が悪意ある者（脅威アクター）の手に渡ると、以下のような方法で悪用される可能性があります：

1. ハードコーディング: 開発者がソースコードにシークレットを直接記述すると、コードが共有または公開された際に可視化されるリスクがあります。
2. 設定ミス: パブリッククラウドストレージバケットなど、誤った設定や設定ミスにより、意図せずシークレットが漏洩する可能性があります。
3. 安全でない慣行: 開発者はチャットやプロジェクトツールで機密情報を誤って共有したり、共有すべきでない情報を削除し忘れたりするミスを容易に犯す可能性があります。
4. CI/CDの複雑性: 自動化されたパイプラインは通常シークレットを必要とし、ビルドやデプロイプロセスで適切に扱われない場合、それらが漏洩する可能性があります。

シークレットスキャンツールはどのように機能するのか？

シークレットスキャンツールは、コードリポジトリやその他のデータソース内の機密情報（パスワード、APIキー、アクセストークンなど）をスキャンして検出するために設計されています。これらのツールは、テキストやコードを解析し、既知の機密フォーマットに類似したパターンを特定することで機能します。

スキャンの最初のステップは、対象のコードベースやデータソースをクロールすることです。完了後、各ファイルを1行ずつ処理し、特定のパターンを探します。これらのパターン指定には多くの正規表現が用いられ、検索パターンを形成する文字列の列を定義します。

シークレットスキャンが使用するアルゴリズムは、主にパターンマッチングとエントロピー分析です。パターンマッチングでは、テキスト（シークレットの値）を様々なタイプ固有の正規表現パターンと比較します。

ランダムに生成されたシークレット（高エントロピー文字列）は、エントロピー分析によって検出されます。文字の分布を用いてランダム性が計算され、予測不可能性を提供するため、他の手法よりも安全と見なされています。

シークレットスキャンツールの限界

シークレットスキャンツールにはいくつかの課題があります。その一つは誤検知であり、ツールが非シークレット文字列をシークレットとして検出してしまうことです。これにより誤った警告が発生し、時間とリソースの浪費につながります。

次の制限は、シークレットがハードコードされ暗号化されている場合に発生します。開発者はシークレットを複数の部分に分割して別々の変数に保存したり、スキャンツールが検知しにくいエンコーディング手法を使用したりすることさえ可能です。

異なる環境におけるシークレットスキャン

シークレットスキャンは現代のツール環境で機能すべき重要なセキュリティ対策です。各ツールやプラットフォームには固有の課題があり、シークレットを検出するには異なるアプローチが求められます。

バージョン管理システム

1. GitHub: GitHubに統合済み高度なセキュリティ機能として、シークレットスキャンが認証キーなどの既知のシークレット形式を識別し、リポジトリを自動スキャンします。
2. GitLab:GitLabはCI/CDパイプラインの一部としてシークレット検出を提供します。コミット時、マージリクエスト時、またはスケジュールされたパイプラインで実行されるよう、ウェブインターフェースからパイプラインを設定できます。これにより、スキャンをいつ、どのように実行するかの柔軟性が得られます。
3. BitBucket:BitBucketは、NightfallやGitGuardianといったサードパーティ製統合ツールに依存しています。これらはリポジトリを継続的に監視する製品です。最大のメリットは、これらのツールがカスタマイズ可能で、組織固有の要件やセキュリティポリシーに合わせて調整できることです。

バージョン管理システムでシークレットを使用する際に最も難しいのは、シークレットの履歴の処理です。シークレットがコミットされプッシュされると、開発者が後で削除しても、そのリポジトリの履歴には残ったままになります。

この問題に対して、多くの組織ではプッシュ保護やプリコミットフックを活用し、コミット前にシークレットをスキャンすることで、シークレットに対するセキュリティチェックを強制しています。

コラボレーションツール

Jira、Confluence、Slackなどのコラボレーションプラットフォームには、別の課題が存在します。JiraやConfluenceでは、課題の説明文、コメント、Wikiページなどを通じてシークレットが渡される可能性があります。環境の安全性を維持するため、一部の組織ではAPIを用意し、コンテンツの定期スキャンをスケジュールして新たなシークレットの有無を確認しています。

Slackや類似のメッセージングプラットフォームでは、チャット/グループメッセージやファイルアップロードを通じてシークレットが共有される可能性があります。これらのプラットフォームにおける最大の問題は動的コンテンツです。情報は日々絶えず変化し、新しい投稿が追加・編集・削除されます。

発見された機密情報への対応方法

組織がコード内の機密情報を検出した場合、最初の対応は状況の深刻度を判断することです。漏洩した機密情報の種類（APIキーやパスワードなど）と、システムへの潜在的な影響を特定します。この判断により、IR（インシデント対応）計画の策定が容易になり、事態の深刻度を明確にします。

次に、直ちに漏洩したシークレットの無効化または失効措置を講じ、他の不正な迂回を阻止します。古いシークレットを失効させ、新しいシークレットを発行します。このプロセスを「ローテーション」と呼びます。同時に、ログやシステムを点検し、シークレットの悪用を示唆する不正アクセスや異常な活動を検知します。

最後に、シークレットが漏洩した経緯と修正措置を詳細に記したインシデントレポートを作成します。この情報はシークレット管理の改善に活用できます。

誤検知（False Positives）と検知漏れ（False Negatives）の対応

誤検知（False Positives）とは、ツールがコード内にシークレットが存在するとフラグを立てるが、実際には存在しない場合を指します。 一方、誤検知（False negatives）は、ツールが実際のシークレットを検出できない場合に発生します。これらはシークレットスキャンツールの効果を低下させる要因となります。

誤検知は開発者の時間を無駄にしますが、一方で誤検知は検出されない問題を通じてハッキングされるリスクを高めます。

組織はこれらの問題を最小限に抑えるためにいくつかの対策を講じることができます。精度を高めるには、スキャン用の設定やツールを定期的に更新するなど、いくつかの方法があります。 機械学習は過去のスキャンから学習し検知精度を向上させるため、誤検知率の低減に寄与します。コードの使用箇所といった文脈分析は、機密情報とそうでないものを区別する上でさらに有効です。

開発者向け機密管理トレーニング

開発者には、シークレットを漏洩せずに安全なコードを書く方法を常に教育してください。各セッションでは、シークレットの特定方法、シークレット漏洩のリスク理解、パスワード管理のベストプラクティスといった基本事項に焦点を当てるべきです。

開発チーム内にセキュリティ意識の文化を構築する場合も同様です。リーダーは、セキュリティ習慣や経験について率直な対話ができる環境を整え、継続的な教育を提供することでこれを実現できます。

シークレットスキャンの管理におけるベストプラクティスとは？

組織の機密情報を保護するには、効果的なシークレットスキャンの管理が不可欠です。シークレットスキャンの効果を高めるための5つの主要なベストプラクティスを紹介します：

1. 包括的なシークレットスキャンポリシーの実施

シークレットスキャンポリシーでは、シークレットの定義、スキャン対象環境の特定、スキャンツールの実行頻度を規定する必要があります。組織内でのシークレットスキャンの管理方法、関連するポリシーの施行、新たな役割の定義を明記すべきです。新たな種類のシークレットや脅威に対応するため、ポリシーの見直しと更新を継続的に実施してください。

2.開発ライフサイクルへのシークレットスキャンの統合

開発プロセスのあらゆる段階で早期にシークレットスキャンを実施することで、企業はシークレットを一切漏洩させません。バージョン管理システムにおけるコミット前フックによるシークレット検出や、CI/CDパイプラインの一部としてのシークレットスキャンなどがその形態となります。

3.アラートの優先順位付けと効果的な管理

シークレットスキャンツールからのアラートが多すぎると、適切に処理されなければアラート疲労を引き起こす可能性があります。深刻度と潜在的な影響に基づいてアラートをトリアージするシステムを活用しましょう。シークレットを深刻度と機密性のレベルに基づいてカテゴリ分けすることも考えられます。自動化を活用してアラートをトリアージし、解決のために異なるチームへ振り分けます。リアルタイムアラートにより、高リスクの脆弱性への即時対応が可能となり、セキュリティチームがデータに圧倒される問題を解消します。

4. 定期的な監査とペネトレーションテストの実施

自動スキャンに加え、手動監査や ペネトレーションテストも実施すべきです。これにより自動ツールが見逃す可能性のあるシークレットが発見される場合があります。また手動監査を実施することで、組織全体でシークレットスキャンのポリシーが均一に遵守されていることを確認できます。

5.継続的な教育とトレーニングの提供

シークレットのスキャンは、全従業員、特に開発や運用部門の従業員の意識と協力があって初めて効果を発揮します。シークレットを扱うスタッフの多くは、適切なシークレット管理の必要性を理解しておらず、自身の鍵を漏洩させることの深刻さを認識していません。秘密情報スキャン、アラート対応トレーニング、機密情報の安全な共有手段は、このトレーニングの一部であるべきです。

シークレットスキャンの将来動向

サイバーセキュリティ分野における技術進歩とセキュリティ脅威の複雑化に伴い、シークレットスキャンは急速に進化を続けています。シークレットスキャンの将来において見られる可能性のある5つの主要なトレンドは以下の通りです：

1. 人工知能と機械学習の統合：適切な AI および ML アルゴリズムによって強化されたシークレットスキャンツールは、誤検知を確実に減らし、固有のシークレットパターンを見つけ、ルールベースの手法よりも機敏に新しいシークレットに適応することができます。また、履歴データを使用して、シークレットが漏洩したかどうかを予測することもできます。
2. シフトレフトセキュリティプラクティス: シークレットスキャンやその他のセキュリティプラクティスは、開発プロセスのより早い段階に統合される傾向が強まっています。企業は「シフトレフト」アプローチを採用し、コードがデプロイされる前に機密情報の漏洩や誤った取り扱いを検出すべきです。
3. 自動修復:検出に加え、既存ツールを強化することで自動対応が可能になります。具体的には、侵害された認証情報の自動ローテーションや、侵害されたシークレットへのアクセス一時停止などにより、検出から解決までの時間を短縮します。

結論

デジタル時代において、組織はあらゆる機密情報の保護を極めて重要視しています。機密情報の漏洩は不正アクセス、データ侵害、重大な評判毀損につながりかねません。機密情報がどのように漏洩するのかを理解し、効果的に管理することが極めて重要です。

HashiCorp Vaultなどのシークレット管理ツールを活用するといった安全な実践は、シークレットを保護するために極めて重要です。同様に、開発チーム内にセキュリティ意識の文化を育むことで、シークレット関連のリスクを容易に特定し是正することも可能になります。

シークレットを保護層として扱い、チームに対して安全なコーディング基準を継続的に教育することに注力することが、組織のセキュリティ強化につながります。ますます高度化する脅威に対し、積極的なシークレット管理戦略を採用することで、機密情報を保護し、顧客やその他のステークホルダーの信頼を維持できます。