Secret Management and Rotation
A focused chapter on secret management and rotation, with practical delivery concerns, trade-offs, and the operational questions behind CI/CD work.
データベースパスワードを設定ファイルに保存してはいけない理由
設定ファイルにデータベースパスワードやAPIトークンを保存すると、Git履歴に残り、漏洩時に深刻な被害をもたらします。設定とシークレットの違い、適切な管理方法を解説。
シークレットの保管場所:設定ファイルからVaultへ
設定ファイルから専用シークレット管理ツールへの移行について解説。.envファイルの危険性、Vaultやクラウドシークレットマネージャーの利点、アクセス制御・監査・暗号化の仕組み、チーム規模に応じた選択基準を実践的に紹介します。
パイプラインがシークレットを保存せずにアクセスする方法
CI/CDパイプラインがデータベースパスワードやAPIキーを安全に扱うための3つのアプローチ(環境変数、マウントファイル、直接API呼び出し)を解説。それぞれのリスクと対策をエンジニア向けに実践的に紹介。
ログ、ビルド成果物、Git履歴からシークレットが漏洩する仕組み
CI/CDパイプラインでVaultを統合しても、ログやビルド成果物、Git履歴からシークレットが漏洩するリスクは残ります。本記事では、漏洩の仕組みと防止策を解説します。
シークレットローテーション:システムを壊さずに実践する理由、タイミング、方法
シークレットローテーションの重要性、実施すべきタイミング、ダウンタイムなしで安全にローテーションするためのデュアルシークレット方式の実践手順を解説。コンプライアンス要件やインシデント対応にも対応。
データベースパスワードが数ヶ月ではなく数分しか生きない世界
静的シークレットの長期有効性がもたらすセキュリティリスクと、動的シークレットによる短命化のメリットを解説。Vaultを使った実装例や適用判断のチェックリストも紹介。
そのシークレットを見たのは誰?監査ログが思っている以上に重要な理由
午前3時に通知が届く。誰かが本番データベースの認証情報を使って破壊的なクエリを実行した。損害は発生済み。最初の疑問は「どうやって侵入したのか」ではなく「そのパスワードに誰がアクセスできたのか」です。
チームにシークレットポリシーが必要な理由(単なるVaultだけでは不十分)
チーム内でデータベースパスワードの管理方法がバラバラになっていませんか?シークレットポリシーを導入し、Vaultとパイプラインで自動適用することで、環境間の一貫性とセキュリティを確保する方法を解説します。