企業においてもクラウドサービスが浸透し、様々な場面で利用されるようになりました。
そこで注意しなければならないのが、パスワードやアクセスキー等のサービスを利用するための認証情報(クレデンシャル)です。
もちろん、クラウドサービス以外にも自社内にサーバーを立てている場合など、管理者アカウントというものもクレデンシャルに当たります。
現実的にそれらクレデンシャルを一貫して管理しているケースは稀で、多くの場合バラバラに管理されていることが多く、情報漏えいのリスクを多分に含んでいます。
クレデンシャルの管理として、ざっくり説明すると、
1.「パーミッション(権限管理)」
「誰がどのサービスをどういう操作まで許可するか」というもので、社内で統一ルールを決めておく必要があります。
2.「保存場所」
付箋のメモ書きをモニタに貼っているなどは言語道断で、社内システム上や情報システム担当者のPCなどが想定されますが、可用性を考慮してバックアップを常に取るなどの配慮が必要です。
3.「生成」
例えばパスワードをどうやって生成するかといった問題があります。
「abcd」のような推測されやすい上に短いものなどは論外で、強度の高いパスワードの生成や、使いまわしをさせないなどのルールが必要です。
4.「暗号化/復号」
情報が漏えいしてしまった場合にも、暗号化をかけて保存してあれば悪用を防ぐことができます。
ただし、暗号化しているといっても復号(元に戻す)のためのキーが漏れてしまっては意味がありませんので、キーの保管も重要です。
記事内では他に「デプロイ」についても書かれていますが、こちらは割愛します。
その他に、機密情報を確実に管理できるツールの紹介がされています。
詳しくはこちら
ユーザーID、パスワード、アクセスキーなどの機密情報を簡単・確実に管理する方法:マルチクラウド環境のセキュリティをどう担保するか – @IT
