1.今回の内容
これまでの投稿で特権アクセス管理に関する基本的なことを一通りお話ししてきました。前回の投稿では、人が使うシークレット(パスワード)を想定してお話ししました。しかし、Machine to Machine(M2M: システムがシステムを利用する)で使うシークレットの場合には、他のソリューションが適している場合があります。今回は、そのような特権アクセスのユースケースとそれに適したソリューションであるIBM Vaultのお話をします。
2.シークレットの種類とユースケース
前回の投稿でシークレットのお話を少ししました。これは特定の人以外に知られてはいけない広範囲の情報を意図しています。シークレット管理で主に対象としているのは、一般にクレデンシャル(Credential)と呼ばれる「資格情報」や「認証情報」になります。具体的に言うと、ユーザーID/パスワード、APIキー、TLS証明書、認証トークンなどが該当します。分かり易く、別の言葉で表現すると、デジタル化された鍵と言い換えられると思います。
前回の投稿では、WindowサーバーやLinuxサーバーに人(管理者)がアクセスするユースケースを想定してお話ししていました。現在は、前述のクレデンシャルを使って、クラウド上のサービスを利用するケースが増えています。例えば、CI/CD(Continuous Integration/Continuous Delivery)を実践するために、ツールによってクラウド環境の構成変更やアプリケーションのデプロイなどをしています。また、アプリケーションからデータベースを参照することも以前から行われています。その場合に、クレデンシャルがツールやプログラムにハードコードされていたり、管理されていないところで共有されていたりすることがあります。
このようなユースケースも、重要なシステムへアクセスして構成や設定を変更する、データベースにアクセスして機密情報を参照するという点では特権アクセスの一つと考えられます。従って、このようなアクセスに必要なシークレットも厳格に管理する必要があります。
3.シークレット管理のソリューション
シークレット管理としては、IBM Vault (a.k.a. HashiCorp Vault)というソリューションもあります。このソリューションは、APIを使って、シークレットにアクセスすることが出来るため、M2Mでシークレットを利用することが可能です。もちろん、シークレットにアクセスするためには、IDベースの認証が必要であり、シークレットは暗号化されて保管されていますので、セキュアなシークレット管理を実現します。また、必要な時間(TTL:Time To Live)だけ有効な、一意で、必要最低限の権限を持つ動的(Dynamic)シークレットを利用することにより、リスクを最小化させます。
4.ソリューションの使い分け
シークレット管理の製品として、前回はVerify Privilege Vault、今回はIBM Vaultの2つの製品をご紹介しました。これらの製品はどちらも、セキュアにシークレットを一元管理出来る製品ですが、それぞれの製品には、その特徴から得意な領域があります。ここではそれに関して、お話しします。Verify Privilege Vaultは、Webブラウザーから人が操作し、シークレットを参照して、目的のシステムにアクセスします。そして、目的のシステムのアクセスを記録する機能があります。一般的には特権アクセス管理(Privilege Access Management)の機能があるため、人が利用するシークレットの管理が得意です。一方で、IBM Vaultは、機能をAPIで提供しているため、M2Mの利用が得意です。前述したCI/CDなどにおける自動化のユースケースに最適です。
5.まとめ
現在、重要なシステムをクラウド上で運用するケースが増えています。今後もその傾向は高くなっていきます。そのため、それらの重要システムへのアクセスに必要な、シークレットの厳格管理の必要性も益々高まっていきます。今回の連載でご紹介したIBM Security Verify Privilege VaultとIBM Vaultの2つのソリューションがお役に立てば幸いです。
今回の連載を最後まで閲覧いただき、ありがとうございました。
連載インデックス
♯1: 特権アクセスとは
♯2: なぜ特権アクセス管理が必要なのか
♯3: 特権アクセス管理に求められる機能とは
♯4: 解決策としてのIBM Security Verify Privilege Vault
♯5: シークレット管理[今回]