シークレットを安全に格納する

ソフトウェア開発でのシークレットと、それを安全に管理する方法について説明します。

Learn to code with GitHub Copilot

10 の記事 8
次へ:最初のコードの脆弱性を見つけて修正する

この記事で

シークレットとは

ソフトウェア開発でのシークレットは、システム、サービス、データ、API へのアクセスを認証または認可するために使われる機密情報です。 以下に例を示します。

  •         **API キー**と**アクセス トークン**: GitHub の REST API などの外部サービスを操作するために使用できます。 アクセス トークンを使うと、GitHub Actions などのサービスで認証が必要なタスクを実行することもできます。これについては後で説明します。

  •         **データベース資格情報**: ローカルと外部のデータベースとストレージへのアクセスを許可します。

  •         **秘密キー**: SSH や PGP などの秘密キーは、他のサーバーへのアクセスやデータの暗号化に使用できます。

シークレットは非常に多くのアクセスを提供し、それには重要なシステムも含まれるため、シークレットをセキュリティで保護することが非常に重要であることがわかります。

シークレットが露出されると発生する可能性があること

  • 攻撃者は、シークレットによってアクセスが許可されるすべてのものに認可なしでアクセスできます。
  • ハッカーは、機密ユーザー データなどのデータを盗むことができます。 これにより、プライバシーと法律に関する予期しない事態が発生し、お客様とそのアプリケーションに対する信頼が損なわれる可能性があります。
  • 露出されたシークレットによって、ハッカーがクラウド プロバイダー アカウントで未認可のワークロードを実行した場合、お客様にコストが発生する可能性があります。
  • ハッカーは、露出されたシークレットを使ってサーバーを削除、変更、中断することができ、ダウンタイムやデータ損失を引き起こす可能性があります。

シークレットによってお客様が利用できるようになるすべてのアクセスと能力、そしてハッカーがそれを使ってできることを考えてみてください。 たとえば、GitHub アカウントの personal access token が露出されると、ハッカーがあなたになりすまして GitHub に投稿したり、変更を加えることができる可能性があります。

シークレットの管理に関するベスト プラクティス

このような問題を避けるには、ベスト プラクティスに従って漏洩を防ぎ、シークレットが露出された場合の損害を制限します。

          **最小限の特権の原則 (PoLP)** に従う

可能な限り、シークレットの機能とアクセスを必要な範囲に限って制限します。 次に例を示します。

  • シークレットがデータの読み取りにのみ使われ、データを変更しない場合は、読み取り専用にします。
  • お使いの API でシークレットを特定のスコープまたはアクセス許可のみに制限できる場合は、必要なもののみを選びます。 たとえば、GitHub シークレットを使用して issue のみを作成する必要がある場合、そのシークレットにリポジトリの内容やその他のものへのアクセス権がある理由はありません。
  • シークレットによってそれを所有するユーザー アカウントへのフル アクセス権が攻撃者に与えられる場合は、シークレットの所有権を取得できるサービス アカウントの作成を検討します。

アプリケーションでシークレットを保護する

  •         **シークレットをハードコーディングしてはなりません**。 常に、**環境変数**またはプラットフォームのシークレット管理ツール (GitHub のリポジトリ シークレットなど) を使います。
  • シークレットを他のユーザーと共有する必要がある場合は、パスワード マネージャーなどの専用ツールを使います。 メールやインスタント メッセージを使ってシークレットを送信してはなりません。
  • 可能であれば、有効期限を設定し、定期的にシークレットをローテーションします。これにより、古いシークレットが悪用されるリスクが減ります。
  • アプリケーションでログが生成される場合は、ログに記録される前にシークレットが削除されていることを確認します。 そうしないと、アクティブなシークレットがプレーンテキスト ファイルに保存される可能性があります。

シークレットが露出された場合の被害を制限する

  • たとえ露出されたのが 1 秒間だけであっても、シークレットの侵害を考慮して、シークレットをすぐに取り消します。 その後、新しいシークレットを生成し、安全に格納します。
  • 侵害されたシークレットで実行された疑わしいアクティビティを示している可能性があるアクティビティ ログを調べます。
  • シークレットがどのようにして露出されたかを検討し、二度と発生しないようにプロセスを変更します。

GitHub はシークレットのセキュリティ保護にどのように役立つか

シークレットを安全に保つためにできることは数多くありますが、GitHub にもシークレットの機密の維持に役立つ機能がたくさんあります。 誰でも間違いを犯すので、誤って露出されたシークレットをキャッチする機能が用意されています。

  •         **プッシュ保護**は、GitHub 上のリポジトリへのシークレットのプッシュをブロックします (後で説明します)。

  •         **シークレット スキャン**は、リポジトリをスキャンし、シークレットが検出されたらアラートを作成します。 一部のシークレットについては、シークレットの自動取り消しなどのアクションを実行できるように、プロバイダーにも通知します。

シークレットの安全な保管の実践

この練習では、personal access token を作成し、それを安全に格納して、GitHub Actions で使えるようにします。 作成するアクションは、issue に対応する簡単なワークフローです。

1.練習用のリポジトリを作成する

最初に、作業用のリポジトリを作成します。 new2code アカウントには、すぐに作業を始めるのに使用できるテンプレート リポジトリがあります。

  1.        [新しいリポジトリのページ](https://github.com/new?template_owner=new2code&template_name=secret-action)に移動します。 このリンクに従うと、`new2code` アカウントでテンプレートが事前に選択されています。
  2. [Owner] で、自分のユーザー アカウントが選ばれていることを確認します。
  3. [Repository name] フィールドに「secret-action」と入力します。
  4. 説明フィールドの下で [Public] を選んでリポジトリの可視性を設定します。
  5.        **リポジトリの作成**をクリックします。

2.ダミー トークンをコミットする

誰もが間違いを犯すものであり、コーディングの過程のどこかで誤ってシークレットをコミットする可能性があります。 この演習では、トリガーされるアラートに慣れ親しみやすくなるように、意図的に偽のトークンをコミットします。

  1. 先ほど作成したリポジトリに移動します。

  2. ファイルの一覧で .github/workflows をクリックして、YAML ワークフロー ファイルに移動します。

  3. ファイルの一覧で comment.yml をクリックして、ワークフロー ファイルを開きます。

  4. ワークフロー ファイルを編集するには、右上の をクリックします。

  5. 13 行目の GH_TOKEN: "" で、引用符の間に次のダミー トークンを挿入します。

    secret_scanning_ab85fc6f8d7638cf1c11da812da308d43_abcde

    最終的な結果はこのようになります。

    GH_TOKEN: "secret_scanning_ab85fc6f8d7638cf1c11da812da308d43_abcde"

  6. 変更をコミットするには、右上の [Commit changes...] をクリックした後、ダイアログでもう一度 [Commit changes] をクリックします。

  7. プッシュ保護アラートが表示され、"シークレットスキャンにより、13行目でGitHubシークレットスキャンのシークレットが見つかりました" というメッセージが表示されます。

    コミットしようとしたファイルの 13 行目に関するプッシュ保護アラートのスクリーンショット。 [Cancel] ボタンがオレンジ色の枠線で強調されています。

    ダミー トークンで試していなかったら、これは一歩間違えばトークンが露出されることを警告するものです。 アラートに対して選択できるオプションを確認します。

  8. コミットを停止し、シークレットが露出されないようにするには、[Cancel] をクリックします。 右上の [Cancel changes] をクリックし、メッセージが表示されたら保存されていない変更を破棄します。

3.実際のトークンを作成する

それでは、ベスト プラクティスに従ってみましょう。 最初に、ユーザーに代わってアクションを実行できる personal access token を作成します (作成されるコメントはユーザー アカウントから送信されているように見えます)。

メモ

各構成ステップで最小特権の原則にどのように従っているのかに注意してください。 トークンは、必要な最短の有効期限を持ち、必要なリポジトリにのみアクセスでき、作業に必要な最小限のアクセス許可を持ちます。

  1.        [新しい personal access token ページ](https://github.com/settings/personal-access-tokens/new)に移動します。
  2. [Token name] で新しいトークンの名前を指定します。 "Action token" のようなものを使用できます。
  3. [Expiration] で [7 days] を選びます。
  4. 「リポジトリ アクセス」で 「選択されたリポジトリのみ」 を選びます。
  5. [Select repositories] ドロップダウンで、前に作成した演習用リポジトリだけを選びます。
  6. [Permissions] セクションの [Repository permissions] の右にある をクリックして、使用可能なすべてのアクセス許可を表示します。
  7. [Issues] まで下にスクロールし、右側のドロップダウンで [Read and write] を選びます。
  8. ページの下部にある [Generate token] をクリックします。 メッセージが表示されたら、もう一度 [Generate token] をクリックして確認します。

この瞬間から、結果のトークンを安全に取り扱うことが極めて重要です。 この後すぐにトークンを使うので、簡単にクリップボードにコピーしておいてかまいません。

4. トークンを安全に格納する

これで、新しいトークンをリポジトリに安全に格納できるようになりました。

  1. 演習を始めるときに作成したリポジトリに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、 [Secrets and variables] を選んでから、[Actions] をクリックします。

  4. [Repository secrets] で [New repository secret] をクリックします。

  5.        **[Name]** フィールドにシークレットの名前を入力します。 この演習では、`MY_TOKEN` を使用します。

  6.        **[Secret]** フィールドに、前に生成した personal access token を貼り付けます。

  7.        **[シークレットの追加]** をクリックします。

シークレットが安全に暗号化され、使用する準備が整いました。

5.アクションでトークンを参照する

これで、トークンを使うように YAML ワークフロー ファイルを更新し、動作をテストできます。

  1. リポジトリに戻ります。 リポジトリの設定が表示されている場合は、リポジトリ名の下の [ Code] をクリックできます。

  2. ファイルの一覧で .github/workflows をクリックして、YAML ワークフロー ファイルに移動します。

  3. ファイルの一覧で comment.yml をクリックして、ワークフロー ファイルを開きます。

  4. ワークフロー ファイルの編集を始めるには、右上の をクリックします。

  5. 13 行目の GH_TOKEN: "" で、空の引用符を ${{ secrets.MY_TOKEN }} に置き換えます。 これは、前に追加したリポジトリ シークレットを参照しています。

    GH_TOKEN: ${{ secrets.MY_TOKEN }}

  6. 変更をコミットするには、右上の [Commit changes...] をクリックします。

  7. [Commit changes] ダイアログで、[Commit message] を編集して行っている変更を反映します。 たとえば、「リポジトリの秘密情報を使用するためのワークフローの更新」などと入力します。

  8. [main ブランチに直接コミットする] が選択されていることを確認します。

  9.        **[Commit changes]** をクリックします。

6.トークンとワークフローをテストする

これで設定はすべて終わりです。 次に、ワークフローをテストしてみましょう。

  1. リポジトリ名の下にある [Issues] をクリックします。

    リポジトリのメイン ページのスクリーンショット。 水平ナビゲーション バーでは、[イシュー] というラベルが付いたタブが濃いオレンジ色の枠線で囲まれています。

  2. [New issue](新しい Issue) をクリックします。

  3. [Add a title] には任意のタイトルを入力できます。

  4. [Add a description] のテキスト領域に、「Hello」と入力します。

  5. テキスト領域の下にある [Create] をクリックします。

ワークフローが完了するまでの時間が経過すると、新しいコメントが表示されます。 ユーザーのトークンを使っているため、コメントはユーザー自身によって作成され、あいさつ文が含まれます。

次のステップ

シークレット スキャンとプッシュ保護について詳しくは、GitHub Skills の「シークレット スキャンの概要」コースをご覧ください。

コード セキュリティのもう 1 つの重要な部分は、プロジェクト内のコードの脆弱性を特定して修正する方法を学ぶことです。 「最初のコードの脆弱性を見つけて修正する」を参照してください。

前へGitHub Copilotからコードに関するフィードバックを取得する次へ最初のコードの脆弱性を見つけて修正する