秘密とパスワード。両者は似ているように聞こえるかもしれないが、デジタルの世界では用途の異なる別個の概念である。この記事では、パスワードとシークレットの定義と、それぞれを安全に管理する方法について推奨事項を説明する。
パスワードとは何か?
クレジットカード取引用の4桁のコードであれ、酒場用の分類されたフレーズであれ、デジタル・バンキング・ログイン用の文字列であれ、パスワードはそこらじゅうにある。今日のデジタル時代において、パスワードはオンライン・サービスやコンピューター・システムを認証するための文字列として最もよく知られている。パスワードは、ユーザー名やEメールと組み合わせて、提供される情報や機能にアクセスする権限があることをシステムやサービスに確認するものです。
例えば、パスワードと関連するユーザー名は次のようになる:
ユーザー名レンタル2698
パスワード#q2jRi$23%*33g
パスワードを使用する際は、推測されにくいものを選ぶことが重要です。
秘密とは何ですか?
ソフトウェア開発において秘密とは、マシンやソフトウェア・インフラストラクチャに関連する開発者のクレデンシャルを指す。これらの秘密は特別なストレージを必要とするため、開発者は簡単にアクセスでき、コード内のマシンの認証に使用できる。シークレットは通常、SSHキー、データベース・パスワード、SSLまたはTLS証明書、プライベート暗号化キー、APIキー、その他のマシン認証情報のようなキーと値のペアである。
開発者の秘密がどのように使われるかの一例として、食物アレルギーに対応した近隣のレストランを検索できるモバイル・アプリケーションを開発する開発者がいる。アプリケーションにサインアップすると、ユーザーのメールアドレスは開発者が所有するデータベースに保存される。電子メールがデータベースに渡されるためには、アプリケーションはデータベースに対して、情報を送信する権限があることを証明する必要がある。開発者は、アプリケーションを認証するためにデータベースのパスワードを使用し、ユーザーの電子メールアドレスが正常に保存されるようにします。この例では、データベースのパスワードがシークレットである。悪意のある行為者に発見され、データベースからユーザーの電子メールが盗まれないよう、安全に保管する必要がある。
パスワードとシークレットの違いは?
シークレットは、ソフトウェア開発とマシンの認証に特化した、より専門的なクレデンシャルである。契約上、パスワードはシステムやソフトウェアに個人を認証するための証明書である。秘密は通常、DevOpsと開発者チームだけが扱い、パスワードは全員が利用する!
資格 | フォーマット | マネージメント |
パスワード | システムやソフトウェアに認証するための文字列 | みんな |
シークレット | SSHキー、データベースパスワード、SSLまたはTLS証明書、プライベート暗号化キー、APIキーなどのキーと値のペア | 開発者、DevOps、セキュリティチーム |
余談:ヨーロッパではパスワードのことをシークレットと呼ぶことがある。相手がどのクレデンシャル・タイプを指しているのかを、コミュニケーションにおいて明確にすることは常に良いことである。
セキュアな管理のための適切なソリューションを見つける
秘密もパスワードも、漏洩しないように安全に管理する必要がある。
ソフトウェア市場では、
どのソリューションが自分に合っているかまだ検討しているのであれば、次のように自問してほしい。"私はプログラミングをしているのか、それともコードとやりとりしているのか"。もし答えが「ノー」なら、おそらくパスワード・マネージャーを探していることだろう。
Bitwarden パスワードマネージャー
Bitwarden シークレットマネージャー
Bitwarden Secrets Managerは、デプロイメントパイプラインのマシンやインフラストラクチャの秘密を保護したい開発チームやDevOpsチームのために、