Google Cloudの新しい機密データ保存/管理サービス「Secret Manager」、Googleがβ版をリリース機密データの管理とアクセス、監査を一元化

Googleは、APIキーやパスワード、証明書などの機密データを保存する「安全で便利な方法を提供する」ことをうたう新しいGoogle Cloudサービス「Secret Manager」(β版)を発表した。

» 2020年01月29日 19時30分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Googleは2020年1月23日(米国時間)、データベース接続のための資格情報やサービスを呼び出すために必要なAPIキー、各種パスワード、認証用の証明書などの機密データを保存する「安全で便利な方法を提供する」ことをうたう新しいGoogle Cloudサービス「Secret Manager」(β版)を発表した。

 Secret Managerは、Google Cloud全体での機密データの管理とアクセス、監査の一元化を実現し、これらを行うための「信頼できる唯一の情報源(SSOT:Single Source of Truth)」を提供する。

 Secret Managerでは、「シークレットバージョン」と「シークレット」の作成、管理を行う。シークレットバージョンとはバージョン管理されたシークレットデータをいう。

 シークレットは、シークレットバージョンの集合体のラッパーであり、シークレットバージョンにアクセスすると、ラベルやレプリケーションといったメタデータも同時に取得できる。ただし、シークレットは実際の「シークレットペイロード」(機密データ本体)は含まない。

 シークレットバージョンは、シークレットペイロードに加え、状態などのメタデータを含む。状態は3種類あり、「有効」「無効」「破棄」のいずれかの値をとる。

クラウドならではの機能を備える

 Secret Managerの主要な機能は次の通り。

  • グローバル名とレプリケーション
    シークレットは、プロジェクトにおいてグローバルなリソースだ。つまりクラウドのリージョンをまたがってシークレット名を利用できる。自動レプリケーションポリシーとユーザーが管理するレプリケーションポリシーのいずれかを選択できるので、シークレットデータの保存場所を管理できる。このため本社があるリージョンにシークレットデータを保存したいというニーズに応えることができる
  • ファーストクラスバージョニング
    シークレットデータは書き換えることができない。ほとんどの操作はシークレットバージョンに対して行われる。Secret Managerでは、シークレットを特定のバージョン(例えば「42」)や、フローティングエイリアス(例えば「latest」)で利用できる
  • 最小特権の原則
    プロジェクトオーナーだけがシークレットにアクセスする特権を持つ。他のロールを持つユーザーは、「Google Cloud Platform」(GCP)が含む「Cloud IAM」によって明示的に権限を付与する必要がある
  • 監査ロギング
    GCPに含まれる「Cloud Audit Logging」を有効にすると、Secret Managerの操作のたびに監査ログエントリーが生成される。この監査ログを異常検知システムに取り込むと、異常なアクセスパターンを発見でき、セキュリティ侵害が発生した可能性がある場合にアラートを発行できる
  • 強力な暗号化を保証
    データは転送時にTLSで、保存時にAES(Advanced Encryption Standard)の256bit暗号鍵で暗号化される。顧客管理の暗号鍵(CMEK)のサポートも始まる予定だ
  • VPC Service Controls
    GCPに含まれる「VPC Service Controls」により、ハイブリッド環境からSecret Managerへのコンテキストアウェアアクセスを実現する

 Googleは今回の発表と同時にGoogle Cloudの全顧客向けにSecret Managerのβ版の提供を開始している。

Copyright © ITmedia, Inc. All Rights Reserved.

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。