開発プロセスの自動化には、システム連携に使われる「長期間有効な認証情報」が漏えいし、被害を生むリスクが潜んでいる。この弱点を克服する、「認証情報を使い捨てる」新たなアプローチとは。
DX(デジタルトランスフォーメーション)が加速し、ソフトウェア開発においてビルドやデプロイを自動化するCI/CD(継続的インテグレーション/継続的デリバリー)システムの活用は不可欠となっている。しかし、これらの自動化プロセスには、深刻なセキュリティリスクが潜んでいる。それは、システム連携のために発行される「長期間有効なトークン」やパスワードなどの静的な認証情報だ。
一度発行された認証情報が長期間、あるいは無期限に有効な状態のまま保存されていると、攻撃者にとって極めて価値の高い標的となる。万が一これらの情報が一度でも外部に漏えいすれば、攻撃者は正規の権限を使ってシステム内に侵入し、誰にも気付かれることなく甚大な被害をもたらす危険性がある。
こうしたリスクを根本から排除するための手段として、「短命な認証情報」がある。これは、必要なときにのみ数分間だけ有効な認証情報を動的に発行し、利用が終わり次第すぐに破棄するという運用手法だ。
この新しい認証手法はどのような技術で実現され、なぜオープンソースのエコシステムにおける最適解になりつつあるのか。その具体的な仕組みと業界の動向を紹介する。
2025年11月開催のイベント「Open Source SecurityCon」において、セキュリティベンダーChainguardのスタッフソフトウェアエンジニアであるビリー・リンチ氏が登壇した。リンチ氏は「Breaking Up with Long-lived Secrets: Secure Automation in the Modern Age」と題した講演で、短命な認証情報への移行を訴えた。同氏は、ソフトウェアの署名と検証を容易にするオープンソースプロジェクト「Sigstore」の開発に携わっている。
リンチ氏は、昨今のソフトウェアサプライチェーンセキュリティにおける課題として、SLSA(Supply chain Levels for Software Artifacts)の枠組みを巡る現状を指摘した。SLSAはソフトウェア成果物の来歴を証明し、安全な運用プロセスを構築するための業界標準ガイドラインだ。
リンチ氏によれば、SLSAの最高レベルであるレベル3を厳密に解釈した場合、コンテナレジストリやストレージバケット(クラウドサービス内でデータを保管、管理するための保存領域)の認証情報が漏えいしたとしても、その他の署名や検証のプロセスが正しく実行されていれば要件を満たしていると見なされる。セキュリティの観点から見れば、意図せず認証情報の漏えいを許容してしまう状態は決して安全とは言えず、違和感が残る運用状態だ。
強固なセキュリティを構築するためには、「スイスチーズモデル」と呼ばれる多層防御の考え方が重要になる。単一の防御層に依存するのではなく、複数の防御層を重ね合わせることで、1つの層を突破されたとしても別の層で脅威を食い止めることができる。短命な認証情報の導入は、この多層防御の層をより強固にするための重要な施策だ。
長期間有効なトークンに代わる具体的な解決策として、リンチ氏が推奨するのが「OIDC(OpenID Connect)フェデレーション」を活用した認証手法だ。これは、CIシステムから処理にひも付いた短命な認証情報を受け取り、それをクラウドサービスや外部ツールのアイデンティティーと交換する仕組みだ。
この仕組みを利用すると、開発者はクラウドサービスのシステム構成やCIツール内に長期間有効なシークレットを直接保存したり、手作業でパスワードを入力したりする手間がなくなる。システムは処理が実行されるタイミングで動的に認証情報を生成する。万が一このトークンが漏えいしたとしても、有効期間が短いため、攻撃者が不正アクセスに悪用できる時間は数分間に限定され、被害を受けるリスクが大幅に低減される。
短命でコンテキストにひも付いたトークンを利用することで、CIサービスやパッケージ公開ツール、ソフトウェア署名ツールは、長期間有効なシークレットを保持することなく、安全に自身のアイデンティティーを証明できるようになる。これはSigstoreのキーレス署名でも用いられているアプローチだ。
この短命な認証情報を活用した「Just-in-Time」(必要なときに、必要なものを、必要な量だけ提供する形式)の認証手法は、オープンソースのエコシステムを中心に最適な手法として既に導入が進んでいる。
その推進力となっているのが、オープンソースソフトウェアの安全性向上を推進する業界団体OpenSSF(Open Source Security Foundation)だ。同団体でリポジトリの保護を担う「Securing Software Repositories」ワーキンググループが中心となり、新たな仕組みの実装を進めている。
その結果、「Python」向けの公式パッケージ管理システム「PyPI」(Python Package Index)や、「Ruby」向けのパッケージ管理システム「RubyGems」といった主要ツールにおいて、「Trusted Publishers」と呼ばれる仕組みが実装された。これは、パッケージを公開するシステムをあらかじめ信頼できるものとして指定しておくことで、長期間有効なトークンを管理することなく認証する仕組みだ。これによって、パッケージの公開プロセスにおいて、自動化されたワークフローが長期間有効なパスワードを管理しなくても、動的に発行されるトークンを用いて安全にパッケージを公開できる。
リンチ氏は、自身が所属するChainguardでも、提供する製品への認証には短命な認証情報の使用を推奨していると述べた上で、ストレージバケットやレジストリへのアクセスに長期間有効なトークンを使用すべきではないと強調した。利用中のクラウドサービスやツールがこの仕組みを実装していない場合、業界の標準的なアプローチとなりつつあることを理由に、利用者から提供元に対して積極的に実装を働きかけるべきだと呼びかけた。
企業のIT担当者は、これまでのパスワード管理の常識を疑い、認証情報を「保存して使い回す」ものから「都度発行して使い捨てる」ものへと転換する必要がある。自社のデプロイプロセスを見直し、OIDCフェデレーションをはじめとする新鋭の認証手法の導入を検討することが求められている。
本稿は、CNCF(Cloud Native Computing Foundation)が2025年11月25日に公開した動画「Sponsored Keynote: Breaking Up with Long-lived Secrets: Secure Automation in the Mode... Billy Lynch」を基に作成しました。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
