シークレット スキャン チェックリスト

開発者ファーストなシークレット スキャン ソリューションに欠かせない6 つの重要基準

開発者からすると、シークレットをハードコードすると、アプリケーションのビルドやデプロイに必要なサー ビスのアクセスや認証をシームレスに行えますが、こうしたシークレットは安全に保存しなければ大きなリ スクをもたらします。パスワード、資格情報、API キー、重要トークンなどのハードコードされたシークレッ トはソース コード、ビルド ログ、コードとしてのインフラストラクチャ(IaC)、リポジトリなどから、流出す る可能性があります。重要な資格情報が攻撃者の手に渡れば、特権アクセスを許してしまい、データ漏えい、 ソースコードの改ざん、機密情報の盗難、サービス停止、不正利用による法外な料金請求が発生しかねません。 ハードコードされたシークレットは特にマトリクス型開発組織やクラウド ネイティブ アプリケーションで 頻出する問題で、攻撃の標的になるケースが増加しています。

こうしたリスクに先手を打ち包括的なコード セキュリティ計画を採用するには、シークレット セキュリティ ソリューションが有効ですが、シークレットの特定と保護に必要なカバー範囲の幅と深さを備えていないソ リューションも存在します。

そこで本チェックリストでは、シークレット スキャン ソリューションを評価する際に留意すべき6 つの重要 な基準をご紹介します。