Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2025-09-19 クラウドにおけるシークレット管理

Avatar for SUZUKI Masashi SUZUKI Masashi
September 19, 2025
Technology
660
0

2025-09-19 クラウドにおけるシークレット管理

スリーシェイク社内のエンジニア勉強会で発表した資料

クラウドにおいてプロダクション環境でのシークレットの扱い方についてアプリケーションおよびインフラ側でどう管理していくのが望ましいかを詳解

Avatar for SUZUKI Masashi

SUZUKI Masashi

September 19, 2025

More Decks by SUZUKI Masashi

See All by SUZUKI Masashi
2026-03-27 #terminalnight 変数展開とコマンド展開でターミナル作業をスマートにする方法
Avatar for SUZUKI Masashi masasuzu
0
300
2026-03-23 Ops-JAWS Meetup39 Session Managerを使った セキュアなサーバーアクセス
Avatar for SUZUKI Masashi masasuzu
2
110
2026-03-11 JAWS-UG 茨城 #12 改めてALBを便利に使う
Avatar for SUZUKI Masashi masasuzu
2
440
2026-03-03 Jagu'e'r Tech Writer Meetup #19 登壇のネタ作りについて
Avatar for SUZUKI Masashi masasuzu
0
110
2026-02-24 月末 Tech Lunch Online #10 Cloud Runのデプロイの課題から考えるアプリとインフラの境界線
Avatar for SUZUKI Masashi masasuzu
0
150
2025-11-21 社内エンジニア勉強会 改めて理解するVPC Endpoint
Avatar for SUZUKI Masashi masasuzu
0
300
2025-11-08 Security JAWS TerraformによるIAM Policy記述ガイド
Avatar for SUZUKI Masashi masasuzu
2
1.2k
2025-09-25 SRETT #13 ConftestによるTerraformのPolicy as Codeを試してみる
Avatar for SUZUKI Masashi masasuzu
0
440
2025-08-05 Google Cloud Next Tokyo 2025 Cloud RunとCloud SQLの接続方式と事例
Avatar for SUZUKI Masashi masasuzu
0
79

Other Decks in Technology

See All in Technology
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
11k
今年60歳のおっさんCBになる
Avatar for Hiroo Katoh kentapapa
1
310
制約を設計する - 非決定性との境界線 / Designing constraints
Avatar for soudai sone soudai
PRO
6
2.3k
3つのボトルネックを解消し、リリースエンジニアリングを再定義した話
Avatar for Nealle nealle
0
200
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
16
410k
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
Avatar for oracle4engineer oracle4engineer
PRO
5
13k
OCI技術資料 : ロード・バランサ 概要 - FLB・NLB共通
Avatar for Oracle Cloud Infrastructure ソリューション・エンジニア ocise
4
28k
ASTのGitHub CopilotとCopilot CLIの現在地をお話しします/How AST Operates GitHub Copilot and Copilot CLI
Avatar for AEON aeonpeople
1
200
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.3k
第26回FA設備技術勉強会 - Claude/Claude_codeでデータ分析 -
Avatar for コロッケそば happysamurai294
0
390
Tour of Agent Protocols: MCP, A2A, AG-UI, A2UI with ADK
Avatar for Mete Atamel meteatamel
1
220
Network Firewall Proxyで 自前プロキシを消し去ることができるのか
Avatar for ぐっさん gusandayo
0
210

Featured

See All Featured
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.7k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.6k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
356
21k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
10
1.1k
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
430
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2.2k
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
730
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
76
5.1k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8.1k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
7k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
302
51k

Transcript

  1. クラウドにおけるシークレット管理 Copyright © 3-shake, Inc. All Rights Reserved. 2025-09-19 スリーシェイクエンジニア勉強会

    (社内) すずきまさし

  2. Copyright © 3-shake, Inc. All Rights Reserved. おまえだれよ 2 •

    すずきまさし/masasuzu/@masasuz • 株式会社スリーシェイクSreake事業部所属 • クラウドインフラなんでも屋さんをしてます ◦ お客様の外部から ▪ 設計、運用、構築等の技術支援を行います。 ◦ お客様の内部から ▪ インフラチームの一員として内製化支援も行います。 • 得意領域 ◦ AWS ▪ AWS Community Builder Cloud Operation Since 2024 ▪ 2025 Japan All AWS Certifications Engineers ◦ Google Cloud ◦ Terraform

  3. • はじめに • アプリケーション側の視点 • インフラ側の視点 • まとめ Copyright ©

    3-shake, Inc. All Rights Reserved. 目次 3

  4. Copyright © 3-shake, Inc. All Rights Reserved. はじめに 01 4

  5. ここで言うシークレットとはDBのパスワードやAPIキーなどの秘匿すべき情報のことを指 します。 AWSやGoogle Cloudなどでインフラやアプリケーションでシークレットをどう扱えばよい かをお話したいです。 Copyright © 3-shake, Inc. All

    Rights Reserved. はじめに 5

  6. Copyright © 3-shake, Inc. All Rights Reserved. アプリケーション側の視点 02 6

  7. アプリケーション側の実装で避けるべきアンチパターンを載せます • ソースコードに直接記述 • 設定ファイルに平文で記述 • 環境変数に平文で記述 • base64エンコード Copyright

    © 3-shake, Inc. All Rights Reserved. シークレット管理のアンチパターン 7

  8. ソースコードや設定ファイルに平文でシークレットを保存するとgit操作などのミスで漏洩 の可能性があります。 暗号化鍵を使用しないBase64などのエンコード処理も形式さえ別れば簡単にデコード できてしまうので、平文保存と変わりません。 シークレットを平文でレポジトリに保存するのは避けるべきです。 Copyright © 3-shake, Inc. All

    Rights Reserved. 平文保存ゼッタイダメ 8

  9. 平文がだめならKMSキーで暗号化すればよいのでは? 以下のようなフローが取れると思います。 1. アプリケーション起動時に KMSのから鍵を取得 2. 取得した鍵を利用して暗号化されたシークレットを復号 3. 平文のシークレット情報をアプリで利用する Copyright

    © 3-shake, Inc. All Rights Reserved. KMSによる暗号化の検討 9

  10. シークレットの復号化はアプリケーションの責務なのか? インフラ側に移譲できないか? Copyright © 3-shake, Inc. All Rights Reserved. 一見良い気がするが?

    10

  11. シークレットの復号およびシークレットの管理自体をシークレットストアに任せてアプリ ケーション側はそれを利用するのが望ましい • AWS ◦ Parameter Store (SecureString) ◦ Secrets

    Manager • Google Cloud ◦ Secret Manager Copyright © 3-shake, Inc. All Rights Reserved. シークレットストアの利用 11

  12. Copyright © 3-shake, Inc. All Rights Reserved. インフラ側の視点 03 12

  13. クラウドリソースの管理をどうするかの検討 • 手動でコンソールから設定 • シークレットの値を平文で IaC管理(tfvarsファイルを git管理から外す ) • シークレットの値を暗号化して

    IaCで管理 • シークレットストアを IaCで管理、値は手動設定 Copyright © 3-shake, Inc. All Rights Reserved. シークレットストアの管理 13

  14. シークレットが少ないときはこれはこれであり。 • ただし、シークレットが増えてきたときに ◦ 煩雑 ◦ 設定ミスの可能性増大 Copyright © 3-shake,

    Inc. All Rights Reserved. 手動で設定 14

  15. シークレットの値だけ、gitignoreしたtfvarsで管理する。 • ミスでコミットされてしまう懸念 Copyright © 3-shake, Inc. All Rights Reserved.

    シークレットの値を平文でIaC管理 15

  16. sops providerを使うことでKMSを用いてシームレスに復号できます。 ただし、以下の懸念があります。 • KMSキーの管理が別途必要 • TerraformのStateファイルには平文で保存される Copyright © 3-shake,

    Inc. All Rights Reserved. シークレットの値を暗号化してIaC管理 16

  17. シークレットリソースは管理しつつ、実際の値は手動で管理します。 シークレットの値はignore_changeにすることにより差分を発生させないようにします。 • 値が管理されないので漏洩の心配がない • 一番バランスが取れいている Copyright © 3-shake, Inc.

    All Rights Reserved. シークレットストアのリソースはIaC管理、値は手動管理 17

  18. Copyright © 3-shake, Inc. All Rights Reserved. まとめ 04 18

  19. 現時点で私が考える望ましい方法としては以下のとおりです。 • アプリケーション ◦ クラウドのシークレットストア (Secrets Managerなど)と実行環境(ECS, Cloud Runなど)の統合機能 を使い、環境変数またはファイルとしてシークレットを読み込む。

    • インフラ ◦ クラウドのシークレットストアのリソース自体は Terraformで管理する。 ◦ 実際のシークレットの値は ignore_changes を活用して手動で設定し、 Gitの管理から分離する。 もちろん要件によって取りうる手段は変わるとは思います。他になにか良い方法をご存知でしたら教えて下さ い。 それでは良いシークレットライフを ! Copyright © 3-shake, Inc. All Rights Reserved. まとめ 19