Postman Vaultを使った秘密情報の安全な管理

All rights reserved by Postman Inc Postman Vault を使った秘密情報の安全な管理
草薙昭彦テクノロジーエバンジェリスト

テクノロジーエバンジェリスト Postman 株式会社草薙昭彦 @postman_japan @nagix

アジェンダ • 秘密情報の管理 • Postman Vault の基本 • Postman Vault
インテグレーション @postman_japan

Postman で秘密情報を扱うシーン @postman_japan • API 認証・認可 ◦ API キー、アクセストークン、・・・ •
API で個人情報 PII や業務情報を送信するとき ◦ 顧客・社員の個人情報、クレジットカード情報、・・・これらの情報をパブリッククラウドに送信することを制限している企業は多い

Postman ユーザーからよく聞かれる質問 Top 10 @postman_japan 1. Postman はどこでデータをホストしていますか？ 2. どのようなデータが
Postman クラウドに保存されますか？ 3. 個人や機密データが Postman クラウドに送信されないようにするための指針はありますか？ 4. Postman で API キーや認証情報を使用する際の指針を教えてください 5. Postman でコレクションや OpenAPI Spec をシームレスにインポートする方法はありますか？ 6. Postman でチームコラボレーションをするためのベストプラクティスを教えてください。 7. Postman を使ったテストのベストプラクティスは何ですか？ 8. Postman を使って API コレクションのドキュメントを作成できますか？ 9. Postman は、関係者がアセットを発見し、利用するための内部ポータルを公開していますか？ 10. 最後に、Postman が企業に提供する主な機能を教えてください https://blog.postman.com/top-10-questions-from-postman-users/

Postman クラウドに保存されるデータ @postman_japan • コレクションや環境など、ユーザーが編集可能なデータは、すべて Postman クラウドに同期される ◦
Postman クラウド内では暗号化され格納 • 例外として、環境変数・グローバル変数の現在値 Current value) と Postman Vault の値はクラウドには同期されない ⚠ Postman の共有責任モデルでは、ユーザー側も機密データの取り扱いについて責任を持つ必要があるワークスペースの公開範囲、アクセス権の設定、API キーの管理、アカウントの管理などはユーザーが行う同期されない同期される

データがクラウドに送信されないようにする指針 @postman_japan • リクエストにダミーデータを使用 ◦ フェイカーライブラリを使用して、テスト用にランダムなサンプルデータを生成フェイカーライブラリとは？名前・住所・電話番号・メールアドレス
など、さまざまな形式のダミーデータを自動生成するライブラリ Postman では動的変数でフェイカーを利用できるパラメーターやボディ: {{$randomPhoneNumber}} スクリプト: pm.variables.replaceIn('{{$randomFirs tName}}') 例：faker-js

データがクラウドに送信されないようにする指針 @postman_japan • コレクションランナー実行時には、 CSV/JSON のデータファイルを使用してリクエストデータを構築 ◦ データファイルはローカル環境から
読み込まれるため、クラウドには保存されない

データがクラウドに送信されないようにする指針 @postman_japan • 管理者はシークレットスキャナーを活用して、不注意に公開された可能性のあるシークレットを検出できる ◦ 90 以上のポピュラーなサービスのトークンのパターン ◦
カスタム正規表現パターンを構成して、チーム独自のトークンやデフォルトではスキャンされないトークンを検出することもできる

API キーや認証情報を使用する際の指針 @postman_japan • 2024年5月より前（Postman v10 より前） ◦ 他人に見られないようにする（マスキング） ▪
「シークレット」タイプの変数 ◦ 他人に共有できないようにする ▪ 環境変数の現在値に値を保存し、初期値にはダミーか説明を格納する

API キーや認証情報を使用する際の指針 @postman_japan • 2024年5月以降（Postman v11 以降） ◦ 今日の本題 :
Postman Vault を使う画面右下のこれ

Postman Vault @postman_japan 機密データを Postman のローカルインスタンスにのみ保存利用可能なドメインを限定できる {{vault:secret-name}} で環
境、認可設定などをワークスペース全体で利用可能

Postman Vault の基本 @postman_japan • アクセストークン、API キーなどの機密データを安全に Postman のローカルインスタンスに保存して再利用できるしくみ
• 初めて Vault を使う際には、Vault にアクセスするための Vault キーを生成して安全な場所に保存する必要がある ◦ Vault キーは OS のパスワードマネージャーにも保存できる ⚠ コレクションランナーのスケジュール実行、モニター、Postman CLI、Newman では利用不可 ⚠ Postman からサインアウトすると、Vault に保存されたシークレットは削除される

ローカルマシンローカルインスタンス？ @postman_japan • 同じマシンでも Postman デスクトップアプリと Web アプリは別インスタンスデスクトップアプリ
Web アプリ Vault Vault 別インスタンス

Vault シークレットの使い方 @postman_japan パラメーターや認可タブのフィールドで指定マウスを当てると Vault のタグと使われる値が確認できる空または未解決の Vault
シークレットの場合赤くハイライトされるので、マウスを当ててその場限りの値を入力するか、入力した値を Vault に保存することができる

Vault シークレットの使い方（スクリプトから） @postman_japan 1. Vault の Settings でスクリプトでのサポートを有効にする 2.
スクリプトを書く console.log(await pm.vault.get(secretKey)); 3. スクリプト実行時に出るダイアログで Vault アクセスを許可する 4. 結果を得る "*****"

Postman Vault を推奨する理由 @postman_japan • シークレットは暗号化されてからローカルに保存される • シークレットはすべてのワークスペースで利用可能 • シークレットは
Postman コンソールに記録される際にマスクされる • シークレットは有効／無効にすることができ、安全でありながら柔軟性がある • シークレットは特定のドメインに対してのみ解決するように制限することができ、不用意に間違った API に紐付けてシークレットを共有することを防ぐ

Postman Vault インテグレーション @postman_japan 外部キー管理サービスに格納されたシークレット情報を Postman 変数として認証などに利用可能 1Password
AWS Secret Manager Azure Key Vault HashiCorp Vault

Postman Vault インテグレーション @postman_japan • 各ユーザーがローカル環境にシークレットを格納するための操作の必要もなくなるため、さらに安全 • 外部 Vault
の認証情報や取得したシークレットは、Postman のローカルインスタンスや Postman クラウドには保存されない ◦ Postman を再立ち上げしたり認証期限が切れたら、再度外部 Vault の認証をやり直す必要がある • 動作環境 ◦ Enterprise プラン＋ Advanced Security Administration アドオン ◦ Postman デスクトップアプリのみ

まとめ @postman_japan • API キーや認証情報などの機密データは Postman Vault に格納して安全に使おう •
システム全体のセキュリティレベルは、一番弱い部分のレベルに下げられてしまいます。機密データの管理は、すべてのユーザーの責任で取り組みましょう

ありがとうございました @postman_japan

Postman Japan コミュニティ Discord Discord サーバーを開設しました！今後 Postman のプロダクトアップデートやイベント情報の配信や、みなさんとの交流の場として活
用していきたいと思います。 https://discord.gg/G4SQWDDqVa @postman_japan

Postman Vaultを使った秘密情報の安全な管理

Postman Vaultを使った秘密情報の安全な管理

草薙昭彦

More Decks by 草薙昭彦

Other Decks in Technology

Featured

Transcript

All rights reserved by Postman Inc Postman Vault を使った秘密情報の安全な管理

テクノロジーエバンジェリスト Postman 株式会社草薙昭彦 @postman_japan @nagix

アジェンダ • 秘密情報の管理 • Postman Vault の基本 • Postman Vault

Postman で秘密情報を扱うシーン @postman_japan • API 認証・認可 ◦ API キー、アクセストークン、・・・ •

Postman ユーザーからよく聞かれる質問 Top 10 @postman_japan 1. Postman はどこでデータをホストしていますか？ 2. どのようなデータが

Postman クラウドに保存されるデータ @postman_japan • コレクションや環境など、ユーザーが編集可能なデータは、すべて Postman クラウドに同期される ◦

データがクラウドに送信されないようにする指針 @postman_japan • コレクションランナー実行時には、 CSV/JSON のデータファイルを使用してリクエストデータを構築 ◦ データファイルはローカル環境から

API キーや認証情報を使用する際の指針 @postman_japan • 2024年5月より前（Postman v10 より前） ◦ 他人に見られないようにする（マスキング） ▪

API キーや認証情報を使用する際の指針 @postman_japan • 2024年5月以降（Postman v11 以降） ◦ 今日の本題 :

Postman Vault @postman_japan 機密データを Postman のローカルインスタンスにのみ保存利用可能なドメインを限定できる {{vault:secret-name}} で環

Postman Vault の基本 @postman_japan • アクセストークン、API キーなどの機密データを安全に Postman のローカルインスタンスに保存して再利用できるしくみ

ローカルマシンローカルインスタンス？ @postman_japan • 同じマシンでも Postman デスクトップアプリと Web アプリは別インスタンスデスクトップアプリ

Vault シークレットの使い方 @postman_japan パラメーターや認可タブのフィールドで指定マウスを当てると Vault のタグと使われる値が確認できる空または未解決の Vault

Vault シークレットの使い方（スクリプトから） @postman_japan 1. Vault の Settings でスクリプトでのサポートを有効にする 2.

Postman Vault を推奨する理由 @postman_japan • シークレットは暗号化されてからローカルに保存される • シークレットはすべてのワークスペースで利用可能 • シークレットは

Postman Vault インテグレーション @postman_japan 外部キー管理サービスに格納されたシークレット情報を Postman 変数として認証などに利用可能 1Password

Postman Vault インテグレーション @postman_japan • 各ユーザーがローカル環境にシークレットを格納するための操作の必要もなくなるため、さらに安全 • 外部 Vault

まとめ @postman_japan • API キーや認証情報などの機密データは Postman Vault に格納して安全に使おう •

ありがとうございました @postman_japan

Postman Japan コミュニティ Discord Discord サーバーを開設しました！今後 Postman のプロダクトアップデートやイベント情報の配信や、みなさんとの交流の場として活