Upgrade to Pro — share decks privately, control downloads, hide ads and more …

気づかぬうちにセキュリティ負債を生むAPIキー運用

Avatar for Michitaka Sugawara Michitaka Sugawara
June 17, 2026
Technology
110
0

 気づかぬうちにセキュリティ負債を生むAPIキー運用

オブザーバビリティアンチパターン by NRUG Vol.18 (https://nrug.connpass.com/event/393724/) のLT資料です。

Avatar for Michitaka Sugawara

Michitaka Sugawara

June 17, 2026

Other Decks in Technology

See All in Technology
AAIFに入ってみた ~内から見えるコミュニティ動向~
Avatar for Satoshi Ito sato4
0
180
Claude Code×Terraform IaC テンプレート駆動開発
Avatar for Itou Hideki itouhi
1
510
LLMにもCAP定理があるという話
Avatar for Haruka Sakihara harukasakihara
0
310
Disciplined Vibes: Scaling AI-Assisted Engineering
Avatar for Sheharyar Naseer sheharyar
0
140
SIer20年! 培ったスキルがスタートアップで輝く時
Avatar for しゅういちろ shucho0103
0
850
AI-DLCを活用した高品質・安全なAI駆動開発実践 / AI Driven Development with AI-DLC
Avatar for 吉田真吾 yoshidashingo
0
180
2026TECHFRESH畢業分享會 - Lightning Talk - E起 See See : 電商推薦讀心術? 數據說了算
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
900
AIっぽい文章を採点して人間らしく直すアプリを作ってみた
Avatar for Yuuki Yamashita yama3133
2
140
20260619 私の日常業務での生成 AI 活用
Avatar for Masaru Ogura masaruogura
1
150
日本 Fintech 未来予測レポート 2027〜2028年(オリジナル版)
Avatar for 8maki 8maki
0
2.1k
protovalidate-es を導入してみた
Avatar for 弁護士ドットコム bengo4com
0
180
なぜ Platform Engineering の土台に Kubernetes を選ぶのか
Avatar for Ray r4ynode
2
610

Featured

See All Featured
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
1
310
Joys of Absence: A Defence of Solitary Play
Avatar for Sebastian Deterding codingconduct
1
390
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
Avatar for Helen Beal helenjbeal
1
210
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.8k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
3.1k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
41
2.6k
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
200
Amusing Abliteration
Avatar for ianozsvald ianozsvald
1
200
Introduction to Domain-Driven Design and Collaborative software design
Avatar for Kenny Baas-Schwegler baasie
1
840
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
630
The untapped power of vector embeddings
Avatar for Frank van Dijk frankvandijk
2
1.8k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
76
5.2k

Transcript

  1. Copyright © 2026 BeeX Inc. All Rights Reserved. 気づかぬうちにセキュリティ負債を 生むAPIキー運用

    オブザーバビリティアンチパターン by NRUG Vol.18 2026/6/17 株式会社BeeX 菅原 充貴

  2. Copyright © 2026 BeeX Inc. All Rights Reserved. 2 自己紹介

    自己紹介 菅原 充貴 (Sugawara Michitaka) 株式会社BeeX マネージドサービス本部 サービスデリバリー部 シニアテクニカルコンサルタント ✓ 2022年10月よりBeeXにJoin クラウド上のシステムの構築・運用を担当 オブザーバビリティ製品のプリセールス、導入支援など も担当 ✓ 2026年よりNew Relic Trailblazer ✓ Trailblazer本(Vol.1,Vol2)の執筆活動にも参加 本日はその第5章の内容をお話しします。 ↑先日の技術書展20の時の写真です。

  3. Copyright © 2026 BeeX Inc. All Rights Reserved. 3 今日伝えたいこと

    APIキーの運用管理は意識していますか? ✓昨今のセキュリティインシデントを踏まえると正しい管理が必須 ✓気づかぬうちにセキュリティ負債が溜まっていく怖さ

  4. Copyright © 2026 BeeX Inc. All Rights Reserved. 4 最近のセキュリティインシデント(時事ネタ)

    本では触れてないけど・・・ ✓某資産管理サービス → GitHubへの不正アクセスが発覚 ✓某クラウドファンディングサイト → 外部からの攻撃を受けサービスに影響 ✓GitHub自体への攻撃 → GitHub Actionsを悪用したサプライチェーン攻撃 認証情報管理は他人事ではない実態があるのではないか

  5. Copyright © 2026 BeeX Inc. All Rights Reserved. 5 New

    Relic APIキーの種類 ✓License Key(Ingest - License) → Infrastructure Agent / APM からのデータ送信用 ✓Browser Key(Ingest - Browser) → Browser Agent からのデータ送信用 ✓User Key → NerdGraph API などで使用 当たり前だが、New RelicがSaaS製品である以上、APIキーは連携の土台 →土台が崩れると運用負債は必ず表面化する

  6. Copyright © 2026 BeeX Inc. All Rights Reserved. 6 アンチパターン①

    キーの乱立 こんなケースはないでしょうか? ✓ ガイド付きインストールのたびにUser Keyが自動生成 ✓ 気が付いたら、どのキーがどこで使われているか分からない。把握していない。 【対処方法】 1. 発行前に用途を決める 2. 必要最小限の本数にする 3. 保管場所を統一する (AWSならSecrets Managerなど..) 4. 定期的なローテーションを実施する ルール・管理を決めることが大事 クリックした時点でキーが生成 される

  7. Copyright © 2026 BeeX Inc. All Rights Reserved. 7 アンチパターン②

    秘匿情報を平文で保存 ※アンチパターンというかもうインシデントレベルですが・・・。。。 ✓GitHubリポジトリにAPIキーを直接記述 →仕様上、リソースを消しても、コミット履歴に残り続ける(削除しても消えない) ✓Synthetics Scripted API内に認証情報を平文で記載も同様 【対処方法】 ・Gitであれば、.gitignore にAPIキーの記述は確実に除外し、Git管理対象外にする ・もしくはGitHub Secrets / Variables を活用 ・New Relic Syntheticsなら Secure Credentials を活用

  8. Copyright © 2026 BeeX Inc. All Rights Reserved. 8 実践例:Infrastructure

    Agent のAPIキー秘匿化 お題:設定ファイルにライセンスキーが平文で保存される。 ✓解決アプローチ(AWS環境での実装例): 1. Agent起動時にAWS Secrets ManagerからAPIキーを取得 2. OS環境変数に一時的にセット → Agentが読み込み起動 ※現仕様上、OS環境変数経由の情報からAPIキー情報が読み込めるため 3. Agent起動確認後、環境変数からAPIキーを削除 ✓メリット: ・通常の設定ファイル(newrelic-infra.yml)にAPIキーが残らない ・キーのローテーションをする際はSecrets Managerの値を更新するだけで済む ・サーバ台数が多い環境でも作業コスト大幅削減

  9. Copyright © 2026 BeeX Inc. All Rights Reserved. 9 まとめ

    ✓ルールなき運用はセキュリティ負債を生む。 管理ルールを決め、定期的に見直すべき。 ✓平文保存は即インシデント(最近のインシデント事例を踏まえると余計に・・) 詳しくは技術書典20「New Relicに詳しい人達が書いた本Vol.2」 第5章をご覧ください! ご清聴いただきありがとうございました。

  10. Copyright © 2026 BeeX Inc. All Rights Reserved.