シークレット漏洩に対する組織のリスクを理解する

2025年4月1日 // 1 min read

image

昨年は 3,900 万件のシークレットが漏洩しました。あなたのシークレットは安全ですか? 漏洩について知っておくべき事柄をご紹介します。

GitHub エグゼクティブ インサイトで公開

API キー、パスワード、トークン、暗号化キー、その他認証情報などのシークレットは、モダン ソフトウェア開発に不可欠です。開発者には、ソフトウェア開発プロセスの全体を通じて認証情報を扱う機会が頻繁にあります。認証情報は、アプリケーションを重要なインフラストラクチャ、データベース、クラウド サービス、サードパーティー API にセキュアに接続します。しかし、シークレットの安全を確保することは容易ではありません。厳格なコントロールと自動化されたセーフガードがなければ、これらの認証情報が不注意にリポジトリ、ログ、その他のセキュア化されていない場所に置かれてしまい、露出リスクが高まる可能性があります。

2024 年だけでも、GitHub で 漏洩したシークレットを 3,900 万件検出しました。IBM の「2024 年データ侵害のコストに関する調査レポート」によると、漏洩した認証情報が関与するデータ侵害によって組織が被った損害額はインシデントあたり平均 488 万 USD で、前年よりも 10% 高くなっています。

漏洩したシークレットの影響はますます大きくなっており、ソフトウェアを迅速に提供するプレッシャーが強まる中、組織は開発者に負担をかけることなく事前対応型セキュリティを導入する必要があります。

この記事は、シークレット漏洩が発生する仕組み、漏洩が及ぼす財政上および業務上の影響、組織に固有のリスク プロファイルを評価する方法を理解するために役立ちます。現行の GitHub のお客様に対しては、新しいシークレットリスク評価ツールもご紹介します。このツールは、コードベース内の潜在的な脆弱性に対するリアルタイムのインサイトを提供することで、チームが事前対応型セキュリティ対策を実施できるようにします。

現行の GitHub のお客様ですか? 組織管理者にシークレットリスク評価を実行してもらい、組織のシークレット漏洩フットプリントを確認しましょう。

シークレットが漏洩する仕組み

シークレット漏洩は、認証情報が不注意にリポジトリにコミットされる、誤ってログに保存される、または誤設定されたクラウド環境から外部にさらされることによって発生することが一般的です。攻撃者は通常、パブリック リポジトリをスキャンする、誤設定を悪用する、またはフィッシングやソーシャル エンジニアリング攻撃を通じてネットワークに侵入することでこれらのシークレットを検出します。

漏洩した認証情報にアクセスできるようになると、攻撃者は誰にも気付かれずにシステム内を移動して、特権を昇格したり極秘情報にアクセスしたりし、ランサム ウェアをデプロイすることさえもあります。例えば、2022 年の LastPass 侵害は、攻撃者が漏洩した単一の認証情報にアクセスしたことから始まり、最終的には広範囲に及ぶデータの流出と甚大な財務損失につながりました。

データ流出の隠れたコスト

データ流出の実際のコストは、当座の財務損失をはるかに超えるものです。インシデントあたり 488 万 USD という損害額だけでは不十分だと言わんばかりに、組織は財務的な影響を超える結果にも直面します。専有データ、財務記録、お客様の詳細情報などの極秘情報が漏洩すると、結果として生じるダメージはお客様やパートナーの信頼を著しく損ないかねません。Ponemon と Sullivan のプライバシーレポートは、「データ侵害被害者の 65% が、侵害の結果として組織への信頼を失った」としています。

データ侵害は、外部評価や財政に悪影響をもたらすだけでなく、社内業務の中断も引き起こします。組織は、修復や調査に膨大なリソースを振り分けなければならないため、貴重な時間が消費され、重要なビジネス目標の進捗が妨げられることになります。最終的に、目に見えないコスト (信頼の喪失、生産性の中断、関係の悪化) は、当座の財務損失よりもさらに大きく、長期的な影響を及ぼす可能性があります。

組織のシークレット漏洩リスクを分析する方法

シークレット漏洩に対する組織のリスクを理解して定量化することは、セキュリティ態勢の強化と、発生前の侵害防止に不可欠です。

リスクを上昇させる要因:

  • 認証情報の使用における複雑性: 多数のリポジトリ、クラウド インテグレーション、サードパーティー サービス全体で多種多様な認証情報を使用する組織では、管理するシークレットも必然的に多くなるため、偶発的な露出の可能性が高くなります。
  • 開発者によるアクセスと認証情報の使用: 機密性が高い認証情報に定期的にアクセスする必要がある開発者が多数存在する企業は、より大きな露出リスクにさらされます。シークレットのローテーション プロセス、つまり認証情報の存続期間を制限し、露出リスクを削減するための定期的な更新または置き換えが手動で行われていたり、一貫性に欠けている場合はなおさらです。
  • デプロイの頻度と速度: 新しいコードを迅速にリリースする組織では、ペースの早い開発サイクルが原因でシークレットが意図せずに包含されたり露出したりする可能性が高くなるため、リスクも高くなります。
  • 手動プロセス対自動プロセス: 手動チェックに大きく依存する企業は、自動化された統合セキュリティ対策を採用している企業よりも脆弱になります。
  • オープン ソース リポジトリとパブリック リポジトリ: パブリック リポジトリへのコントリビューション、またはプライベート環境とパブリック環境間でのコードの共有は、不注意によるシークレット漏洩の可能性を増大させます。自動化されたスキャン ツールはパブリック リポジトリを定期的に監視することで、すぐさま検出でき、悪用される可能性のある露出された認証情報を特定します。

組織のリスクを定量化する

  • インベントリ監査: コードベース、インフラストラクチャ、ワークフローの全体で使用されているシークレットを継続的に特定し、カタログ化します。
  • インシデントの履歴分析: 過去のインシデントを調べて、パターンや共通の弱点を特定します。
  • 業界標準に照らしたベンチマーキング: シークレット管理プラクティスを OWASP アプリケーションセキュリティ検証標準 (ASVS)、NIST ガイドライン、GitHub ドキュメント「API 資格情報をセキュリティで保護する」などの確立されたセキュリティ標準と比較します。これらのガイドラインの順守におけるギャップは、リスクが高くなっているエリアを示している可能性があります。
  • セキュリティ トレーニングの修了: セキュリティ トレーニングや教育プログラムに対する開発者の参加率と修了率を定期的に監査します。トレーニング プラクティスに一貫性がない、または不完全な組織では、秘密漏洩が発生しやすくなります。

これらの戦略を実装することにより、組織のシークレット露出に関する理解を深めることができます。リスク レベルの特定と定量化は、セキュリティ態勢を強化し、開発プロセスとの整合性を確保するための重要なステップです。

現行の GitHub のお客様: シークレット露出をすばやく評価する

GitHub のシークレットリスク評価は、漏洩した認証情報に対する組織のリスクについて、即時的な集約されたインサイトを提供します。このインサイトは、一般に公開されたシークレットの発生を特定し、内部露出を評価して、リスクにさらされている最も一般的な認証情報タイプを突き止めるために役立ちます。管理者は、この評価を組織の [Security] タブから直接実行できるため、組織を侵害から保護するためのアクションを迅速に実施できます。

組織の管理者にこのリンクを共有して、シークレットリスク評価を今すぐ実行してください。

この記事では、漏洩した認証情報が多大な損害をもたらす侵害や、お客様の信頼と業務生産性に対する重大で長期的な影響にどれだけ早くエスカレートするのかなど、シークレット漏洩に関連するリスクの増大を検証してきました。

組織の露出を理解する以外にも、事前対応型セキュリティ対策の詳細を学びたいという場合は、このトピックを深く掘り下げた eBook「シークレット スキャン: サイバーセキュリティ戦略の鍵」をお読みください。この eBook では、以下をご覧いただけます。

  • 包括的なシークレット管理アプローチ。
  • 組織のセキュリティ態勢を強化するための主要原則。
  • シークレット管理プロセスの実装または改善に関する実用的なガイダンス。

この eBook に加えて、企業全体でシークレットの漏洩を防ぎ、開発者がデフォルトでセキュア コードをリリースできるようにする方法を学ぶための GitHub Secret Protection もご覧ください。

GitHub での AI やその他のイノベーションの戦略的役割について、さらに詳しく知りたいですか? エグゼクティブ インサイトで、テクノロジーとビジネスの将来について、ソート リーダーシップの詳細をご覧ください。

Tags