Slide 1
Slide 1 text
© DMM.com
の活用による
セキュアなパスワード管理
井上一也 - DMM.com LLC
2019/03/16 HashiCorp Terraform & Vault Enterprise 勉強会 in 金沢
Slide 2
Slide 2 text
© DMM.com
• 井上一也
• 年入社
• 合同会社 プラットフォーム事業本部
自己紹介
Slide 3
Slide 3 text
© DMM.com
本日の内容
架空のアプリケーションをデプロイするフローを例に
安全なパスワード管理の方法をご紹介します
Slide 4
Slide 4 text
© DMM.com
お話しすること・しないこと
• オンプレ上でのパスワード管理と改善
• のアーキテクチャや構成
お話しすること
お話ししないこと
Slide 5
Slide 5 text
© DMM.com
デプロイフロー
Slide 6
Slide 6 text
© DMM.com
フローに登場するソフトウェア
• ・ ソフトウェア
• からソースを
• の実行
• サーバ操作・デプロイなどの自動化ソフトウェア
• サーバへのデプロイ
Slide 7
Slide 7 text
© DMM.com
デプロイフロー
サーバ
アプリケーション
サーバ
サーバ
Slide 8
Slide 8 text
© DMM.com
サーバ
アプリケーション
サーバ
① を実行
サーバ
デプロイフロー
Slide 9
Slide 9 text
© DMM.com
デプロイフロー
サーバ
アプリケーション
サーバ
② からアプリケーションのソース
を取得
サーバ
ソース
Slide 10
Slide 10 text
© DMM.com
デプロイフロー
サーバ
アプリケーション
サーバ
③ が を実行
サーバ
Slide 11
Slide 11 text
© DMM.com
デプロイフロー
サーバ
アプリケーション
サーバ
④ で
アプリケーションサーバにデプロイ
サーバ
Slide 12
Slide 12 text
© DMM.com
• 上のソースにパスワードが乗っかってしまっている
• ソースが漏洩するとそのままパスワードが
流出してしまう
• サーバへアクセスできる人が全員パスワードを
閲覧できてしまう
• ローカルに落としたタイミングでも
流出する危険がある
問題点
サーバ
Slide 13
Slide 13 text
© DMM.com
改善したフロー
Slide 14
Slide 14 text
© DMM.com
改善後の構成
サーバ
アプリケーション
サーバ
サーバ サーバ
Slide 15
Slide 15 text
© DMM.com
改善後の構成
サーバ
サーバ サーバ
アプリケーション
サーバ
Slide 16
Slide 16 text
© DMM.com
• 機密情報 パスワード、トークンなど を管理するためのソフトウェア
• 機密情報を暗号化して管理
• オンプレ上に を立てオンプレ上で機密情報を管理することができる
Slide 17
Slide 17 text
© DMM.com
を使用した構成
サーバ
アプリケーション
サーバ
① を実行
サーバ サーバ
Slide 18
Slide 18 text
© DMM.com
を使用した構成
サーバ
アプリケーション
サーバ
② からアプリケーションの
ソースを取得
サーバ サーバ
ソース
Slide 19
Slide 19 text
© DMM.com
を使用した構成
サーバ
アプリケーション
サーバ
③ が を実行
サーバ サーバ
Slide 20
Slide 20 text
© DMM.com
を使用した構成
サーバ
アプリケーション
サーバ
④ が
からパスワードの取得・置換
サーバ サーバ
Slide 21
Slide 21 text
© DMM.com
を使用した構成
サーバ
アプリケーション
サーバ
⑤ が
アプリケーションサーバにデプロイ
サーバ サーバ
Slide 22
Slide 22 text
© DMM.com
改善前
サーバ
アプリケーション
サーバ
サーバ
Slide 23
Slide 23 text
© DMM.com
改善後
サーバ
サーバ サーバ
アプリケーション
サーバ
サーバ上のパスワードを
デプロイ前に埋め込むように改善
Slide 24
Slide 24 text
© DMM.com
パスワード取得・置換処理
Slide 25
Slide 25 text
© DMM.com
パスワード取得・置換
サーバ
サーバ サーバ
アプリケーション
サーバ
Slide 26
Slide 26 text
© DMM.com
パスワードをソースに埋め込む
パスワード取得・置換の流れ
ソースを読み込む
アプリケーションサーバにデプロイ
ソースを読み込む
アプリケーションサーバにデプロイ
からパスワードを取得
改善前の 改善後の
Slide 27
Slide 27 text
© DMM.com
パスワード取得・置換の流れ
パスワードをソースに埋め込む
からパスワードを取得
パスワードをソースに埋め込む
ソースを読み込む
アプリケーションサーバにデプロイ
ソースを読み込む
アプリケーションサーバにデプロイ
からパスワードを取得
改善前の 改善後の
Slide 28
Slide 28 text
© DMM.com
• 社が公式で提供している との通信用クライアント
• 言語は
• 同じ言語である と連携して使用することができる
Slide 29
Slide 29 text
© DMM.com
Slide 30
Slide 30 text
© DMM.com
パスワード取得・置換の流れ
ソースコード
ソースを読み込む
アプリケーションサーバにデプ
ロイ
Slide 31
Slide 31 text
© DMM.com
まとめ
• オンプレのパスワード管理には を使用すると
セキュリティ強度が上がります。
• デプロイフローへの組み込みも簡単です。
Slide 32
Slide 32 text
© DMM.com
参考資料
•
•
•
•
•
•