Upgrade to Pro — share decks privately, control downloads, hide ads and more …

気づかぬうちにセキュリティ負債を生むAPIキー運用

Avatar for Michitaka Sugawara Michitaka Sugawara
June 17, 2026
Technology
110
0

 気づかぬうちにセキュリティ負債を生むAPIキー運用

オブザーバビリティアンチパターン by NRUG Vol.18 (https://nrug.connpass.com/event/393724/) のLT資料です。

Avatar for Michitaka Sugawara

Michitaka Sugawara

June 17, 2026

Other Decks in Technology

See All in Technology
LLMにもCAP定理があるという話
Avatar for Haruka Sakihara harukasakihara
0
310
スキルと MCP ツール、責務をどう分けるか? AI が迷わないインターフェース設計の戦略
Avatar for CData Software Japan cdataj
1
990
白金鉱業Meetup_Vol.24_「AIエージェントは分けるほど良い」は本当か? / Is it true that “the more you divide AI agents, the better”?
Avatar for BrainPad brainpadpr
1
340
就職⽀援サービスにおけるキャリアアドバイザーのシフトスケジューリング
Avatar for Recruit recruitengineers
PRO
1
140
あなたの知らないPDFのアクセシビリティ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
130
機械学習を「社会実装」するということ 2026年夏版 / Social Implementation of Machine Learning June 2026 Version
Avatar for Moe Uchiike(内池 もえ) moepy_stats
5
1.8k
Agentic Web
Avatar for dynamis dynamis
1
210
RSA暗号を手計算したくなること、ありますよね?? (20260615_orestudy6_rsa)
Avatar for Koki Senda thousanda
0
320
Djangoユーザが知っ得なPostgreSQL機能 - 設計の選択肢を増やす / Djang-use-PostgreSQL
Avatar for soudai sone soudai
PRO
1
230
SONiC Scale-Up Working Group から探る Scale-UpやUltraEthernet機能の実装方法
Avatar for ebiken ebiken
PRO
2
150
AIソロプレナー時代に2ヶ月で20人増員した事業創造会社の開発組織の話
Avatar for Koji Miyata miyatakoji
0
630
RAG を使わないという選択肢
Avatar for tatsutaka tatsutaka
1
210

Featured

See All Featured
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.7k
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
530
A better future with KSS
Avatar for Kyle Neath kneath
240
18k
Exploring anti-patterns in Rails
Avatar for Elle Meredith aemeredith
3
400
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
270
14k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
163
24k
Accessibility Awareness
Avatar for Sarah Abderemane sabderemane
1
140
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
850
Crafting Experiences
Avatar for Bethany Jepchumba bethany
1
180
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
62
54k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
528
40k

Transcript

  1. Copyright © 2026 BeeX Inc. All Rights Reserved. 気づかぬうちにセキュリティ負債を 生むAPIキー運用

    オブザーバビリティアンチパターン by NRUG Vol.18 2026/6/17 株式会社BeeX 菅原 充貴

  2. Copyright © 2026 BeeX Inc. All Rights Reserved. 2 自己紹介

    自己紹介 菅原 充貴 (Sugawara Michitaka) 株式会社BeeX マネージドサービス本部 サービスデリバリー部 シニアテクニカルコンサルタント ✓ 2022年10月よりBeeXにJoin クラウド上のシステムの構築・運用を担当 オブザーバビリティ製品のプリセールス、導入支援など も担当 ✓ 2026年よりNew Relic Trailblazer ✓ Trailblazer本(Vol.1,Vol2)の執筆活動にも参加 本日はその第5章の内容をお話しします。 ↑先日の技術書展20の時の写真です。

  3. Copyright © 2026 BeeX Inc. All Rights Reserved. 3 今日伝えたいこと

    APIキーの運用管理は意識していますか? ✓昨今のセキュリティインシデントを踏まえると正しい管理が必須 ✓気づかぬうちにセキュリティ負債が溜まっていく怖さ

  4. Copyright © 2026 BeeX Inc. All Rights Reserved. 4 最近のセキュリティインシデント(時事ネタ)

    本では触れてないけど・・・ ✓某資産管理サービス → GitHubへの不正アクセスが発覚 ✓某クラウドファンディングサイト → 外部からの攻撃を受けサービスに影響 ✓GitHub自体への攻撃 → GitHub Actionsを悪用したサプライチェーン攻撃 認証情報管理は他人事ではない実態があるのではないか

  5. Copyright © 2026 BeeX Inc. All Rights Reserved. 5 New

    Relic APIキーの種類 ✓License Key(Ingest - License) → Infrastructure Agent / APM からのデータ送信用 ✓Browser Key(Ingest - Browser) → Browser Agent からのデータ送信用 ✓User Key → NerdGraph API などで使用 当たり前だが、New RelicがSaaS製品である以上、APIキーは連携の土台 →土台が崩れると運用負債は必ず表面化する

  6. Copyright © 2026 BeeX Inc. All Rights Reserved. 6 アンチパターン①

    キーの乱立 こんなケースはないでしょうか? ✓ ガイド付きインストールのたびにUser Keyが自動生成 ✓ 気が付いたら、どのキーがどこで使われているか分からない。把握していない。 【対処方法】 1. 発行前に用途を決める 2. 必要最小限の本数にする 3. 保管場所を統一する (AWSならSecrets Managerなど..) 4. 定期的なローテーションを実施する ルール・管理を決めることが大事 クリックした時点でキーが生成 される

  7. Copyright © 2026 BeeX Inc. All Rights Reserved. 7 アンチパターン②

    秘匿情報を平文で保存 ※アンチパターンというかもうインシデントレベルですが・・・。。。 ✓GitHubリポジトリにAPIキーを直接記述 →仕様上、リソースを消しても、コミット履歴に残り続ける(削除しても消えない) ✓Synthetics Scripted API内に認証情報を平文で記載も同様 【対処方法】 ・Gitであれば、.gitignore にAPIキーの記述は確実に除外し、Git管理対象外にする ・もしくはGitHub Secrets / Variables を活用 ・New Relic Syntheticsなら Secure Credentials を活用

  8. Copyright © 2026 BeeX Inc. All Rights Reserved. 8 実践例:Infrastructure

    Agent のAPIキー秘匿化 お題:設定ファイルにライセンスキーが平文で保存される。 ✓解決アプローチ(AWS環境での実装例): 1. Agent起動時にAWS Secrets ManagerからAPIキーを取得 2. OS環境変数に一時的にセット → Agentが読み込み起動 ※現仕様上、OS環境変数経由の情報からAPIキー情報が読み込めるため 3. Agent起動確認後、環境変数からAPIキーを削除 ✓メリット: ・通常の設定ファイル(newrelic-infra.yml)にAPIキーが残らない ・キーのローテーションをする際はSecrets Managerの値を更新するだけで済む ・サーバ台数が多い環境でも作業コスト大幅削減

  9. Copyright © 2026 BeeX Inc. All Rights Reserved. 9 まとめ

    ✓ルールなき運用はセキュリティ負債を生む。 管理ルールを決め、定期的に見直すべき。 ✓平文保存は即インシデント(最近のインシデント事例を踏まえると余計に・・) 詳しくは技術書典20「New Relicに詳しい人達が書いた本Vol.2」 第5章をご覧ください! ご清聴いただきありがとうございました。

  10. Copyright © 2026 BeeX Inc. All Rights Reserved.