Ask HN: 会社ではどのような方法でパスワードを保存・共有していますか?

 (news.ycombinator.com)
23 ポイント 投稿者 GN⁺ 2024-09-03 | 1件のコメント | WhatsAppで共有
  • IT職では数多くのパスワードを管理する必要がある
  • パスワードを保存し、アクセス権を付与するおすすめの方法はあるだろうか?
    • 新しい従業員が初日から必要なすべてのパスワードにアクセスできるようにする
    • 新しい従業員が昇進したときに、追加で必要なパスワードへのアクセス権を付与する
    • 従業員が会社を去るとき、その人がアクセスしていた重要なパスワードを変更し、アクセス権を持つ全員に変更を知らせる

関連記事

1件のコメント

 
GN⁺ 2024-09-03

Hacker Newsの意見

  • パスワード管理は最小限に
    • SSOを使って可能な限り多くのサービスをOIDCで統合し、監査とアクセス管理を容易にするためにクラウド版の1Passwordを使う
    • 誰かにパスワードへのアクセス権を与えるときは、その人が別の役割に変わったり退職したりした場合にパスワードを変更しなければならないことを忘れないこと。パスワードがまったく面倒でないなら、何かを間違えている
  • パスワード管理の方法:
    • すべてのパスワードはユニークであるべき。可能な限りパスワード共有は避けること。SSOを使う
    • 必要に応じてパスワードマネージャー、またはHashicorp VaultやOpenBaoのようなソリューションを使う
  • 組織規模に応じたアプローチ:
    • 人数とサービス数に応じたセキュリティ戦略
      • 1〜20人 - パスワードマネージャー(Bitwarden、1Passwordなど)を使う
      • 20〜30人以上 - SSOを使う
      • 50人以上 - SSOスキーマに実際の役割割り当てを始める
      • 1〜5サービス - CircleCIのシークレットとパスワードマネージャーで十分
      • 5個以上のインスタンス - Vaultのようなシークレットマネージャーを使う
      • 10個以上のインスタンス - 開発のためにローカルでもシークレットマネージャーを使い始める。各サービスとチームメンバーに対して、適切にスコープされたIAMポリシーの利用を検討し始める
      • 15個以上のインスタンス - 追加のゼロトラスト境界を検討し始める
    • もちろんこれはかなり大まかな目安。規制・コンプライアンス要件や売上規模によっては、これらをもっと早く実施する必要があるかもしれない
    • セキュリティ強化の段階
      1. 簡単に取り消せなくてもシークレットを集中管理する(パスワードマネージャー)
      2. 簡単に取り消せて、かつ集中管理する(SSO)
      3. 役割とアクセスをより細かく分割する(RBAC)
      4. これらの段階の間に自動化を適用する(適切な場合)
  • 一般アカウントと管理者アカウントを分けて使う
  • 集中管理と自動化:
    • シークレットを集中管理し、容易に失効できるようにする
    • ロールベースアクセス制御(RBAC)を使ってきめ細かなアクセス権を付与する
    • 自動化によってすべての段階をつなぐ
  • 独自の認証/シークレット管理ツールを構築しないこと: 非常に複雑でリスクが高いため、可能な限り自前実装は避けること
  • 可能な限り多くの作業を自動化し、従業員が本番システムにアクセスする必要がないようにすること
  • Ripplingを推奨: SSOとHR管理が統合されたソリューションとして推奨
  • セキュリティプログラム構築の経験:
    • SSOを使う: 予算が許せばOkta、そうでなければKeycloakを使う
    • パスワードマネージャーを使う: 1Passwordを推奨
    • シークレット管理ソリューションを使う: HashiCorp Vaultを推奨
  • SSOと2FA: SSOと2FAを併用してセキュリティを強化する