【かぎろーてーしょん】
鍵ローテーション とは?
💡 古い合言葉を定期的に変える、鍵の新陳代謝
📌 このページのポイント
- 鍵の露出期間を短くすることで、漏洩時の被害範囲を限定できる
- 定期ローテーション(時間基準)とイベント駆動ローテーション(漏洩検知時等)がある
- AWS Secrets Manager・HashiCorp Vaultなどで自動化が可能
- 古い鍵で暗号化されたデータの再暗号化(リキー)も考慮が必要
ひよこ 鍵ローテーションって、鍵を回すの?
ペンギン先生 物理的な鍵じゃなくて、暗号化に使う「暗号鍵」を定期的に新しいものに取り替えることだよ。ローテーション(交替)という言葉から来ているんだ
ひよこ なんで定期的に取り替えるの?
ペンギン先生 同じ鍵をずっと使い続けると、もし漏洩したときに過去のデータも全部解読されてしまうリスクがあるんだ。定期的に変えることで、漏洩が起きても被害を限定できるよ
ひよこ どのくらいの頻度で替えるの?
ペンギン先生 用途によって違うけど、月次・年次というスケジュールベースと、漏洩が疑われたときや担当者が退職したときなどのイベントベースの2種類があるよ
ひよこ 手動で替えるのは大変そうだけど、自動化できるの?
ペンギン先生 AWS Secrets ManagerやHashiCorp Vaultのようなシークレット管理ツールが自動ローテーションをサポートしているよ。人的ミスを防ぐためにも自動化が強く推奨されているんだ
ひよこ 古い鍵で暗号化したデータはどうなるの?
ペンギン先生 それが重要なポイントでね。鍵を変えたら古いデータを新しい鍵で再暗号化する「リキー(Re-key)」という作業も必要になるよ。設計段階からリキーのことを考えておくことが大切なんだ
まとめ:ざっくりこれだけ覚えればOK!
「鍵ローテーション」って出てきたら「暗号鍵を定期的に取り替えるセキュリティ運用」と思えればだいたいOK!
📖 おまけ:英語の意味
「Key Rotation」 = 鍵の交替・切り替え
💬 Rotation(回転・交替)は要員のローテーションと同じ使い方で、鍵を順番に切り替えていくことを指すよ