データ保護のためのセキュリティ対策について
データ漏洩はどんな企業にとっても恐ろしくコストがかかります。システムを改善する費用だけでなく、顧客を失った損失や高価なサポート費用も含まれるからです。マカフィーが公開したレポートでは、サイバー犯罪から生じた世界中のコストは6000億ドルに達すると予測しています。あまり知られていませんが、サイバー犯罪の大多数は簡単なパスワードが破られてしまうことに起因しており、実に63%から81%の割合を占めています。そしてもう1つの驚くべき事実は、データ漏洩の24%が社内からの攻撃であるということです。つまり同僚からパスワードを破れられないようにするだけで、企業は年間何百万ドルもの費用を節約できます。
JFrog製品のセキュリティ対策について
サイバー犯罪を阻止するために、JFrog Artifactory、JFrog Xray、JFrog Distributionでは使用されるデータベース接続パスワードのセキュリティを強化する機能を導入しました。今まで平文パスワードで管理され、誰もが閲覧可能だったというわけではありません。今までも常に暗号化されていましたが、よりセキュリティを高めることにしました。
データがなければ、盗まれることはありません
JFrog Artifactory、Xray、Distributionに読み込まれるデータベース接続文字列などの機密情報は、一時設定ファイルに書き込まれるようになりました。各サービスは起動時に一時ファイルを読み込み、そこから暗号化された接続パラメータを含むデータベース接続文字列を読み込みます。そしてデータベースへの接続が確立されると、サービスは一時的な設定ファイルをホストマシンから削除します。つまり資格情報は削除されてしまうため、悪意のある攻撃者には利用できません。ファイル、環境変数、システムパラメータのいずれにも残っていませんし、誤ってログファイルに記録されることもありません。
「利用不可」であるデータは、セキュリティ上「利用可能だが暗号化されている」より明らかに優れています。
もちろん、このメカニズムはデータベース接続文字列に限定されません。Artifactory、Xray、Distributionで使用される重要なパラメータは同様に、起動する前に一時設定ファイルに保存されます。サービスが実行されると、魔法のようにシステムから削除されます。
セキュリティと責任
サービスが開始されると機密情報はシステムから消えてしまうので、会社の地下室のような完全にネットワークから切り離された安全な場所に設定ファイルのコピーを保管する必要があります。サービスから新しいインスタンスを起動する場合、安全な場所から機密情報を取得する必要があるためです。データベース接続文字列がないと、アプリケーションはログファイルにエラーメッセージを出力して失敗してしまいます。Artifactory、Xray、Distributionをインストールした場合はこの点にご留意ください。Kubernetesの場合は、サービスを実行しているポッドがクラッシュします。Kubernetesは失敗したコンテナのみ再起動するだけで、ポッドを自動的には再起動してくれません。手動でポッドを再起動し、一時的な設定ファイルで安全な場所からブートしてデータベースに接続する必要があります。
JFrog製品を使って、より安全な運用を
これからは、一層サイバー犯罪に警戒する必要があります。最新バージョンのArtifactory、Xray、Distributionではセキュリティ機能が強化されたことにより、データをより安全に扱うことができます。セキュリティ対策の一環として、ぜひ導入を検討ください。