AWS Secrets Manager
読み: エーダブリューエス シークレッツマネージャー
機密情報管理とはAPIキーを安全に保管
AWS Secrets ManagerはAWSが提供する機密情報の管理サービスで、APIキーやデータベースのパスワードといった認証情報を安全に保管し、自動ローテーションまで行える。ソースコードにパスワードを直書きする運用から脱却するための、クラウド時代の標準的な手段となっている。
かんたんに言うと
パスワードやAPIキーを金庫に預けて、必要なときだけ取り出す仕組みである。金庫番が定期的に鍵を取り替えてくれるため、古いパスワードを使い回すリスクも減る。
ソースコードへのパスワード直書きを根絶するAWS Secrets Managerの基本概念
アプリケーションはデータベース、外部API、メール配信サービスなど多数のシステムと接続している。接続のたびにパスワードやAPIキーが必要になるが、これらをソースコードに直接書いてしまうと、Gitリポジトリの履歴に残り続ける。
開発者が退職しても、コミット履歴のパスワードは消えない。
実際、GitHubの公開リポジトリから認証情報が流出する事故は年間数千件規模で報告されている。こうした事故を構造的に防ぐのが、シークレット管理サービスの役割である。
Secrets Managerの中核機能と自動ローテーション
Secrets Managerにはいくつかの柱となる機能がある。
まず、シークレットの暗号化保管。AWS KMSの暗号鍵で暗号化され、保管時も転送時もデータは保護される。次にアクセス制御。IAMポリシーと連動して、どのサービスがどのシークレットを読めるかを細かく制御できる。
そして最大の特徴が自動ローテーションである。Amazon RDSやAmazon Redshiftのパスワードであれば、Secrets Managerが自動でパスワードを変更し、接続先のデータベースにも新しいパスワードを反映させる。人間が手動でパスワードを変える運用は、どこかで必ず漏れる。その漏れを仕組みで潰せるのが大きい。
とはいえ、カスタムアプリケーションのローテーションにはLambda関数の作成が必要になるため、設定の手間はゼロではない。
HashiCorp Vaultとの比較と使い分け
シークレット管理の選択肢としてよく比較されるのがHashiCorp Vaultである。
Secrets ManagerはAWSのマネージドサービスであり、運用負荷が低い。IAMとの統合も自然で、AWSに閉じた環境なら導入が早い。一方、VaultはAWSに限らずGCPやAzure、オンプレミスにも対応するマルチクラウド向けのツールとなる。
AWS一本の組織ならSecrets Managerで十分対応できる。複数のクラウドやオンプレミスが混在する環境ではVaultのほうが柔軟性で勝る。両方を併用しているケースも珍しくない。
AI開発での活用シーンと導入の注意点
AI開発においてSecrets Managerが活躍する場面は多い。LLMのAPI呼び出しに使うAPIキー、学習データを格納したS3バケットへのアクセスキー、推論サーバーが接続するデータベースの認証情報。これらを全てSecrets Managerに集約すれば、ソースコードからは一切の認証情報が消える。
SageMakerのノートブックやLambda関数からSecrets ManagerのAPIを叩いてシークレットを取得する、というのが典型的なパターンとなる。
注意すべきはコストである。シークレット1件あたり月額0.40ドル、API呼び出し10,000件あたり0.05ドル。数十件程度なら気にならないが、マイクロサービスが100以上ある環境では月額が積み上がる。シークレットの棚卸しを定期的に行い、不要なものを削除する運用が欠かせない。
当社の見解
当社はツール選定において実用性を第一方針にしている。カタログスペックやベンチマークスコアではなく、実務で1週間使い倒して初めて判断する。フレームワークを増やすほど管理コストが増える経験もした。フックを増やしすぎてAIが情報過多でパニックになったこともある。足し算だけでなく、引き算の判断が選定の質を決める。検証せずに導入したツールは、ほぼ例外なく3か月以内に使わなくなった。
同じ失敗を二度としないAIエージェント
今のAIは、聞けば何でも答えてくれます。
でも、セッションが切れた瞬間に前回の失敗を忘れます。
当社が開発しているAIは、過去の経緯を念頭に置いて、
聞かれる前に「それは前回うまくいきませんでした」と声をかけます。
人間にも同じ失敗をさせず、AI自身も繰り返しません。
古参の社員が横にいるように、黙っていても気づいてくれる。
それが、当社が考える本当のAI社員です。