AxKeyStore: GitHubをバックエンドとした安全なシークレット管理

AxKeyStoreとは？

AxKeyStoreは、機密性の高い認証情報、キー、パスワードを信頼性の高い方法で保存・管理する必要がある開発者やセキュリティ意識の高いユーザーのために設計された、堅牢なオープンソースのコマンドラインインターフェース（CLI）ツールです。その核となる革新は、既存のプライベートGitHubリポジトリをバックエンドのストレージメカニズムとして活用することにあります。このアプローチにより、セキュリティを犠牲にすることなく（GitHubは厳密に信頼できないストレージとして扱われます）、クラウドストレージの利点であるアクセシビリティ、バージョン管理、信頼性を享受できます。

重要な点として、AxKeyStoreは絶対的なクライアントサイド暗号化の原則に基づいて動作します。シークレット自体やそれらを暗号化するために使用されるキーを含む機密データはすべて、送信前にローカルマシン上で完全に処理されます。その結果、平文のシークレット、マスターキー、パスワードがネットワークを通過したり、リモートサーバーやローカルファイルシステム上に暗号化されていない状態で存在することは決してありません。このゼロトラストアーキテクチャにより、適切なマスターパスワードを持つユーザーのみが、ボルトデータにアクセスし復号化できることが保証されます。

主な機能

• ゼロトラストアーキテクチャ: GitHubを含むすべての外部システムが信頼できないという原則に基づいて構築されています。暗号化は必須であり、多層的です。
• 三層暗号化スキーム:
  • シークレットの暗号化: シークレットはリモートマスターキー（RMK）を使用して暗号化されます。
  • RMKの暗号化: RMKはマスターパスワード（クライアントサイド暗号化経由）を使用して暗号化されます。
  • ローカル認証情報の暗号化: GitHubトークンやリポジトリ名などのローカル設定の詳細は、ローカルマスターキー（LMK）を使用して保護されます。LMKもまたマスターパスワードによって保護されます。
• 高度な暗号化: 認証済み暗号化には最新の安全なアルゴリズム（XChaCha20-Poly1305など）を、マスターパスワードからの堅牢なキー導出にはArgon2idを使用します。
• GitHubをバックエンドストレージとして利用: ユーザーが管理するプライベートGitHubリポジトリによって提供される、無料、バージョン管理された、信頼性の高いストレージを活用します。
• マルチプロファイルサポート: 複数の異なるボルトを、それぞれ固有のログイン情報、マスターパスワード、関連するGitHubリポジトリと共に容易に管理できます。
• 階層的な整理: カテゴリパス（例: api/production/internal）を使用してシークレットを論理的に整理でき、発見性と管理性が向上します。
• 統一された認証: GitHub Appsとデバイスフローメカニズムを使用して安全に認証を行います。

AxKeyStoreの使用方法

AxKeyStoreの利用開始には、提供されたインストール手順に従った後、初期のログインとセットアッププロセスが必要です。このツールは設定が完了すれば使いやすいように設計されています。

1. インストール: プラットフォーム固有のスクリプトを使用してCLIツールをインストールします:

• macOS/Linux: curl -sSL https://raw.githubusercontent.com/basilgregory/axkeystore/main/install.sh | bash
• Windows (PowerShell): powershell -c "irm https://raw.githubusercontent.com/basilgregory/axkeystore/main/install.ps1 | iex" これらのスクリプトは、バイナリをPATHに自動的に配置し、すぐにアクセスできるようにします。

2. 初期ログインとセットアップ: セットアップシーケンスを開始するには、ログインコマンドを実行します: axkeystore login この初回実行時に、マスターパスワードの作成と確認を求められます。このパスワードは、ボルトを復号化し、ローカル設定を保護するための究極のキーとなります。パスワード設定後、CLIがアカウントまたは組織への必要なGitHubアプリケーションのインストール手順を案内し、AxKeyStoreが指定されたプライベートリポジトリに対して読み書きに必要な権限を付与します。

3. シークレットの管理: ログインと設定が完了したら、簡単なコマンドを使用して認証情報を保存および取得できます。例えば、新しいシークレットを保存するにはカテゴリ名とキー名を指定する必要があり、取得するには対応するコマンドを使用します。これにより、GitHubから暗号化されたブロブを取得した後、データがローカルでのみ復号化されることが保証されます。

ユースケース

1. CI/CDパイプラインのシークレット保護: 開発者は、自動ビルドおよびデプロイに必要な機密性の高いAPIキー、デプロイメントトークン、環境変数をプライベートなAxKeyStoreボルトに保存できます。これにより、これらのシークレットがハードコーディングされたり、ソース管理にチェックインされる設定ファイルで公開されたりすることを防ぎます。
2. 個人開発者認証情報の管理: 個々の開発者は、すべてのSSHキー、クラウドプロバイダーのアクセスキー（AWS、Azure、GCP）、およびデータベースパスワードを一元管理できます。GitHubリポジトリを使用することで、認証情報のローテーションイベントに関するバージョン履歴を得ることができます。
3. クロスプラットフォーム開発環境: ストレージがクラウドベース（GitHub）であり、ツールがCLI駆動であるため、ユーザーはローカルマシン、開発サーバー、一時的なワークステーション間をシームレスに切り替え、初期ログイン/セットアップ後に必要なシークレットに安全にアクセスできます。
4. 小規模チームでの認証情報の共有（制御下）: 主に個人のセキュリティのために設計されていますが、チームは専用の共有プライベートリポジトリを使用して、基本的な非本番環境の認証情報の共有を行うことができます（ただし、最大のセキュリティのためには個別管理が推奨されます）。

FAQ

Q: マスターパスワードを忘れた場合はどうなりますか？ A: AxKeyStoreは、マスターパスワードによって保護される堅牢なクライアントサイドの多層暗号化スキームを使用しているため、忘れた場合、データは永久にアクセス不能になります。ゼロトラストセキュリティモデルを厳密に遵守しているため、復旧メカニズムは存在しません。

Q: ストレージの場所がGitHubである場合、データは本当に安全ですか？ A: はい。GitHubは暗号化されたバイナリブロブのみを保存します。仮にGitHubが侵害されたとしても、攻撃者が取得するのは暗号化されたデータのみです。復号キー（RMKおよびLMK）はマスターパスワードによって保護されており、平文のままローカルマシンから漏れることはありません。

Q: ストレージにパブリックリポジトリを使用できますか？ A: いいえ。AxKeyStoreは明示的にプライベートGitHubリポジトリを要求します。パブリックリポジトリを使用すると、すべての暗号化されたシークレットが世界中に公開され、セキュリティアーキテクチャの目的が損なわれます。

Q: AxKeyStoreは認証と認可をどのように処理しますか？ A: ユーザーがインストールする必要がある専用のGitHubアプリケーションを使用します。このアプリケーションは、デバイスフローを介した安全な認証を促進し、ボルトとして指定された特定のレポジトリに対してCLIが必要とする権限（読み取り/書き込み）を付与します。