第10話 Key Vaultに恋の秘密を入れないで
- 山崎行政書士事務所
- 5月12日
- 読了時間: 15分
静岡市葵区、青葉通りから少し入った山崎行政書士事務所では、その朝、蓮斗が珍しく頭を抱えていた。
蓮斗は、普段あまり動揺しない。
構成図に謎の矢印が十本あっても、共有フォルダに「本当の最新版_最終_最終2.xlsx」があっても、退職者アカウントが会議室を支配していても、彼は静かに画面を見つめるだけだ。
その蓮斗が、両手で頭を抱えている。
陽翔はその姿を見て、すぐにタブレットを構えた。
「事件です」
「記録しないでください」
さくらが言った。
「でも、蓮斗くんが頭を抱えるなんて、山崎事務所七不思議の一つですよ」
「七つもあるの?」
所長の山崎香澄が、お茶を淹れながら笑う。
「あります。スリッパの向き、湯呑み印字計画、陽翔さんの共有フォルダ命名規則……」
「最後のは不思議ではなく迷惑です」
悠真が静かに言った。
蓮斗は、画面を見たまま低い声で言った。
「Key Vaultに、恋文を入れようとしていました」
事務所が止まった。
青葉通りの外で、自転車のベルが軽く鳴った。
陽翔が、ゆっくり瞬きをした。
「すみません。今、クラウド用語と平安文学が同じ文章にいました?」
奏汰がヘッドホンを片耳だけ外した。
「Key Vaultに恋文は、構成として不適切です」
「構成として?」
さくらが聞く。
「人生設計としても、たぶん不適切です」
悠真が湯呑みを置いた。
「まず、事実確認しましょう」
香澄は苦笑しながら来客予定表を見た。
今日の相談者は、清水区の製造業向けIoTサービス会社、株式会社ミホノIoTの若手エンジニア、瀬名拓海。 工場の設備データをクラウドに集め、異常検知を行うサービスを開発している会社だ。最近、Azure Key Vaultを導入したものの、社内で使い方が混乱しているという。
そして、事前に送られてきた相談メモには、こう書かれていた。
「Key Vaultは“大事なものを入れる箱”と理解しています。証明書、APIキー、DB接続文字列、社内秘密メモ、個人的な大事な下書きなどを保管予定」
個人的な大事な下書き。
その下に、括弧書きで小さく。
「恋文含む?」
蓮斗はそれを見て、朝から静かに頭を抱えていたのだった。
午前十時、入口の鈴が、からん、と鳴った。
「こんにちは。ミホノIoTの瀬名です」
入ってきた瀬名拓海は、二十代半ばの青年だった。黒いリュックを背負い、手にはノートパソコン。寝癖を直した努力は見えるが、成功しているかは微妙だった。
後ろには、同社の総務兼管理担当の高瀬がついてきた。こちらは三十代後半の落ち着いた女性で、いかにも「若手エンジニアの暴走を日々なだめている人」という雰囲気があった。
「本日はよろしくお願いします」
香澄が二人を迎えた。
「こちらこそお願いします。あの、Key Vaultの運用ルールを整理したくて」
瀬名は真面目な顔で言った。
「大事なものを安全に入れる箱だと聞いたので、社内で何を入れるべきか議論していまして」
蓮斗の眉が、ほんの少し動いた。
りなはホワイトボードの前に立ち、明るく笑った。
「まずは、秘密情報の定義から始めましょう」
その言葉に、瀬名は安心したようにうなずいた。
「はい。僕も、秘密は大事だと思います」
陽翔が小声で言った。
「すでに危険な広さですね」
高瀬が、申し訳なさそうに言った。
「瀬名くんは悪気はないんです。ただ、“秘密”という言葉を広く受け止めすぎまして」
「広く?」
さくらが聞く。
高瀬は深いため息をついた。
「昨日、“Key Vaultに保管する候補一覧”を見せてもらったんです。DB接続文字列、APIキー、証明書、暗号化キー……そこまではよかったんですが」
瀬名は少し赤くなった。
「そこから先は、検討段階です」
高瀬が続けた。
「社長の誕生日サプライズ案、社内懇親会の景品リスト、そして……恋文の下書き」
応接室の空気が、湯気のように揺れた。
陽翔が手を挙げた。
「質問です。恋文の宛先は、クラウド上のサービスですか?」
「人です!」
瀬名が慌てて言った。
「人なら、なおさらKey Vaultに入れないほうがいいですね」
奏汰が真顔で言う。
「Key Vaultは気持ちの保管場所ではありません」
りなが笑いをこらえながら、ホワイトボードに書いた。
Key Vaultに入れるもの ・キー ・シークレット ・証明書
Key Vaultに入れないもの ・恋文 ・懇親会景品案 ・社長の誕生日サプライズ ・陽翔さんの湯呑み印字計画
「最後、なぜ僕の計画が」
陽翔が不満そうに言った。
「秘密にしたがるからです」
悠真が答えた。
瀬名は真剣にホワイトボードを見つめていた。
「でも、恋文って秘密じゃないですか」
蓮斗が静かに顔を上げた。
「秘密ではあります。ただし、Key Vaultで管理する種類の秘密ではありません」
「種類の秘密……」
「Key Vaultで扱うシークレットは、アプリケーションやシステムが使う機密値です。たとえば、APIキー、DB接続文字列、外部サービスの認証情報などです」
奏汰が続けた。
「証明書は、通信の保護や認証に使うもの。キーは、暗号化や署名に使うもの。恋文は、人間関係に使うものです」
陽翔が即座にメモを取った。
「名言です。“恋文は人間関係に使うもの”」
「当たり前です」
悠真が言った。
瀬名はまだ納得しきれない顔をしていた。
「でも、大事なものを安全な場所に入れるという考え方は、間違っていないですよね?」
「考え方としては間違っていません」
りなはやさしく言った。
「でも、まず“何のために守るのか”を決めることが大切です。システムを守るための秘密、会社を守るための秘密、お客様を守るための秘密、個人の気持ちとしての秘密。全部を同じ箱に入れると、運用が混乱します」
高瀬が深くうなずいた。
「まさに社内が混乱しています。“秘密っぽいものは全部Key Vaultへ”という空気になっていて」
「それは、冷蔵庫に大事な書類も花束も靴下も入れるようなものです」
陽翔が言った。
さくらが首をかしげる。
「靴下はなぜ?」
「大事な靴下かもしれません」
「大事でも入れません」
香澄が笑いながら話を戻した。
「今日は、Key Vaultに何を入れるか、誰がアクセスできるか、どう記録を残すかを整理しましょう。それから、個人の秘密や社内の一般的な秘密情報は、別のルールで扱うことにしましょう」
瀬名は少し恥ずかしそうにうなずいた。
「お願いします。恋文は……別の場所にします」
「できれば、送るか送らないかを先に検討してください」
みおが資料を持って入ってきて、ぽつりと言った。
「保管しすぎると、気持ちも古くなりますし」
応接室が静かになった。
陽翔が小声で言った。
「結論の妖精、恋愛方面にも強い」
「妖精?」
瀬名が聞く。
「事務所内の概念です」
悠真が訂正した。
「正式な役職ではありません」
最初に、証明書の整理を始めた。
蓮斗が瀬名のノートパソコンに表示された一覧を見た。
「現在、アプリケーションゲートウェイ用の証明書、社内API用の証明書、テスト環境用の証明書がありますね」
「はい。ただ、どれがいつ期限切れになるか、正直あまり見ていません」
瀬名が言った。
蓮斗は静かに目を閉じた。
陽翔がささやく。
「蓮斗くん、二回目の頭抱えポイントです」
奏汰が言った。
「証明書の期限切れは、静かな爆弾です」
「爆弾?」
瀬名が青ざめる。
「ある日突然、通信が失敗します」
さくらがホワイトボードに書いた。
証明書管理 ・用途 ・期限 ・更新担当 ・更新手順 ・通知先 ・不要証明書の削除
りなが図にしながら言った。
「証明書は、“入れて終わり”ではなく、期限を見て更新する運用が必要です。誰に通知が飛ぶのか、誰が更新するのか、更新後にどこへ反映するのかを決めましょう」
高瀬がメモを取る。
「総務でも期限一覧を見られるようにしたほうがいいですか?」
「はい。ただし、実際に更新できる権限は必要な人に限定したほうがいいです」
蓮斗が答える。
「見える人と変更できる人を分けることも大切です」
瀬名がうなずいた。
「なるほど。恋文も、見える人と変更できる人を……」
「戻らないでください」
りなが笑った。
次に、キーの話になった。
瀬名は少し得意げに説明した。
「暗号化キーは、Key Vaultで管理しようと思っています。データを暗号化するために使います」
「それはよい方向です」
蓮斗が言った。
瀬名の顔がぱっと明るくなった。
「よかった!」
「ただし」
蓮斗が続ける。
瀬名の顔がまた固まった。
「キーにアクセスできるアプリケーションや人を限定する必要があります。誰でもキーを使える状態では意味がありません」
奏汰が画面を見た。
「今の設計だと、開発チーム全員に広い権限がついています」
「全員?」
高瀬が驚く。
瀬名が慌てて言った。
「開発しやすいように……」
悠真が静かに言った。
「開発しやすさと、本番環境の安全性は分けて考えましょう」
陽翔がうなずく。
「全員にマスターキーを配ると、誰が開けたか分からない蔵になります」
「Key Vaultだけに蔵?」
さくらが笑う。
「そうです。青葉通りの蔵です」
「Azureの話です」
蓮斗は、ロールごとの権限を整理した。
管理者。 証明書を更新する担当者。 アプリケーションからシークレットを読み取るID。 監査ログを見る担当者。 開発環境だけ扱う担当者。
「本番用と開発用は分けたほうがいいです」
奏汰が言った。
「本番のシークレットを、開発メンバー全員が手で見られる状態にしない。アプリケーションが必要な範囲で読む。人が見る必要がある場合は、申請や記録を残す」
高瀬は少し安心したように言った。
「人に広く渡すのではなく、役割に合わせるんですね」
「はい」
香澄が頷いた。
「誰かを疑うためではなく、全員を余計な不安から守るための権限設計です」
瀬名は小さく言った。
「僕、便利だから全員に権限をつけがちでした」
「若手エンジニアあるあるですね」
陽翔が言った。
「便利は、あとで上司の胃を痛めます」
高瀬が深くうなずいた。
「本当に痛みます」
続いて、シークレットの整理に入った。
瀬名が候補一覧を読み上げた。
「DB接続文字列、外部APIキー、メール送信用サービスの認証情報、Webhookの署名キー、社内管理画面の初期パスワード……」
「初期パスワードは、保管より変更が先です」
奏汰が即答した。
「はい」
瀬名が小さくなる。
りなはホワイトボードに、シークレット管理の流れを描いた。
登録。 利用。 更新。 無効化。 削除。 監査。
「シークレットは、入れるだけではなく、更新や廃止まで考えましょう。外部APIキーが漏えいした場合、どう無効化するか。担当者が変わったとき、誰が棚卸しするか。使っていないシークレットを残し続けないことも大切です」
瀬名が目を丸くした。
「使っていないものも危ないんですか?」
蓮斗が頷く。
「使っていない秘密は、忘れられた鍵です。どの扉を開けるか分からないまま残ることがあります」
陽翔がメモを取る。
「これは湯呑み候補ですね。“忘れられた鍵を残さない”」
「Key Vault回としては、少し向いています」
悠真が言った。
陽翔が目を輝かせる。
「悠真さんがまた許可しかけた!」
「しかけていない」
高瀬は、シークレット一覧を見て言った。
「これ、総務側でも台帳化したほうがいいですね。中身そのものは見ないけれど、何のためのシークレットがあるのか、誰が責任者なのか、更新期限はいつなのか」
「まさにそれが大切です」
りなが嬉しそうに言った。
「秘密の値そのものを一覧に書くのではなく、管理するための情報を台帳にします」
瀬名は感心したように言った。
「秘密の中身は見せずに、秘密の存在を管理する……」
みおが小さく言った。
「恋心と似ていますね」
瀬名の顔が一気に赤くなった。
陽翔が吹き出した。
「みおさん、今日ずっと恋愛方面が鋭い」
香澄は笑いながら、話を戻した。
「では、恋文はKey Vaultではなく、瀬名さんご自身の心の台帳で管理してください」
「心の台帳……」
瀬名は真剣にメモを取ろうとした。
「それはメモしなくていいと思います」
高瀬が止めた。
午後には、監査ログの話になった。
この話になると、悠真が少しだけ姿勢を正した。
「Key Vaultへのアクセスは、ログを残して確認できるようにしましょう」
瀬名はうなずいた。
「誰が何を見たか、ということですよね」
「正確には、誰がどの操作をしたかです。シークレットを読み取った、追加した、更新した、削除した。証明書を取得した。権限を変更した。こうした記録が必要です」
蓮斗が画面を示す。
「Azure Monitorへの連携、ログ保存期間、アラート条件も決めます。たとえば、普段アクセスしない人が本番シークレットを読んだ、深夜に権限変更があった、削除操作があった。そういう場合に気づけるようにします」
陽翔が小声で言う。
「ログがない夜の清水港を思い出しますね」
さくらが頷く。
「今回はログがある昼のKey Vaultにしましょう」
「明るいタイトルです」
悠真は真面目に続けた。
「監査ログは、犯人探しのためだけではありません。何が起きたかを確認し、不要な疑いを減らし、次の対策を考えるためのものです」
高瀬が言った。
「社員が“監視されている”と感じないように説明したいです」
香澄がうなずく。
「ログは、責めるためではなく守るためにある。以前も同じ話をしましたが、ここでも大切です」
瀬名は、少し考え込んだ。
「僕、Key Vaultを“絶対安全な箱”だと思っていました。でも、箱に入れるものを選んで、鍵を持つ人を決めて、開け閉めの記録を残して、期限を見て、いらないものを消して……そこまでが運用なんですね」
奏汰が言った。
「安全な箱も、使い方を間違えると散らかります」
陽翔が笑う。
「金庫の中にレシートと恋文とAPIキーが一緒に入っている感じですね」
「やめてください、刺さります」
瀬名が耳まで赤くなる。
りなはホワイトボードの中央に、大きく線を引いた。
技術の秘密 人間の秘密
「今日の一番大事な線引きです」
陽翔が言った。
「責任分界線は安倍川を越えて、今回は恋文を越えて」
「越えなくていいです」
りなは笑いながら続けた。
「技術の秘密は、システムを安全に動かすために管理します。人間の秘密は、相手や自分を大切にするために扱います。どちらも雑に扱ってはいけません。でも、同じ場所で同じ方法で管理するものではありません」
みおがやさしく言った。
「秘密にも、居場所があるんですね」
事務所が、少し静かになった。
瀬名はホワイトボードを見つめた。
「秘密にも、居場所……」
高瀬は小さく笑った。
「瀬名くん、恋文の居場所は?」
瀬名は真剣に考えた。
「まず、自分のノートに下書きします。クラウドには入れません。共有もしません。監査ログも残しません」
「最後は残さなくていいです」
悠真が言った。
その後、Key Vaultの運用ルール案がまとまった。
Key Vaultに保管する対象は、システム運用に必要なキー、シークレット、証明書に限定する。 恋文、社内イベント案、個人的なメモなどは保管しない。 本番環境と開発環境を分ける。 アクセス権限は必要最小限にする。 人ではなく、役割と用途に基づいて権限を設計する。 証明書の期限、キーやシークレットの更新、不要な情報の削除を定期的に確認する。 監査ログを保存し、不自然な操作に気づけるようにする。 シークレットの値そのものではなく、管理情報を台帳化する。 障害や漏えいの疑いがあるときの報告手順を決める。
しょうこが要点を三行にまとめた。
「一、Key Vaultはシステムの秘密を守る場所。 二、秘密は種類ごとに居場所を分ける。 三、アクセス権限と監査ログで、守り続ける仕組みにする」
陽翔が感心したように言った。
「しょうこさん、三行でKey Vault回を締めました」
「恋文は入れていません」
「そこが大事ですね」
瀬名は深く頭を下げた。
「本当にありがとうございました。技術用語ばかり見ていると、つい言葉の意味を雑に広げてしまっていました」
蓮斗が静かに言った。
「技術用語にも、文脈があります」
奏汰が続けた。
「Vaultは箱ですが、何でも箱ではありません」
「名言です」
陽翔がまたメモを取る。
高瀬は、少しほっとした表情で言った。
「今日来てよかったです。社内で説明できます。“大事なもの”ではなく、“システムを安全に動かすための秘密”を入れる、と」
「そうですね」
香澄が微笑んだ。
「そして、人間の大事な気持ちは、別の形で大切にしてください」
瀬名は、真っ赤な顔でうなずいた。
「はい。下書きは、まず紙にします」
陽翔が言った。
「紙も紛失リスクがありますよ」
「どうすればいいんですか!」
瀬名が叫ぶ。
悠真が静かに言った。
「送るのが一番かもしれません」
事務所がまた静かになった。
陽翔が震える声で言う。
「悠真さんが、恋愛助言を……」
「一般論です」
みおがにこっとした。
「ログには残さない一般論ですね」
瀬名は、今日一番の真剣な顔でメモを取った。
打ち合わせが終わり、ミホノIoTの二人が帰ったあと、事務所には夕方の光が差し込んでいた。
青葉通りの木々が、窓の外でさらさらと揺れている。 りなはホワイトボードを消しながら言った。
「今日は面白かったですね。Key Vaultから恋文まで」
「面白いけれど、意外と大事な話でした」
香澄が言った。
「“秘密”という言葉は、技術にも法務にも人間関係にも出てくる。でも、それぞれ扱い方が違う」
蓮斗は、ようやく頭を抱えるのをやめていた。
「Key Vaultに恋文は、もう見たくないです」
「でも、忘れられない案件になりましたね」
さくらが笑う。
奏汰はヘッドホンをつけ直しながら言った。
「技術用語の中にも、人間らしい勘違いがあります」
陽翔がすかさず立ち上がった。
「本日の最終名言!」
悠真も、ほんの少しだけ口元をゆるめた。
「それは、よいまとめですね」
陽翔が目を丸くした。
「悠真さんが認めた。では、湯呑みに――」
「印字しない」
「速い」
りなは笑いながら、今日の資料のファイル名を入力した。
「Azure_KeyVault_運用ルール整理案.docx」
陽翔が横からのぞいた。
「正式ですね。つまらないですね」
「正式資料ですから」
「思い出フォルダ用に、別名を提案します」
「嫌な予感がします」
陽翔は、別ファイルを作った。
「KeyVaultに恋の秘密を入れないで_監査ログなし版.xlsx」
悠真が無言で削除しようとした。
その瞬間、みおが言った。
「でも、監査ログなし版って、恋文には合ってますね」
奏汰もヘッドホン越しに言った。
「技術的には不正確ですが、詩的には少し正しい」
蓮斗は深いため息をついた。
「詩的正しさで運用しないでください」
香澄は声を出して笑った。
夕方の青葉通りには、仕事を終えた人たちの足音が流れていた。
クラウドの中には、キーがある。 証明書がある。 シークレットがある。 それらを守るための権限があり、記録があり、運用がある。
そして、人の中にも秘密がある。
言えない気持ち。 伝えたい言葉。 まだ下書きのままの勇気。
どちらも大切に扱う必要がある。 ただし、居場所は間違えてはいけない。
システムの秘密は、正しい箱へ。 恋の秘密は、誰かの心へ。
山崎行政書士事務所では、今日もそんな線引きを、少し笑いながら、少し真面目に整えている。
翌朝、瀬名からメールが届いた。
「昨日はありがとうございました。Key Vault運用ルール案を社内で共有しました。恋文は紙に書きました。まだ送っていません」
陽翔がそれを読み上げて、応接室の空気がふわりと温かくなった。
悠真は静かに言った。
「進捗管理の対象ではありません」
香澄が微笑んだ。
「でも、応援はしておきましょう」
蓮斗は少しだけ考えてから言った。
「Key Vaultに入れなかっただけで、十分な改善です」
陽翔が拍手した。
「恋もセキュリティも、一歩ずつですね」
「まとめ方が雑です」
悠真が言った。
それでも、みんな少し笑っていた。
青葉通りの契約書は、今日も笑う。 Key Vaultの中に恋文が入らなかったことに、少しだけ安心しながら。
コメント