APIキー回転戦略

長期APIキーはセキュリティ負債です。

回転理由

• ノートPC盗難
• ロギングがキーを偶然キャプチャ
• 契約者退職
• ライブラリ侵害

2キーパターン

資格情報あたり常に2つの有効キーを維持。

1. 新キー生成

2. SECONDARYとして設定

3. コンシューマ設定をロールアウト

4. 猶予期間後、旧キー無効化

5. 新キーをPRIMARYに昇格

Vaultで自動化

Hashicorp Vault、AWS Secrets Manager。

早期リーク検出

• GitHub Secret Scanning
• TruffleHog/gitleaks

回転時間目標

成熟チームは15分以内。

ロギング衛生

完全なキーをログに出力しない、最後の4文字のみ。