シークレットボールト (Secret Vault)
Logto のシークレットボールト (Secret Vault) は、アクセス トークン、API キー、パスコード、その他保護が必要な機密情報など、機密性の高いユーザーデータを安全に保存するために設計されています。これらのシークレットは、ユーザーに代わってサードパーティサービスへアクセスする際によく使用されるため、安全な保管が不可欠です。
暗号化方式
機密データを保護するため、シークレットボールト (Secret Vault) では データ暗号化キー (DEK) と キー暗号化キー (KEK) に基づく強力な暗号化方式を採用しています。
- シークレットごとの暗号化:各シークレットは固有の DEK で暗号化されるため、万が一 1 つのキーが漏洩しても他のシークレットは安全に保たれます。
- キーラッピング:DEK 自体は KEK で暗号化(「ラッピング」)され、システムによって安全に管理・保存されます。
- 多層セキュリティ:この 2 層構造により、システムの一部が侵害された場合でも、攻撃者は DEK と KEK の両方がなければシークレットにアクセスできません。
- 露出の最小化:シークレットは本当に必要な場合のみ復号されるため、偶発的な露出リスクが低減され、機密データの取り扱いにおけるベストプラクティスに沿っています。
この多層暗号化モデルにより、ユーザーの最も機密性の高い認証情報やトークンを強力に保護しつつ、必要なときに安全にアクセスできるようになります。
シークレットの種類
フェデレーテッドなサードパーティアイデンティティプロバイダー (IdP) から発行されたアクセス トークンおよびリフレッシュ トークンを安全に保存・管理し、下流の API コールで利用できます。
備考:
現在、標準でサポートされているシークレットの種類はフェデレーテッドトークンセット (Federated token set) のみです。ただし、シークレットボールト (Secret Vault) はあらゆる種類の機密情報に対応できるよう設計されています。追加のシークレットタイプへの対応が必要な場合は、 お問い合わせ ください — 喜んでサポートいたします。