認証情報は、利用者やシステムが本人(本人性)を証明するために提示する情報の総称です。IDやメールアドレスのような識別子に加えて、パスワード、APIキー、秘密鍵、トークンなどの秘密情報が認証情報になります。秘密情報が漏れると第三者が正規の利用者として振る舞えるため、データ利活用の基盤でも最優先で守る対象です。
実務では、認証情報の種類ごとに扱い方を変える必要があります。パスワードはハッシュ化して保存し、APIキーやクライアントシークレット、秘密鍵は暗号化保管と権限分離を前提にする設計が基本でしょう。OAuthのアクセストークンやセッションCookieは有効期限と失効の仕組みが重要になり、ログやエラーメッセージに出力すると即時に事故へつながります。運用面では、Secrets ManagerやVaultなどで集中管理し、ローテーション、棚卸し、監査ログまで回せる状態が望ましいです。
