製品情報

HashiCorp | Vault (ボルト) | 東京エレクトロンデバイス

HashiCorp Vault

シークレットライフサイクル管理とセンシティブデータ保護ソリューション

HashiCorp Vault

Vaultはユーザー名&パスワードやAPIアクセスキーといったデジタル認証で使われるアイデンティティ情報(シークレット)を管理する機能と、機密性の高いデータを保護する機能を提供することで、動的なインフラストラクチャやアプリケーションにおけるゼロトラストの実現を支援します。

HashiCorp Vaultは、お客様のインフラおよびアプリが本来持つ利便性やパフォーマンスはそのままに、より柔軟に高い拡張性をもって、より安全な運用管理を実現します。

ピンチアウトで拡大

動画でVaultを学ぶ
「クラウドセキュリティ対策に必須!シークレット管理のポイントを解説」

クラウドの急速な普及に伴い、さまざまな分野で秘密情報の管理はより重要になっています。さらに、サービスの多様化により、シークレット情報の使用範囲が広がり、管理がより複雑化しています。
本動画では、シークレット情報管理の要点とその課題を解決するHashiCorp Vaultを使ったソリューションについて解説します。

主な特長

シークレット管理

機密性の高いデータやアプリ、システムなどに対するアクセスを自動化・効率化するために、信頼されるシークレットを管理します。Vaultを使うことで、動的に変化するインフラやアプリなどシステム間の連携においてアイデンティティに基づいたセキュリティを実装し、ゼロトラスト環境を実現します。

Vaultではシークレットのリクエストから発行、有効期限の管理、無効化まで一連のライフサイクルを管理するために、アクセス元となるユーザー・システム・アプリなどと、シークレットを管理するアイデンティティとアクセス管理(以下IAM)システムの間に入り、一連のプロセスを仲介します。

また他にも、Vaultを認証局(CA)とすることで、SSH公開鍵認証で利用するキーペアや、SSL/TLS証明書認証で利用するクライアント証明書のライフサイクル管理を効率化できます。

シークレット管理のプロセス

ピンチアウトで拡大

Vaultユースケース:静的なシークレット管理(キーバリューストア)

既に使用しているデータベースやAPIキーなどがファイルで管理されている場合、それらをVaultのキーバリューストアに保存します。
クライアントがアプリなどを利用する際には、Vaultから値を取得するAPIを実行し、それを環境変数に設定して使用する方法が取れます。
さらに、Vaultでは値を暗号化するため、情報をセキュアに管理できます。

静的なシークレット管理(キーバリュエンス)

Vaultユースケース:外部の運用者(Azure)の利用

Azureのシステム構築を外部業者に委託している場合を考えてみます。
Azureの契約は会社内で管理されているため、外部業者には適切な権限を与える必要があります。外部業者にシークレットを開示して使用してもらうことになります。本来、会社内で管理されているシークレット情報のためセキュリティ上好ましくありません。Vaultを使用すると、外部業者がシークレットを取得できる期間を制限できるため、長期間の利用はできません。また、有効期限が残っていても、Vaultから内部担当者がシークレットを強制的に削除できるため、漏えいリスクを低減できます。

外部の運用者からの利用

Encryption-as-a-Serviceによる機密情報の保護

Vaultは機密性の高いデータを保護し安全に利用するために、データを処理するアプリとデータを保管するデータベースなどとの間で、データの暗号化・復号化のプロセスを仲介します。

データ暗号化リクエストはHTTP/HTTPS APIにより行われるため、モダンアプリとの親和性が高いです。また、Vaultのシステムで実際の暗号化処理と、暗号化データの解読能力を維持したままの暗号鍵の更新など鍵管理を行うことで、アプリから機密情報保護の処理をオフロードし、一元的な管理を実現します。

データ保護のプロセス

ピンチアウトで拡大

データ利用のプロセス

以下のプロセスでデータベースに保存されたデータ利用します。

  1.  データ保護プロセスで暗号化されたデータを、アプリがデータベースから読み込み
  2.  アプリがVaultに暗号化されたデータを送信
  3.  Vaultが保持する暗号キーで対象データを復号化
  4.  Vaultからアプリへ復号化済みデータを返送
  5.  アプリが復号化済みデータを用いて処理

Vaultで実現する秘密情報管理のメリット

シークレットの集中管理

シークレットの集中管理を実現し、必要に応じて都度発行することで、シークレットをアプリのソースコードや実行環境の環境変数などに保持させる必要が無くなります。無秩序なシークレットの拡散を排除し、情報漏えいリスクを低減します。

動的シークレットの運用

アクセスごとに有効期限付きシークレットを生成・期限切れ後は無効とするライフサイクル管理を行うことで、同じシークレットの長期利用や使い回しを排除し、情報漏えいリスクを低減させます。また誰が、いつ、何をしていたかの追跡に役立ちます。

シークレットライフサイクル管理を自動化

シークレットのライフサイクル管理を自動化することで、管理者を煩雑なマニュアル作業でのシークレット管理から開放します。

役割ベースのアクセスコントロール(RBAC)

アイデンティティ認証に基づいた役割ベースのアクセスコントロール(RBAC)を実現します。

ゼロトラスト

ユーザーアクセス、APIアクセス、システム間アクセスなどシステム全体に渡ってアイデンティティに基づくRBACを適用することで、ゼロトラストの導入を推進します。

データの暗号化

アプリやデータベースとは独立したシステムでデータの暗号化を実装することで、情報漏えいリスクを低減させます。

Vault Enterpriseを選択する理由

ディザスタリカバリを含めた高い可用性を実現するため

ネームスペースによるマルチテナント的な運用をするため

高度なデータ暗号化要件に対応するため

PDFでダウンロードする>>

 大項目 項目 HCP Vault Dedicated Enterprise

製品および提供形態

製品形態

クラウド

ソフトウェアパッケージ

提供形態

有償

有償

プラットフォームの管理者

 

HashiCorp社

お客様

ターゲット要件

 
・クラウドサービスでの利用
・サポート要件
・セキュリティ要件や自社ポリシーなどの理由により、セルフマネージドシステムが必要
・サポート要件

統合ワークフロー管理

Versioned key value storage
キー/バリューシークレットエンジンのバージョン管理

User & group management
ユーザーとグループ管理

Dynamic secrets
動的シークレット

Leasing & revoking secrets
シークレットの払い出しと取り消し

可視化と最適化

Detailed audit log
(ライセンスの種類により利用可)

ポリシーとセキュリティ

Access control
アクセス制御の管理

Managed keys
外部キーマネージメントシステム (KMS) の利用
(ライセンスの種類により利用可)
(ライセンスの種類により利用可)
AWS KMS auto-unseal
AWS KMSを使った自動アンシール

Azure Key Vault auto-unseal
Azure Key Vaultを使った自動アンシール

GCP Cloud KMS auto-unseal
GCP Cloud KMSを使った自動アンシール
 

Advanced Data Protection (ADP)
Transform、KMIP、Key Management等を使った高度なデータ保護
 
(ライセンスの種類により利用可)
 
(ライセンスの種類により利用可)

信頼性とスケール

Tenant isolation
ネームスペースによる独立したテナント管理

Automated snapshots
スナップショットの自動化
(ライセンスの種類により利用可)
(ライセンスの種類により利用可)
User configurable resource quotas
リソースへのクォータの設定

 

Performance standby nodes
パフォーマンススタンバイ機能 (1クラスタ内での複数リード)
(ライセンスの種類により利用可)
(ライセンスの種類により利用可)
High availability
(ライセンスの種類により利用可)
 
Performance replication
パフォーマンスレプリケーション機能(複数クラスタによる複数リード)
(ライセンスの種類により利用可)
(ライセンスの種類により利用可)
Disaster recovery replication
ディザスターリカバリーレプリケーション
 

インテグレーションとAPI

SSO integration (Okta, Ping, Duo)
シングルサインオン (Okta、Ping、Duo、Entra ID (旧AzureAD))

ガバナンス、リスク、コンプライアンス

Multi-factor authentication
多要素認証

(ライセンスの種類により利用可)
Sentinel policies and control groups
Sentinelを利用したPolicy-as-Code機能
(ライセンスの種類により利用可)
(ライセンスの種類により利用可)
FIPS-140-2 & seal wrap
FIPS140-2準拠のためのSeal Wrap

 

(ライセンスの種類により利用可)
Entropy augmentation
エントロピーの強化 (外部暗号モジュールのサポート)
 
(ライセンスの種類により利用可)

サポート

Premium support and services
弊社によるEメールおよび電話でのサポート

仕様

仕様について以下ボタンからお問い合わせください

製品についてのお問い合わせ

メーカー情報

「ハイパーコンバージドインフラストラクチャ」に関連する製品・サービス