HashiCorp Vault

主な特長

シークレット管理

機密性の高いデータやアプリ、システムなどに対するアクセスを自動化・効率化するために、信頼されるシークレットを管理します。Vaultを使うことで、動的に変化するインフラやアプリなどシステム間の連携においてアイデンティティに基づいたセキュリティを実装し、ゼロトラスト環境を実現します。

Vaultではシークレットのリクエストから発行、有効期限の管理、無効化まで一連のライフサイクルを管理するために、アクセス元となるユーザー・システム・アプリなどと、シークレットを管理するアイデンティティとアクセス管理（以下IAM）システムの間に入り、一連のプロセスを仲介します。

また他にも、Vaultを認証局(CA)とすることで、SSH公開鍵認証で利用するキーペアや、SSL/TLS証明書認証で利用するクライアント証明書のライフサイクル管理を効率化できます。

シークレット管理のプロセス

ピンチアウトで拡大

Vaultユースケース：静的なシークレット管理（キーバリューストア）

既に使用しているデータベースやAPIキーなどがファイルで管理されている場合、それらをVaultのキーバリューストアに保存します。
クライアントがアプリなどを利用する際には、Vaultから値を取得するAPIを実行し、それを環境変数に設定して使用する方法が取れます。
さらに、Vaultでは値を暗号化するため、情報をセキュアに管理できます。

静的なシークレット管理（キーバリュエンス）

Vaultユースケース：外部の運用者（Azure）の利用

Azureのシステム構築を外部業者に委託している場合を考えてみます。
Azureの契約は会社内で管理されているため、外部業者には適切な権限を与える必要があります。外部業者にシークレットを開示して使用してもらうことになります。本来、会社内で管理されているシークレット情報のためセキュリティ上好ましくありません。Vaultを使用すると、外部業者がシークレットを取得できる期間を制限できるため、長期間の利用はできません。また、有効期限が残っていても、Vaultから内部担当者がシークレットを強制的に削除できるため、漏えいリスクを低減できます。

外部の運用者からの利用

Encryption-as-a-Serviceによる機密情報の保護

Vaultは機密性の高いデータを保護し安全に利用するために、データを処理するアプリとデータを保管するデータベースなどとの間で、データの暗号化・復号化のプロセスを仲介します。

データ暗号化リクエストはHTTP/HTTPS APIにより行われるため、モダンアプリとの親和性が高いです。また、Vaultのシステムで実際の暗号化処理と、暗号化データの解読能力を維持したままの暗号鍵の更新など鍵管理を行うことで、アプリから機密情報保護の処理をオフロードし、一元的な管理を実現します。

データ保護のプロセス

ピンチアウトで拡大

データ利用のプロセス

以下のプロセスでデータベースに保存されたデータ利用します。

データ保護プロセスで暗号化されたデータを、アプリがデータベースから読み込み
アプリがVaultに暗号化されたデータを送信
Vaultが保持する暗号キーで対象データを復号化
Vaultからアプリへ復号化済みデータを返送
アプリが復号化済みデータを用いて処理

Vaultで実現する秘密情報管理のメリット

シークレットの集中管理	シークレットの集中管理を実現し、必要に応じて都度発行することで、シークレットをアプリのソースコードや実行環境の環境変数などに保持させる必要が無くなります。無秩序なシークレットの拡散を排除し、情報漏えいリスクを低減します。
動的シークレットの運用	アクセスごとに有効期限付きシークレットを生成・期限切れ後は無効とするライフサイクル管理を行うことで、同じシークレットの長期利用や使い回しを排除し、情報漏えいリスクを低減させます。また誰が、いつ、何をしていたかの追跡に役立ちます。
シークレットライフサイクル管理を自動化	シークレットのライフサイクル管理を自動化することで、管理者を煩雑なマニュアル作業でのシークレット管理から開放します。
役割ベースのアクセスコントロール（RBAC）	アイデンティティ認証に基づいた役割ベースのアクセスコントロール（RBAC）を実現します。
ゼロトラスト	ユーザーアクセス、APIアクセス、システム間アクセスなどシステム全体に渡ってアイデンティティに基づくRBACを適用することで、ゼロトラストの導入を推進します。
データの暗号化	アプリやデータベースとは独立したシステムでデータの暗号化を実装することで、情報漏えいリスクを低減させます。

Vault Enterpriseを選択する理由

ディザスタリカバリを含めた高い可用性を実現するため

ネームスペースによるマルチテナント的な運用をするため

高度なデータ暗号化要件に対応するため

PDFでダウンロードする＞＞

大項目	項目	HCP Vault Dedicated	Enterprise
製品および提供形態	製品形態	クラウド	ソフトウェアパッケージ
製品および提供形態	提供形態	有償	有償
プラットフォームの管理者		HashiCorp社	お客様
ターゲット要件		・クラウドサービスでの利用・サポート要件	・セキュリティ要件や自社ポリシーなどの理由により、セルフマネージドシステムが必要・サポート要件
統合ワークフロー管理	Versioned key value storage キー/バリューシークレットエンジンのバージョン管理	〇	〇
	User & group management ユーザーとグループ管理	〇	〇
	Dynamic secrets 動的シークレット	〇	〇
	Leasing & revoking secrets シークレットの払い出しと取り消し	〇	〇
可視化と最適化	Detailed audit log 監査ログ	〇 (ライセンスの種類により利用可)	〇
ポリシーとセキュリティ	Access control アクセス制御の管理	〇	〇
	Managed keys 外部キーマネージメントシステム (KMS) の利用	〇 (ライセンスの種類により利用可)	〇 (ライセンスの種類により利用可)
	AWS KMS auto-unseal AWS KMSを使った自動アンシール	〇	〇
	Azure Key Vault auto-unseal Azure Key Vaultを使った自動アンシール	〇	〇
	GCP Cloud KMS auto-unseal GCP Cloud KMSを使った自動アンシール		〇
	Advanced Data Protection (ADP) Transform、KMIP、Key Management等を使った高度なデータ保護	〇 (ライセンスの種類により利用可)	〇 (ライセンスの種類により利用可)
信頼性とスケール	Tenant isolation ネームスペースによる独立したテナント管理	〇	〇
	Automated snapshots スナップショットの自動化	〇 (ライセンスの種類により利用可)	〇 (ライセンスの種類により利用可)
	User configurable resource quotas リソースへのクォータの設定		〇
	Performance standby nodes パフォーマンススタンバイ機能（1クラスタ内での複数リード）	〇 (ライセンスの種類により利用可)	〇 (ライセンスの種類により利用可)
	High availability 高可用性	〇 (ライセンスの種類により利用可)
	Performance replication パフォーマンスレプリケーション機能（複数クラスタによる複数リード）	〇 (ライセンスの種類により利用可)	〇 (ライセンスの種類により利用可)
	Disaster recovery replication ディザスターリカバリーレプリケーション		〇
インテグレーションとAPI	SSO integration (Okta, Ping, Duo) シングルサインオン (Okta、Ping、Duo、Entra ID (旧AzureAD))	〇	〇
ガバナンス、リスク、コンプライアンス	Multi-factor authentication 多要素認証	〇	〇 (ライセンスの種類により利用可)
	Sentinel policies and control groups Sentinelを利用したPolicy-as-Code機能	〇 (ライセンスの種類により利用可)	〇 (ライセンスの種類により利用可)
	FIPS-140-2 & seal wrap FIPS140-2準拠のためのSeal Wrap		〇 (ライセンスの種類により利用可)
	Entropy augmentation エントロピーの強化 (外部暗号モジュールのサポート)		〇 (ライセンスの種類により利用可)
サポート	Premium support and services 弊社によるEメールおよび電話でのサポート	〇	〇

メーカー情報