トヨタコネクティッド:3大課題を解決したHCP Vault Dedicated
最初に登壇した企業はトヨタコネクティッドだ。2000年に設立された同社は、トヨタ自動車グループでトヨタコネクティッドカーやモビリティサービスの開発や運用を手がける企業だ。クラウドを活用し車両データの管理や分析など多岐にわたるサービスを展開するなかで、クラウド活用の複雑化にともない、本番環境でのシークレット管理におけるリスクが喫緊の課題になっていたと話すのは、同社 コネクティッド技術部 部長の武田洋佑氏だ。サービスごとにシークレットを管理していたことで、運用にばらつきが発生。また、キー情報が分散していたためにシークレットのローテーションや管理が困難になっていたのだ。
同社 コネクティッド技術部 アーキテクチャ室 クラウドアーキG GM 阿部絢人氏
この課題を解決すべく様々なソリューションを比較検討した結果、HashiCorpの「HCP Vault Dedicated(以下、Vault)」を選定。動的シークレット生成や有効期限付き管理などシークレット管理機能が充実していることや、データ暗号化に対応していること、SaaS型のため運用コストが低減できて、マルチクラウドにも対応していることなどが採用理由として挙げられた。
現在は特定のワークロードでVaultの利用を開始している。シークレット管理に対する社員の意識向上とともに、運用の効率化やセキュリティリスク低減に寄与していると武田氏。今後は、既存資産に適用範囲を拡大し、またマルチクラウドで展開することも視野に入れているとした。さらにHCP Vault Radarでシークレットを洗い出すことも検討しているという。
実際にVaultをどのような構成で利用しているかについて、同社 コネクティッド技術部の阿部絢人氏が解説。同社の現場では、大量のサービスを安定的に運用しつつも、アジリティ高く開発を行う必要性に迫られていたという。また、プロジェクトごとに細かい差異はあるものの、リポジトリ管理やCI/CDパイプラインなど共通の要件も多く存在する。このような状況で、一定水準以上のセキュアな状態を全てのサービスに適用することも必要だ。そのため、「便利かつガバナンスの効いた開発プラットフォームが必須だ」と阿部氏は言う。
こうしてVaultを組み込んだ結果、下図のような開発プラットフォームを整備した。ユーザーはまず、ユーザー管理サービスにアクセスする。ここで認証と認可を一元管理しているため、シングルサインオンが可能だ。続いてアクセスする仮想デスクトップサービスでは、情報漏えいリスクが低減されたり、操作の証跡が残されたりするような仕組みが備わっている。
開発したコードはリポジトリ管理サービスで一元管理することで、開発者の利便性を高めると同時に、ガバナンスを効かせてコードの外部公開を抑止する。シークレットの管理はVaultで行うため、レポジトリと管理を分けられることが特徴だ。これによって開発者は、シークレット情報を意識することなく開発に集中できる。必要に応じて脆弱性分析ツールやCI/CDプラットフォームなどの便利ツールも活用しているという。
続いてシークレット管理の流れを見ていこう。シークレット管理者はVaultにログインしてシークレット情報の登録・更新・削除を行う。実際に開発者からソースコードがプッシュされると、CI/CDパイプラインが起動。パイプラインにはあらかじめVaultを組み込んでいるため、必要なシークレット情報をVaultに問い合わせ、Vaultは対応するキー情報をAWS Secrets Managerに渡す。
阿部氏は「Vaultを利用することでシークレット情報とソースコードの分離を実現した結果、シークレット管理者とアプリ開発者のタスクも分離できました。これにより、人的要因と技術的要因の双方でシークレット漏えいリスクの削減が可能になったのです」と話す。
ただし、Vault実装にあたっては懸念もあった。1つ目はVaultが単一障害点になるリスクだ。Vaultがダウンすると、シークレット情報の問い合わせができず、アプリケーションがダウンしてしまう。そこで、Vaultが返すシークレット情報をAWS Secrets Managerに渡し、アプリケーションはAWS Secrets Managerにアクセスするようにした。2点目はシングルサインオンの認証方式だ。当初、シークレット管理者のVaultログインはOIDC(OpenID Connect)認証を採用していたが、シークレット管理のタスクが増えてしまうデメリットがあった。しかし、VaultがSAML(Security Assertion Markup Language)認証に対応したため、SAML認証でのシングルサインオンに切り替えることで解決できたという。
今後はVaultのSecrets Syncを利用することで、シークレット情報を更新したタイミングでSecrets Managerに同期することを計画していると阿部氏。「これでCI/CDパイプラインにVaultを組み込む必要がなくなり、より利便性が高まります。これによって、さらにVaultの普及を加速できると考えています」と今後の拡張プランを語った。
