HashiCorpは、マルチクラウド環境における「IDベース」のセキュリティ対策として、シークレット情報を自動的に保護・管理できる「Vault」を開発し提供している。この製品の大きな特徴は、ユーザに代わって、一時的にシステムにアクセスできるID、パスワードを自動生成し、またIDに対して有効期限を設定し、自動廃止や使用期限の延長および手動廃止をする「動的管理」が可能であることだという。
ラックは、HashiCorpのDevOpsへの積極的な技術支援に共感し、またセキュアなシステム開発と運用を実現するDevSecOpsの普及を目指すためにパートナーシップを締結したとしている。
システム開発者や運用担当者は、「Vault」を活用することで、統一のセキュリティポリシーのもと複数のクラウド環境下で自動的にIDやパスワードなどの認証情報を適切に管理・保護することが可能となり、セキュリティ確保のための管理負担を大きく抑制することができるという。
シークレット管理ソリューション「Vault」の概要
マルチクラウド環境でシステム構築を行い運用するには、シークレット管理を厳密に行いつつも、ユーザビリティを高める必要がある。統一したセキュリティポリシーに基づき自動化された管理手段を導入することで安全性と利便性を高め、外部のみならず、内部の管理者や開発者の万一の不正な行動を防ぐ。
・動的管理
一時的にシステムにアクセスできるID、パスワードをVaultが自動生成し、IDに対して有効期限を設定し自動廃止や使用期限の延長および手動廃止をすることが可能。マルチクラウド環境での複数システムの認証情報を、ユーザに代わって、Vaultが安全に一元管理を行う。
この動的管理機能は、他のシークレット情報管理サービスでは実装されておらず、HashiCorp Vault独自機能となる。
・機密情報の一元管理
Vaultでは、文字情報からパブリッククラウドのアクセスキーまで様々なシークレット情報を一元管理することができる。万が一漏えいがあった場合でも、管理者によるシークレット情報の変更、廃止など早急な対応が可能となる。
・暗号化
Vaultでは、様々な暗号化アルゴリズムを利用しシークレット情報を暗号化することができる。なお、Vault Enterprise0.9以降では、ハードウェアセキュリティモジュール(HSM)との連携により連邦情報処理規格FIPS 140-2に準拠しているという認定を受けている。
・アクセスコントロール
ACL(アクセスコントロールリスト)を定義し、シークレット情報およびシステムへのアクセス権を制御する。これにより運用担当者と開発者で参照可能なシークレット情報を分ける等の管理が可能となる。
・監査
いつ・誰が・どのシークレット情報へアクセスしたか記録する。
