Japan
サイト内の現在位置を表示しています。
HashiCorp製品 - HashiCorp Vault
シークレット管理ソリューション
概要
Vaultは、ゼロトラストな環境下でも堅牢なセキュリティを提供するシークレット管理ソリューションです。
認証を経た信頼できるアイデンティティを活用して、クレデンシャルや機密データなどのシークレット情報へのアクセスを制御します。
また、Vaultは、オンプレミスやクラウドを問わず、様々なシステム、サービスの多種多様なシークレット情報 (アクセスキー、トークン、パスワード、証明書など) を一元管理し、一貫性のあるワークフローで運用を自動化します。
上記により、システム管理者の運用負担を最小化すると共に、システムの安全性と利便性の両立を実現します。
導入効果
シークレット情報の放置や使いまわしを許さない
システムやアプリケーションを利用するユーザーごとに、必要最低限の権限で、最小期間のアクセスを許可するシークレット情報(クレデンシャル)を動的に発行・管理することで、システム、または、アプリケーションからの情報漏洩リスクを軽減すると共に、煩雑なシークレット情報管理の負担からも解放します。
シークレット情報の動的発行・管理については、様々なクラウドサービス、アプリケーションに対応しており、幅広いシステムの運用で活用していくことができます。
システム・アプリケーション開発におけるセキュリティ処理の作り込み課題を解消
シークレットに関する処理(クレデンシャルの管理、データの暗号化/復号化)をすべて任せることがでるため、システム、アプリケーションの開発者は、本来の目的機能の実装に集中することができます。また、開発者のスキルレベルに依存せず、安定した高いセキュリティレベルを開発対象のシステム、アプリケーションに取り込むことができ、DevSecOpsにおける生産性向上をサポートします。
多岐にわたる法規・規則を遵守し、情報漏洩時の被害を最小化
PCI DSS (Payment Card Industry Data Security Standard)や個人情報保護法など多岐にわたる法的要件の対応で必要となる高度な暗号化処理やトークナイゼーションに対応しており、企業コンプライアンスの確保に貢献することができます。また、堅牢な仕組みで暗号化キーを管理しているため、万が一、暗号化したデータが漏洩してしまったとしても被害を最小限に抑えることができます。
特長
様々なサービスに対応した動的なシークレット管理
クラウドサービスやデータベースなど、様々なサービスへアクセスするためのシークレット情報 (アクセスキーやパスワード)の生成をVaultが仲介して自動化します。また、シークレット情報に有効期限を設定して、自動的に破棄することができます。人手を介さず、オンデマンドで最小有効期間のシークレット情報を活用することで、万が一、シークレット情報が漏洩してしまった場合であっても、すぐに無効化され、悪用のリスクを最小化することができます。
API ドリブン で 暗号化/復号化 可能な Encryption as a Service
Vaultが提供するAPIを介して、アプリケーションが取り扱う機密情報や個人情報を暗号化/復号化することができます。
暗号化/復号化処理をVaultに任せることで、暗号化キーの管理もVaultに一元化することができます。
アプリケーション開発者は、APIのパラメーター指定で、様々な暗号化アルゴリズムを選択でき、容易に暗号化処理をアプリケーションに取り込むことができます。また、システムの運用者は暗号化キーの保管やローテーションなどの管理業務から解放されます。
高可用性を確保した運用基盤を提供
Vaultは、シークレット情報へのアクセスが増加してきた場合であっても、複数のVaultクラスタで処理を分散させるなど、処理性能を向上させるための仕組みを提供しています。また、万が一の障害に備えたクラスタ環境のレプリケーション機能も提供しており、シークレット管理の運用基盤として高可用性を確保することができます。
SaaS版においても、HashiCorp Cloud Platform (HCP)によるクラウドアーキテクチャのベストプラクティスを使用した可用性の高い運用環境が提供されており、安定したシステム運用を行うことができます。
機能
Vault が提供する機能を以下に示します。
機能一覧(エディション毎の比較)
※NECでのコミュニティ版に対するサポート提供等の取扱いは行っておりません。
| 機能 | Vault Community | HCP Vault Dedicated | Vault Enterprise |
|---|---|---|---|
| シークレット管理: シークレットの払い出し、失効の管理 |
〇 | 〇 | 〇 |
| データ保護 (Encryption as a Service): APIドリブンによる暗号化/復号化 |
〇 | 〇 | 〇 |
| 認証・認可: アイデンティティベースのアクセス制御 |
〇 | 〇 | 〇 |
| 高度なデータ保護: Advanced Data Protection ライセンス |
ー | 〇 | 〇 |
| ガバナンスと堅牢なキー管理: コードによるポリシー管理、キー管理 |
ー | 〇 | 〇 |
| エンタープライズプラットフォーム: 企業活動に適用可能な運用基盤 |
ー | 〇 | 〇 |
| 運用 | ローカル環境 | HashiCorp社によるSaaS | ローカル環境 |
| サポート | コミュニティ | NECによる日本語サポート | NECによる日本語サポート |
シークレット管理
Vaultでは、クラウドサービスのアクセスキーやデータベースのパスワード、SSHパスワード、証明書など、様々なシークレット情報を一元管理することができます。Vaultの内部で静的にシークレット情報を管理するだけではなく、必要な時に、必要な権限で、最小の有効期限を設定して、動的にシークレット情報を発行することができます。また、目的作業の完了後に自動でシークレット情報を失効させることができるため、シークレット情報の払い出し管理の負担から運用者を解放します。動的なシークレット情報の管理においては、具体的な例として、Amazon Web Services、Microsoft Azure、Google Cloud Platformなどのクラウドサービスや、MySQL、PostgreSQLなどのデータベース、SSHパスワードや公開鍵認証用証明書などに対応しています。
IaC (Infrastructure as Code) を利用した自動化処理において、動的なシークレット情報を活用した場合、コードからシークレット情報の記述を排除することができるだけではなく、処理の完了後、利用したシークレット情報を自動的に失効させることができるため、シークレット情報の流出や悪用のリスクを排除することができます。
データ保護 (Encryption as a Service)
Vaultが提供するAPIを利用することで、テキストや音声、画像などの機密データを簡単に暗号化/復号化することができます。暗号化アルゴリズムとしては、AES256、ChaCha20、Ed25519、ECDSA、RSA4096 などに対応しています。
暗号化キーのライフサイクル管理も含めて暗号化に関する処理をすべてVaultに任せることができます。
認証・認可
Vaultが提供する機能はすべて、Vaultへの認証を経て、アイデンティティ毎に割り当てられた権限や、ポリシーで許可された範囲でのみ利用することができます。各所に認証を設け、アイデンティティをベースにシークレット情報へのアクセスをコントロールすることで、セキュリティを確保した運用をサポートします。Vaultの認証処理は、外部の認証プロバイダとして、例えば、Amazon Web Services、GitHub、Kubernetes、Oktaなどと連携することができ、また、多要素認証にも対応しています。認証・認可を受けて行ったすべての操作は、監査ログとして記録することもできます。
高度なデータ保護
Vault Enterprise では、Advanced Data Protection ライセンスを追加することで、より高度なデータ保護が可能になります。
具体的には、フォーマット保持暗号化 (FPE) やトークナイゼーション、データマスキングの処理をAPIを介して利用する ことができます。
また、Vaultを KMIP (Key Management Interoperability Protocol) サーバーとして構成することができ、ディスクやストレージの暗号化運用をサポートします。さらに、Amazon Web Services、Microsoft Azure、Google Cloud Platform の KMS (Key Management Service) と連携し、Vaultを介して作成した暗号化キーを安全に KMS に配布したり、ローテーション管理を行うなどの BYOK (Bring Your Own Key) による運用にも対応することができます。
ガバナンスと堅牢なキー管理
アクセスコントロールのためのポリシーはコードで定義することができ、変更管理が容易なだけではなく、アクセスの 時間帯やIPアドレス帯、または、属するグループなど、より細かく柔軟にシークレット情報の利用条件を指定すること ができます。また、シークレット情報の発行においては、複数の承認プロセスを設けることもでき、カバナンスを 効かせたシークレット管理運用をサポートします。
暗号化/復号化処理のための暗号化キーの保管に関しては、各暗号化キーをマスターキーで暗号化してから保管します。 マスターキーは、堅牢なHSM(Hardware Security Module)への保管、または、シャミアの秘密分散を用いて分割して Vaultの外部で保管します。そのため、Vaultが攻撃対象となり、万が一、暗号化キーが流出してしまったとしても 暗号化キーの復号化は困難なため、シークレット情報は安全に守られます。
- ※HCP Vaultでは、HashiCorp Cloud Platform (HCP)として同様の堅牢性を確保し、マスターキーを管理しています。
エンタープライズプラットフォーム
Vaultは、企業内の複数組織よるシークレット情報アクセスを考慮し、マルチテナントに対応しています。これにより、 各組織が独立して、安全にシークレット情報を活用することができます。
また、処理リクエストの増加時にクラスタをスケールして処理性能を向上させる仕組みや、万が一に備えた運用環境のレプリケーション/スナップショット機能の提供など、企業活動を継続していくための高可用性を確保した運用基盤を 提供しています。
製品体系・価格
Vaultは、SaaS版とインストール版による提供になります。
- HCP Vault Dedicated(SaaS版)
HashiCorp社が管理・提供するクラウドサービスとして利用することが可能です。 - Vault Enterprise(インストール版)
任意のサーバー、仮想マシンにインストールして利用することが可能なライセンスです。
オプションとして、Advanced Data Protectionライセンスを追加することができます。
価格は、お問い合わせください。
サポートサービス
HashiCorp社との協業を基盤にした充実のサポートを提供いたします。
認定技術者によるサポート
HashiCorp社の認定技術者によるサポートを提供いたします。
NECは、Terraformのサポート、SIのケイパビリティを評価されてSpecialized Partnerの認定を取得しました。
Specialized Partner:
HashiCorp社製品のサポートやソリューションのデリバリに関する所定の条件をクリアした会社だけが取得できる認証です。
日本語サポート
NEC×HashiCorp Japan社との協業による、安心の日本語サポート(メーカーサポートは英語のみ)。
資料ダウンロード
紹介資料
HashiCorp Vaultの紹介資料をダウンロードいただけます。
シークレット管理の代表的なユースケース、事例などをご紹介します。
※資料のダウンロードには会員登録が必要です。
資料のご請求、ご相談等がありましたら、お気軽にお問い合わせください。