ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相(xiang)談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

HashiCorp製品(pin)

Vault(ヴォルト)

Solutions & Products

シークレット管理ソリューションVaultでDevSecOpsを加速する

HashiCorp Vaultは、マルチクラウド時代(dai)の具体的(de)なセキュリティ対策(ce)として、IDベースセキュリティやシークレット情報の保護の問題を解決するシークレット管(guan)理(li)ソリューションです。自動化された管(guan)理(li)手段(duan)によって厳(yan)密な管(guan)理(li)を行いつつも、ユーザビリティを向上させることができます。

サービスの強み

統一されたセキュリティポリシーに基づき自動化された管理手段の導入で
安全性(xing)と利(li)便性(xing)を高めます

マルチクラウド環境(jing)でシステムを構築し、運(yun)(yun)用(yong)するには、シークレット管理(li)を厳密に実施しつつも、ユーザビリティを高める必要があります。Vaultでは統一したセキュリティポリシーに基づき、自動化された管理(li)手段(duan)を導入することで安全性と利便性を高めます。VaultはDevSecOpsによるダイナミックなシステム構築と運(yun)(yun)用(yong)をより円(yuan)滑にするとともに、外部の攻(gong)撃者(zhe)だけでなく、内部の管理(li)者(zhe)や開発者(zhe)による不正な行動も防ぐことができます。

シークレットを安全に保護、管理するVault

  1. シークレットの動的管理
    「シークレットの動的管理」機能により、一時的にシステムにアクセスできるID、パスワードをVaultが自動生成し、IDに対して有効期限を設定することで自動廃止や使用期限の延長および手動廃止が可能となります。
  2. さまざまなシークレットを一元管理
    Vaultで管理できるシークレットには、パブリッククラウドにアクセスするためのアクセスキー、データベースにアクセスするためのアクセスキー、APIへアクセスするためのAPIキー、SSHキー、PKI証明書などがあります。
  3. 多種多様な暗号化アルゴリズムをサポートし、連邦情報処理規格FIPS 140-2に準拠
    Vaultでは様々な暗号化アルゴリズムを利用しシークレット情報を暗号化することができます。

シークレットを安全に保護、管理するVaultの主な5つの機能

1. シークレットの動的管理

Vaultの最大の特長である「シークレットの動(dong)的管(guan)理(li)」機(ji)能(neng)により、一時的にシステムにアクセスできるID、パスワードをVaultが自動(dong)生成し、IDに対して有効(xiao)期限(xian)を設定することで自動(dong)廃止や使用期限(xian)の延長および手動(dong)廃止が可能(neng)となります。これによりマルチクラウド環境での複(fu)数システムの認証情報を、ユーザーに代わってVaultが安全に一元管(guan)理(li)をオンデマンドで行います。この動(dong)的管(guan)理(li)機(ji)能(neng)は他のシークレット管(guan)理(li)サービスでは実装(zhuang)されておらず、HashiCorp Vault独自機(ji)能(neng)となります。(2019年5月時点)

Vaultが認証情報を一元管理して生成(イメージ)
Vaultが認証情報を一元管理して生成(イメージ)

2. さまざまなシークレットを一元管理

シークレットといってもさまざまな種類(lei)があります。Vaultで管理できるシークレットには以(yi)下のようなものがあります。

  • パブリッククラウドにアクセスするためのアクセスキー
  • データベースにアクセスするためのアクセスキー
  • APIへアクセスするためのAPIキー
  • SSHキー
  • PKI証明書

また、多彩(cai)なプラットフォームもサポートしています。

Vaultで管理できるシークレット(一例)

  • Amazon Web Services
  • Microsoft Azure
  • Google Cloud Platform
  • Active Directory
  • Database
  • SSH
  • Key value

多様なプラットフォームをサポート

Vaultでは以(yi)下(xia)の動作(zuo)環境をサポートします。

  • Linux
  • Windows
  • Mac OS X
  • FreeBSD
  • NetBSD
  • OpenBSD
  • Solaris

3. 多種多様な暗号化アルゴリズムをサポートし、連邦情報処理規格FIPS 140-2に準拠

Vaultでサポートする暗号化アルゴリズム

Vaultではさまざまな暗(an)号(hao)化(hua)アルゴリズムを利(li)用(yong)しシークレット情報(bao)を暗(an)号(hao)化(hua)することができます。

  • aes256-gcm96
  • chacha20-poly1305
  • ed25519
  • ecdsa-p256
  • rsa-2048
  • rsa-4096

連邦情報処理規格FIPS 140-2に準拠

Vault Enterprise0.9以降では、ハードウェアセキュリティモジュール(HSM)との連携により連邦情報処理規格FIPS 140-2※1に準拠している旨、認定を受けております。

※1 FIPS 140-2(Federal Information Processing Standardization 140-2)は2001年5月に発行された、米国(guo)連(lian)邦(bang)政府(fu)の省(sheng)庁等各機関が利用(yong)するハードウェア及びソフトウェアの暗(an)号(hao)モジュール要件に関する規定です。米国(guo)連(lian)邦(bang)政府(fu)機関が暗(an)号(hao)モジュールを調達する際にはFIPS 140-2、もしくはその前身であるFIPS 140-1適(shi)合認定を取得しているものである必(bi)要があります。

4. シークレットへのアクセスコントロール

ACLを定(ding)義しシークレット情報(bao)およびシステムへのアクセス権を制御(yu)します。これにより運用担当(dang)者(zhe)と開発(fa)者(zhe)で参(can)照可能なシークレット情報(bao)を分ける等の管理(li)が可能となります。

5. シークレットへのアクセスの監査

いつ・誰が・どのシークレットへアクセスしたか記録します。

Vaultによる課題の解決ケース

Vaultは、シークレット管(guan)理におけるID漏洩リスクやID管(guan)理の負荷(he)など様(yang)々な解決策を提(ti)供(gong)します。

複数のユーザーでパブリッククラウドのアクセスキーを共有している場合

複数のユーザーでパブリッククラウドのアクセスキーを共有している場合
  • ユーザーが同一のアクセスキーを使用するため、多くの権限を付与しなければならず、リスクにつながる
  • アクセスキーの漏えい時の影響は広範囲となる
  • 誰が、いつ、どこにアクセスしたのか確認できない
Vault導入後、複数のユーザーでパブリッククラウドのアクセスキーを共有している場合
  • ID管理者に代わり、Vaultがユーザーごとにアクセスキーを発行するため、誰が、いつ、どこにアクセスしたか把握できる
  • 万が一アクセスキーの漏洩があった場合でも、早急にアクセスキーを廃止するなどの対応ができ、漏洩による影響範囲を最小限にすることができる
  • ユーザーごとのアクセスキーを自動的に作成するため、運用管理業務の削減が図れる
  • ユーザーごとの権限をポリシーとして定義し、自動でアクセスキーを発行することで、人為的なミスを防げる

データベースへのアクセス情報がソースコードにハードコーディングされている場合

データベースへのアクセス情報がソースコードにハードコーディングされている場合
  • クラウドインスタンスを大量に起動される、もしくは機密情報の漏えいにつながる
  • 誰が、いつ、どこにアクセスしたのか確認できない

アクセスキーを含んだソースコードを公開(kai)リポジトリに登(deng)録した場合、公開(kai)されたアクセスキーを攻(gong)撃者(zhe)に奪取され、最終的に、攻(gong)撃者(zhe)がアクセスキーを使用(yong)してクラウドインスタンスを大量に起(qi)動(dong)することが可能となります。そこから流出(chu)したアクセスキーを不正に使われ、クラウド事業者(zhe)からの高額な請求がきてしまう被害などが発(fa)生します。アクセスキーを不正使用(yong)され機(ji)密情報の漏(lou)えいにもつながります。

Vault導入後、データベースへのアクセス情報がソースコードにハードコーディングされている場合

Vault導入後(hou)は、アプリケーションはアクセスキーをVault経(jing)由で取得(de)するため、ソースコードに直接アクセスキーをハードコードすることはありません。そのため、公(gong)開リポジトリにソースコードを登録(lu)しても、アクセスキーが含まれていないため、攻撃者がアクセスキーとともに、クラウドインスタンスを立ち上げることはできず、高額請求のような被害を防ぐことができます。

その他、シークレットへのアクセスログや監査ログを取得していない場(chang)合も、Vaultが監査ログを記録することで、過去のアクセス履歴を確認し、情報漏えい時の早期解決や監査証跡(ji)管理を実現できます。

DevOps時代のセキュリティ

DevOpsやデジタルトランスフォーメーションによりシステム構築やリリースのスピードが加速していく中(zhong)、情報(bao)漏えいによるセキュリティ事(shi)故は後を絶(jue)ちません。この背景(jing)には、システムがクラウドのような新しい環(huan)境に移行している一方で、既存のシステムセキュリティのノウハウのままで新しいシステムを運用している点があげられます。

クラウド活用が進む中、セキュリティの要がネットワーク単位の通信の領域からIDの領域に移ろうとしています。システムは益々ダイナミックな環境となり、従来型のFirewallに代表される、境界防御だけではセキュリティは守れません。実際、多くのクラウド先行企業で次のような「シークレット(Secrets)」※2の漏えいによる不正アクセスを経験しています。

※2 ITサービスを利用するために必要な情報であり、外部に漏れてしまったら多大な損害を被る可能性の高い情報の総称。「クレデンシャル情報」と言う場合もあります。
シークレットの例:ユーザーID/パスワード、APIトークン、証明書、シークレットキー

シークレットの漏えいによる不正アクセスの例

パブリッククラウドのアクセスキーを含んだソースコードを公開リポジトリ登録してしまい、そこから流出したアクセスキーを攻撃者に使用されることにより、以下の事故が発生。

  • パブリッククラウドのインスタンスを仮想通貨マイニング目的のために大量に起動され、その結果、高額のクラウド利用料が請求される
  • データベースへの不正アクセスにより暗号化されていない顧客情報が漏えいする

ラックは、マルチクラウド環境でシークレットを保護・管(guan)理する「Vault」により、DevOpsにセキュリティの要素を加えたDevSecOpsの実現(xian)を支援(yuan)します。

価格

お気軽にお問い合わせください。

「HashiCorp Vault(ヴォルト)」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top