HashiCorp Vaultは2015年、Terraform 等で知られる HashiCorp 社が公開したシークレット管理ツールです。「DBパスワード、APIキー、TLS証明書、SSH鍵などの機密情報を一元管理する」目的で設計され、クラウドネイティブ時代の「シークレットを安全に配るインフラ」として急速に普及しました。現在はTerraform同様 BSL ライセンス(ロックインを意識した変更)に移行し、OpenBaoという完全OSSフォークも存在します。
この記事の目次
- Vaultが解決する問題
- Vaultの主要機能
- Vaultの運用構成
- Vaultと類似サービス
- まとめ
Vaultが解決する問題
従来、DBパスワード等の機密情報は環境変数、設定ファイル、CIサーバの管理画面など、あちこちに散らばっていました。Vaultはこれらを一元管理し、「アプリは起動時にVaultに認証して必要なシークレットを取得」する形に統一します。
Vaultの革新は「動的Secret」機能。PostgreSQL等のDB用に「アプリが起動するたびに専用のユーザを作って一時的なパスワードを発行」「使い終わったら自動で削除」できる仕組み。長寿命の固定パスワードを廃止し、漏洩時の被害を最小化します。
Vaultの主要機能
Vaultは静的なKey-Value保管に加え、「DB用に都度パスワード発行」「PKIで都度TLS証明書発行」「AWS用にSTSトークン発行」など、豊富な動的Secretエンジンを備えています。Transit Encryption は「暗号化をVaultに任せる」サービスで、アプリは鍵を持たずに暗号化/復号できる仕組み。
認証方法も豊富で、OIDC、AppRole、Kubernetes Service Account、AWS IAM、LDAP等多数。「Kubernetes上のPodがVaultに自動でログインして自分用のSecretを取得」という運用が定型化されています。
Vaultの運用構成
Vaultは起動時に「Unseal」というプロセスが必要で、複数の鍵分割(Shamir's Secret Sharing)でマスター鍵を復元します。本番運用では Auto-Unseal(AWS KMS等で自動)を組むのが一般的。
アクセス制御は Policy(HCL記述)で細かく定義し、「このアプリはDBパスワードだけ読める」「あの管理者は全て読める」のように粒度を設計。監査ログも標準で出力され、「誰がいつどのSecretを取り出したか」を記録できる点が大企業の採用理由になっています。
Vaultと類似サービス
クラウド各社も Secrets Manager を提供しており、AWS環境だけなら AWS Secrets Manager で十分なことも多い。Vaultは「マルチクラウド」「動的Secret」「Transit」など機能で勝り、複雑な要件に応えます。
Terraform 同様 Vault も2023年にBSLライセンス化され、これに対抗して OpenBao(Linux Foundation 主導の完全OSSフォーク)が登場。新規導入時には Vault / OpenBao / クラウドネイティブ Secrets Manager のどれを使うかの選定が必要になりました。
まとめ
HashiCorp Vault はシークレット管理のデファクトとして、多くの企業のセキュリティインフラを支えています。ライセンス変更の影響はあるものの、Vault が確立した「動的Secret」という発想は現代のセキュリティ運用に深く根付いた重要技術です。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント