HashiCorp Japanの「Vault(ヴォルト)」は、情報システムへのアクセスに必要なID/パスワードなどのシークレット情報を、ネットワーク上で一元的に管理できるようにするサーバーソフトである。シークレット情報をキーバリュー型で暗号化して管理する。クライアントがサーバーにアクセスする際、ID/パスワードなどを自前で記録・記憶していなくても、Vaultに問い合わせれば済む。

Vaultの概要。機密情報をユーザー(ID管理者)に代わって一元管理する
(出所:ラック)
[画像のクリックで拡大表示]

 ID/パスワードなどのシークレット情報を一元管理するため、シークレット情報を発行、配付、更新、無効化する機能を備える。「ID/パスワードを使えるのは誰なのか」「ID/パスワードを誰が使っているのか」「ID/パスワードをどのくらいの周期で更新しているのか」、といった情報を管理する。

 Vaultを導入すると、ID/パスワードなどの管理機能を、情報システムから切り出すことができる。これにより、管理台帳の盗難やマルウエアの活動などによるID/パスワードの漏洩を防止できる。アプリケーションのソースコードや設定ファイルにID/パスワードを埋め込んで運用していたためにID/パスワードが流出、といった事故を防止できる。

 ID/パスワードに有効期限を付けることもできる。ID/パスワードが書かれたログデータが漏洩しても、有効期限が切れていれば、サーバーにはログインできない。Vaultが管理しているID/パスワードの有効期限が切れた場合、該当するサーバーにVault自身がアクセスして、ID/パスワード情報を書き換える仕組みである。

 サーバーにアクセスして認証を受けるクライアントアプリケーションは、REST APIを介してVaultからID/パスワード情報を取得する。有効期限切れの場合は、新たなID/パスワード情報をVaultから取得する。また、REST API以外の手段として、GUI画面から対話型でVaultを操作する使い方もできる。

 HashiCorp Japanによれば、よくあるID/パスワード情報の漏洩パターンは3つある。(1)GitHubで公開するなど、誤って、または第三者の故意でインターネットにシークレット情報が漏洩する。(2)証明書の有効期限切れ。現実問題として、数年~10年間などの、推奨値からかけ離れた期間で運用するケースがある。(3)協力会社の複数のエンジニア向けに単一のシークレット情報を使いまわす。漏洩時にトラッキングできない。

Vaultの概要
用途と機能情報システムへのアクセスに必要なID/パスワードなどのシークレット情報を、ネットワーク上で一元的に管理できるようにするサーバーソフト。クライアントがサーバーにアクセスする際、ID/パスワードなどを自前で記録・記憶していなくても、Vaultに問い合わせれば済む
仕組みシークレット情報をキーバリュー型で暗号化して管理する
効果ID/パスワードなどの管理機能を、情報システムから切り出せる。管理台帳の盗難やマルウエアの活動などによるID/パスワードの漏洩を防止できる
ID/パスワードの問い合わせ方法サーバーにアクセスして認証を受けるクライアントアプリケーションは、REST APIを介してVaultに問い合わせる。また、REST API以外の手段として、GUI画面から対話型でVaultを操作する使い方もできる
有効期限の設定ID/パスワードに有効期限を付けて運用できる。有効期限が切れた場合、該当するサーバーにVault自身がアクセスして、ID/パスワード情報を書き換える
価格(税別)例として50クライアントでリクエスト数が月間15万件の場合、年額1000万~1300万円程度
発表日2019年8月7日
提供開始日2019年8月7日
備考発表日/提供開始日と価格は、販売代理店の1社であるラックの場