HashiCorp、シークレット検出・特定・削除を自動化「HCP Vault Radar」発表–「HCP Vault Secrets」を一般提供
今回は「HashiCorp、シークレット検出・特定・削除を自動化「HCP Vault Radar」発表–「HCP Vault Secrets」を一般提供」についてご紹介します。
関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
HashiCorpは米国時間10月11日、「HCP Cloud Platform(HCP)Vault Radar」のアルファ版、「HCP Vault Secrets」の一般提供、「Vault Enterprise」のシークレットシンクのベータ提供、および「HashiCorp Vault 1.15」をサンフランシスコで開催中のカンファレンス「HashiConf 2023」で発表した。
今回の発表により、Vaultは、組織がアイデンティティーを活用してセキュリティ上の目標を達成できるよう、「シークレットおよびシステムへのアクセスの一元的な管理・実施」「クレデンシャルの乱立の解消」「手作業によるオーバーヘッドとリスクの削減」「認証と認可のメカニズムの自動的な実装」を支援するとHashiCorpは説明する。
アルファ版の提供が開始されたHCP Vault Radarは、コード内にあるシークレットの検出、特定、削除を自動化する。シークレットのカテゴリー分け、リスク別のランク付け、修正のための手段を提供し、カテゴリーには「シークレット」「個人を特定できる情報(PII)」「非包括的言語(NIL)」「コード解析(SAST)」「インフラストラクチャーアズコード(IAC)のリスク」「依存の脆弱性」が含まれる。
また、コードが公開リポジトリーに漏れることや、シークレットや知的財産が攻撃者の手に渡ることを防止する。複数のGitプロバイダーで動作し、企業の継続的インテグレーション/継続的デリバリー(CI/CD)ツール、バージョン管理、コードサーバー、アイデンティティーおよびアクセス管理(IAM)システム、メッセージング、チケッティング、その他多くのITリソースと統合できる。
HCP Vault Radarは、HashiCorpが6月に買収したBluBracketの技術を活用している。BluBracketは、ソースコード、開発環境、社内wiki、チャットサービス、チケッティングシステムなどに不注意に保存されたシークレットのスキャン、特定、修復を可能にする技術を提供する企業。
組織は、Vaultを活用してシークレットを管理し、認証を強制し、クレデンシャルを定期的にローテーションすることで、攻撃対象領域を大幅に削減できる。しかし、多くの企業は、シークレット管理の前の段階である、IT資産に散らばる未追跡のシークレットを全て見つけ出すことに苦戦しているとHashiCorp。そのため、シークレットスキャンは、効率性、スピード、革新性を損なうことなくシークレットの拡散を抑制しようとする組織にとって不可欠と続ける。
HCP Vault Radarのシークレット検出機能は、Gitベースのバージョン管理システム、「AWS Configuration Manager」、HCPエコシステム内のディレクトリー構造に統合されている。
シークレット管理に特化したSaaS型サービスであるHCP Vault Secretsの一般提供が開始された。同サービスは、Vaultのシークレット管理をより迅速かつシンプルに導入するための手段として、6月にパブリックベータ版が提供されていた。
今回の一般提供は、本番環境でも使えるシークレット管理機能、追加のシークレット同期先、複数の利用階層など、ベータ版リリースをベースとしている。
HCP Vault Secretsは、シークレットのライフサイクル管理を一元化することで、複数のシークレット管理アプリケーション間でコンテキストを切り替える必要をなくす。強化されたシークレットのバージョン管理とアクセス制御設定により、シークレットを「AWS Secrets Manager」「GitHub Actions」「Vercel」を含む複数の相手先と安全に同期できるという。また、コマンドラインインターフェース(CLI)、API、「Terraform」「Vault Secrets Operator」を使ってアプリのシークレットを取得することも可能。数分で使い始めることができ、無料または標準の有料プランで提供される。
シークレット同期は、これまでHCP Vault Secretsでのみ利用可能だったが、「Vault Enterprise 1.15」のベータ機能として利用可能になった。シークレット同期により、プラットフォームチームはシークレットを一元管理できるようになり、開発者は毎日使用するアプリケーション内で必要に応じてシークレットを簡単に利用できるようになるという。
マルチクラウドアプローチを採用する企業が増えるにつれ、それら企業は、サイロ化されたシークレット管理、コンプライアンス、レポーティングツール、そして、拡大する攻撃対象領域の保護に関する課題に直面しているという。サイロ化したシークレット管理ソリューションは、自社のプラットフォームに特化したソリューション間でシークレットを統一することに主眼を置いているため、完全なソリューションを提供できず、マルチクラウド環境には適していないとHashiCorpは述べる。また、確立したベストプラクティスに基づいてシークレットを一元的にプロビジョニングし、ローテーションする機能も備えていないという。
そのため企業は、コンプライアンスを順守していることを示すため、複数のロギングツールを活用することが必要となる。さらに、マルチクラウド環境では攻撃対象領域が拡大するため、シークレット管理とコンプライアンスがこれまで以上に重要になると同社は語る。
Vaultのシークレット同期は、複数のプラットフォームでシークレットの更新、ローテーション、失効を実施するチームを支援することで、ソリューションプロバイダー間でマルチクラウドシークレット管理の橋渡しをする。Vaultの既存の自動化機能と併用することで、シークレット同期はこれらのタスクを自動的に実行できる。組織のシークレットに対する可視性が異なるプラットフォーム間で分断されリスクが生じるのを防ぐ。
今回のベータ版では、「Amazon Web Services(AWS)」「Microsoft Azure」「Google Cloud」「GitHub」といった複数のプラットフォームへのシークレットの同期をサポートしており、一般提供に向けてさらに多くのリリースが予定されているという。
9月にリリースされた「HashiCorp Vault 1.15」は、幅広いアップデートを含んでいる。新たに導入されたランディングページダッシュボードは、Vaultインスタンスに関する重要な情報をより包括的かつ統一的に表示する。クライアント数や構成の詳細などの重要な情報を素早く確認し、迅速なアクションを取ることを可能にする。
「Certificate Issuance External Policy Service(CIEPS)」のリリースにより、Vault外にある顧客定義のサービスにおいて、カスタムポリシーを使用して発行された証明書を詳細に制御できる。「Vault PKI Secrets Engine」から呼び出されるカスタムサービスを実装し、オリジナルの証明書リクエストコンテンツを評価し、上書きすることが可能。Vault PKIが発行した証明書が企業のコンプライアンス基準に適合していることを確認できる。
ベータ版提供されたVault Enterpriseでのシールの高可用性は、複数の鍵管理サービス(KMS)プロバイダーに保持された独立したシールを使用できるようになり、業務の継続性を確保する。イベントモニタリングもベータ提供され、サブスクライバーは自分のキーバリュー(KV)シークレットへの変更を通知されるよう登録できる。当初はVault 1.13のアルファ版機能としてリリースされたイベントモニタリングは、現在、完全なポリシーのサポート、名前空間、およびAPIを追加している。
(取材協力:HashiCorp)