HashiCorp、シークレット検出・特定・削除を自動化「HCP Vault Radar」発表–「HCP Vault Secrets」を一般提供

今回は「HashiCorp、シークレット検出・特定・削除を自動化「HCP Vault Radar」発表–「HCP Vault Secrets」を一般提供」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 HashiCorpは米国時間10月11日、「HCP Cloud Platform(HCP)Vault Radar」のアルファ版、「HCP Vault Secrets」の一般提供、「Vault Enterprise」のシークレットシンクのベータ提供、および「HashiCorp Vault 1.15」をサンフランシスコで開催中のカンファレンス「HashiConf 2023」で発表した。

 今回の発表により、Vaultは、組織がアイデンティティーを活用してセキュリティ上の目標を達成できるよう、「シークレットおよびシステムへのアクセスの一元的な管理・実施」「クレデンシャルの乱立の解消」「手作業によるオーバーヘッドとリスクの削減」「認証と認可のメカニズムの自動的な実装」を支援するとHashiCorpは説明する。

 アルファ版の提供が開始されたHCP Vault Radarは、コード内にあるシークレットの検出、特定、削除を自動化する。シークレットのカテゴリー分け、リスク別のランク付け、修正のための手段を提供し、カテゴリーには「シークレット」「個人を特定できる情報(PII)」「非包括的言語(NIL)」「コード解析(SAST)」「インフラストラクチャーアズコード(IAC)のリスク」「依存の脆弱性」が含まれる。

 また、コードが公開リポジトリーに漏れることや、シークレットや知的財産が攻撃者の手に渡ることを防止する。複数のGitプロバイダーで動作し、企業の継続的インテグレーション/継続的デリバリー(CI/CD)ツール、バージョン管理、コードサーバー、アイデンティティーおよびアクセス管理(IAM)システム、メッセージング、チケッティング、その他多くのITリソースと統合できる。

 HCP Vault Radarは、HashiCorpが6月に買収したBluBracketの技術を活用している。BluBracketは、ソースコード、開発環境、社内wiki、チャットサービス、チケッティングシステムなどに不注意に保存されたシークレットのスキャン、特定、修復を可能にする技術を提供する企業。

 組織は、Vaultを活用してシークレットを管理し、認証を強制し、クレデンシャルを定期的にローテーションすることで、攻撃対象領域を大幅に削減できる。しかし、多くの企業は、シークレット管理の前の段階である、IT資産に散らばる未追跡のシークレットを全て見つけ出すことに苦戦しているとHashiCorp。そのため、シークレットスキャンは、効率性、スピード、革新性を損なうことなくシークレットの拡散を抑制しようとする組織にとって不可欠と続ける。

 HCP Vault Radarのシークレット検出機能は、Gitベースのバージョン管理システム、「AWS Configuration Manager」、HCPエコシステム内のディレクトリー構造に統合されている。

 シークレット管理に特化したSaaS型サービスであるHCP Vault Secretsの一般提供が開始された。同サービスは、Vaultのシークレット管理をより迅速かつシンプルに導入するための手段として、6月にパブリックベータ版が提供されていた。

 今回の一般提供は、本番環境でも使えるシークレット管理機能、追加のシークレット同期先、複数の利用階層など、ベータ版リリースをベースとしている。

 HCP Vault Secretsは、シークレットのライフサイクル管理を一元化することで、複数のシークレット管理アプリケーション間でコンテキストを切り替える必要をなくす。強化されたシークレットのバージョン管理とアクセス制御設定により、シークレットを「AWS Secrets Manager」「GitHub Actions」「Vercel」を含む複数の相手先と安全に同期できるという。また、コマンドラインインターフェース(CLI)、API、「Terraform」「Vault Secrets Operator」を使ってアプリのシークレットを取得することも可能。数分で使い始めることができ、無料または標準の有料プランで提供される。

 シークレット同期は、これまでHCP Vault Secretsでのみ利用可能だったが、「Vault Enterprise 1.15」のベータ機能として利用可能になった。シークレット同期により、プラットフォームチームはシークレットを一元管理できるようになり、開発者は毎日使用するアプリケーション内で必要に応じてシークレットを簡単に利用できるようになるという。

 マルチクラウドアプローチを採用する企業が増えるにつれ、それら企業は、サイロ化されたシークレット管理、コンプライアンス、レポーティングツール、そして、拡大する攻撃対象領域の保護に関する課題に直面しているという。サイロ化したシークレット管理ソリューションは、自社のプラットフォームに特化したソリューション間でシークレットを統一することに主眼を置いているため、完全なソリューションを提供できず、マルチクラウド環境には適していないとHashiCorpは述べる。また、確立したベストプラクティスに基づいてシークレットを一元的にプロビジョニングし、ローテーションする機能も備えていないという。

 そのため企業は、コンプライアンスを順守していることを示すため、複数のロギングツールを活用することが必要となる。さらに、マルチクラウド環境では攻撃対象領域が拡大するため、シークレット管理とコンプライアンスがこれまで以上に重要になると同社は語る。

 Vaultのシークレット同期は、複数のプラットフォームでシークレットの更新、ローテーション、失効を実施するチームを支援することで、ソリューションプロバイダー間でマルチクラウドシークレット管理の橋渡しをする。Vaultの既存の自動化機能と併用することで、シークレット同期はこれらのタスクを自動的に実行できる。組織のシークレットに対する可視性が異なるプラットフォーム間で分断されリスクが生じるのを防ぐ。

 今回のベータ版では、「Amazon Web Services(AWS)」「Microsoft Azure」「Google Cloud」「GitHub」といった複数のプラットフォームへのシークレットの同期をサポートしており、一般提供に向けてさらに多くのリリースが予定されているという。

 9月にリリースされた「HashiCorp Vault 1.15」は、幅広いアップデートを含んでいる。新たに導入されたランディングページダッシュボードは、Vaultインスタンスに関する重要な情報をより包括的かつ統一的に表示する。クライアント数や構成の詳細などの重要な情報を素早く確認し、迅速なアクションを取ることを可能にする。

 「Certificate Issuance External Policy Service(CIEPS)」のリリースにより、Vault外にある顧客定義のサービスにおいて、カスタムポリシーを使用して発行された証明書を詳細に制御できる。「Vault PKI Secrets Engine」から呼び出されるカスタムサービスを実装し、オリジナルの証明書リクエストコンテンツを評価し、上書きすることが可能。Vault PKIが発行した証明書が企業のコンプライアンス基準に適合していることを確認できる。

 ベータ版提供されたVault Enterpriseでのシールの高可用性は、複数の鍵管理サービス(KMS)プロバイダーに保持された独立したシールを使用できるようになり、業務の継続性を確保する。イベントモニタリングもベータ提供され、サブスクライバーは自分のキーバリュー(KV)シークレットへの変更を通知されるよう登録できる。当初はVault 1.13のアルファ版機能としてリリースされたイベントモニタリングは、現在、完全なポリシーのサポート、名前空間、およびAPIを追加している。

(取材協力:HashiCorp)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
フィッシング攻撃はなぜ成功し続けるのか
IT関連
2023-02-02 15:09
ICT総研、スマホ2台持ち実態調査–NTTドコモユーザーは2台目も同キャリアの傾向
IT関連
2024-04-26 05:04
ID管理の今後は消費者向けサービスが鍵に–OktaのケレストCOO
IT関連
2021-03-31 14:44
東芝、道路事故を抑止する「路面変状検知AI」を開発–実用化にめど
IT関連
2023-09-13 15:52
怖いのは改ざんに気付かず結果を盲信–デルCTOが語るAIのセキュリティリスク
IT関連
2023-06-13 02:06
「Windows 365」提供開始–プランと価格が明らかに
IT関連
2021-08-03 22:56
「JAL SKY MUSEUM」にAIロボット導入–急増する外国人来場者に多言語で案内
IT関連
2024-10-24 16:40
マイクロソフトがMac版OneDriveの苦情に対応、全ファイルをローカル保持する方法を説明
IT関連
2022-02-08 01:56
新たなAIモデル「Gemini」でも技術情報を開示しないグーグルの危うさ
IT関連
2023-12-20 22:43
弁護士ドットコム、契約書レビューをAIで支援する「クラウドサイン レビュー」開始
IT関連
2023-07-25 21:21
SafariもWebAssemblyのガベージコレクション機能の実装に着手。Technology Preview 167で明らかに
Apple
2023-04-07 14:28
Sansan、営業DXサービスと契約DXサービスを連携–顧客データベースに取引情報を実装
IT関連
2023-04-01 18:00
「Chrome」、タブ管理に役立つ3つの新機能が追加へ
IT関連
2024-09-12 02:03
東芝デジタルソリューションズ、企業向けブロックチェーンを提供開始
IT関連
2022-05-12 09:54