Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2025 年版 HashiCorp Vault 入門 / Introduction to Ha...
Search
ののし
November 13, 2025
Technology
1
70
2025 年版 HashiCorp Vault 入門 / Introduction to HashiCorp Vault - 2025 Edition
HashiTalks: Japan 2025
ののし
November 13, 2025
Tweet
Share
More Decks by ののし
See All by ののし
シークレット管理だけじゃない!HashiCorp Vault でデータ暗号化をしよう / Beyond Secret Management! Let's Encrypt Data with HashiCorp Vault
nnstt1
3
350
Azure Developer CLI と Azure Deployment Environment / Azure Developer CLI and Azure Deployment Environment
nnstt1
1
510
Terraform にコントリビュートしていたら Azure のコストをやらかした話 / How I Messed Up Azure Costs While Contributing to Terraform
nnstt1
1
780
進化するクラウド管理 -Azure と Terraform の最新トレンド- / Evolving Cloud Management - Latest Trends in Azure and Terraform
nnstt1
0
62
今から、 今だからこそ始める Terraform で Azure 管理 / Managing Azure with Terraform: The Perfect Time to Start
nnstt1
0
440
HCP Vault Secrets でシークレット管理を始めよう / Getting Started with Secret Management Using HCP Vault Secrets
nnstt1
0
230
HashiCorp Ambassador が予想!Red Hat × HashiCorp の未来 / The Future of Red Hat and HashiCorp
nnstt1
1
220
Terraform を使った Front Door の小ネタ / Terraform for Front Door
nnstt1
0
200
つまずきから学ぶ Backstage の Golden Path 構築
nnstt1
2
1.5k
Other Decks in Technology
See All in Technology
学習データって増やせばいいんですか?
ftakahashi
2
300
生成AIでテスト設計はどこまでできる? 「テスト粒度」を操るテーラリング術
shota_kusaba
0
670
大企業でもできる!ボトムアップで拡大させるプラットフォームの作り方
findy_eventslides
1
700
RAG/Agent開発のアップデートまとめ
taka0709
0
160
AWS re:Invent 2025で見たGrafana最新機能の紹介
hamadakoji
0
320
生成AI活用の型ハンズオン〜顧客課題起点で設計する7つのステップ
yushin_n
0
120
LLM-Readyなデータ基盤を高速に構築するためのアジャイルデータモデリングの実例
kashira
0
230
Challenging Hardware Contests with Zephyr and Lessons Learned
iotengineer22
0
180
エンジニアリングマネージャー はじめての目標設定と評価
halkt
0
270
Kiro Autonomous AgentとKiro Powers の紹介 / kiro-autonomous-agent-and-powers
tomoki10
0
390
EM歴1年10ヶ月のぼくがぶち当たった苦悩とこれからへ向けて
maaaato
0
270
今からでも間に合う!速習Devin入門とその活用方法
ismk
1
640
Featured
See All Featured
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
1
97
Practical Orchestrator
shlominoach
190
11k
For a Future-Friendly Web
brad_frost
180
10k
Building a Scalable Design System with Sketch
lauravandoore
463
34k
It's Worth the Effort
3n
187
29k
Statistics for Hackers
jakevdp
799
230k
GraphQLの誤解/rethinking-graphql
sonatard
73
11k
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
3.8k
RailsConf 2023
tenderlove
30
1.3k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
7.9k
Transcript
None
Hello!! 株式会社エーピーコミュニケーションズ 四国在住3児の父 HashiCorp Ambassador 2024-2025 Microsoft Top Partner Engineer
Award 2024-2025 <Azure> 埜下太一 / ののし (@nnstt1)
HashiCorp Vault の全体像 まずは広く浅く HashiCorp Vault のことを知りましょう HashiCorp Vault の最新動向
「こんなことできるようになったんだ!」を紹介して HashiCorp Vault に興味をもってもらいます 学習ロードマップ HashiCorp Vault の学習の進め方やコンテンツを紹介します HashiCorp Vault 入門
HashiCorp Vault の全体像
なぜシークレット管理が必要なのか 適切なシークレット管理がセキュリティの要 従来の課題 シークレット管理の価値 ハードコード問題 管理の複雑化 アクセス制御の欠如 ローテーション困難 コードやファイルに認証情報を直接記述し、Git リポジトリなどを経由
して漏洩するリスク 複数環境で異なる認証情報を手動管理 更新作業が煩雑でミスが発生 いつ誰がアクセスしたか追跡できない 権限管理が困難で内部脅威に脆弱 認証情報の定期変更が手動作業、ローテーションできているか把握でき ない 中央集権管理 有効期間の短いシークレット 詳細な監査ログ 自動ローテーション すべての認証情報を暗号化されたストレージで一元管理 必要なときに自動生成、使用後は自動失効して漏洩リスクを最小化 すべてのシークレットへのアクセスを記録 定期的な認証情報の自動更新
シークレットの特性とリスク Unmanaged secrets Vaulted Rotated Dynamic Short-lived + unique secret
Medium-lived + shared secret High risk Low risk Long-lived + shared secret
Unmanaged secrets Vaulted Rotated Dynamic High risk Low risk シークレットの特性とリスク
Short-lived + unique secret Medium-lived + shared secret Long-lived + shared secret HashiCorp Vault で提供
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
静的シークレット •Key-Value 形式でシンプル •既存の認証情報を移行しやすい •バージョン管理可能 •マニュアルのローテーションが必要 Vault で始めるシークレット管理の第一歩
動的シークレット •リクエストごとに新しい認証情報を生成 •有効期間 (TTL) で自動失効 •各種データベース、AWS、Azure などに対応 ◦ PostgreSQL、MySQL、Oracle ◦
AWS IAM、Azure サービスプリンシパル Vault で認証情報を自動生成・自動失効
その他のシークレットエンジン Transit - データ暗号化 PKI - 証明書の動的発行 SSH - SSH
認証情報の動的生成
認証・認可 Auth Method 人やマシンそれぞれに対応した認証 外部認証に委任可能 Vault はトークン認証がベース、他の認証をしても トークンが発行される Policy ユーザやマシンがどの認証情報を利用できるか定義
HCL または JSON で記述
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
Entity Entity Alias Group Vault Agent Vault Secrets Operator HA クラスタ レプリケーション Namespace
ID Entity Vault 内で扱うユーザやマシンの ID 商用版では費用としてカウント Entity Alias 同じユーザやマシンが複数の認証方法でログインしても 1
つの Entity として認識するための機能 Group 複数の Entity をまとめて管理 グループに設定したポリシーは全メンバーに継承 Internal Group と External Group の 2 種類 ポリシーと Entity/Group の 組み合わせを理解するのが 大変でした…
HashiCorp Vault の土台 Seal/Unseal HA クラスタ/レプリケーション 起動直後の Vault は使えない状態 (Seal)
複数の Unseal 鍵を使って開封 (Unseal) Unseal 鍵をどう管理するか考慮が必要 5個の鍵のうち3つを使って開封 Seal 状態では Vault はストレージ のデータを復号できない HA クラスタ:同一クラスタ内でのノード冗長化 レプリケーション:クラスタ間でのデータ同期 Region A Region B DR レプリ ケーション パフォーマンス レプリケーション HA クラスタ Active Standby Standby Standby Standby
HashiCorp Vault の種類 Vault Community 無料で使えるコミュニティ版 Vault Enterprise 商用版 Enterprise
限定の機能を使える HCP Vault Dedicated HashiCorp Cloud Platform で提供されるマネージドサービス Enterprise 相当 Vault の足回りを管理しなくて いいので運用が楽! オススメです
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
HashiCorp Vault 最新動向
Vault MCP Server 自然言語で Vault の操作が可能 マウント管理 マウント一覧表示、マウント削除、KV エンジンのマ ウント作成
提供されているツール 証明書操作 PKI 証明書の読み書き・削除・一覧表示 静的シークレット操作 KV シークレットの読み書き・削除・一覧表示
Private DNS forwarding HCP Vault Dedicated から内部 DNS を参照可能 従来の課題
Private DNS forwarding を利用 HCP Vault Dedicated から内部 DNS を参照できず、 クラウドリソースを名前解決できない •データベースに動的シークレットが使えない •VSO で Kubernetes 認証が使えない
VSO CSI シークレットを Kubernetes クラスタに保存せず Pod へ直接マウント •シークレットが etcd に保存されないのでよりセキュアに
•Vault Enterprise 限定の機能 従来のシークレット提供方法 VSO CSI を使ったシークレット提供方法
なくなったもの • シークレット管理に特化したマネージドサービス • 2025年8月27日に従量課金でのサービス提供終了 HCP Vault Secrets
学習ロードマップ
HashiCorp Vault の学習ロードマップ Level 1 Vault の基本概念の把握 Vault へのログイン 静的シークレットの設定
Level 2 Auth Methods、Policy、ID 動的シークレットの設定 Seal/Unseal Level 3 HA、レプリケーション構成 バックアップ、リストア Vault Agent、VSO 学習コンテンツ HashiCorp 公式チュートリアル、認定資格、Udemy 講座、コミュニティ 開発者にも Level 1 まで やってもらうとよいかも (プラットフォーム目線)
Vault 環境を用意する まずは Vault をインストール • Vault はサーバーもクライアント (CLI) も同じバイナリで動く
• 手を動かして学習するためにも Vault コマンドを実行できるようにしましょう ◦ https://developer.hashicorp.com/vault/install
HashiCorp 公式チュートリアル 何をやるか困ったらとりあえず HashiCorp 公式チュートリアル • Vault を使う理由や各機能の使い方を学べる • サイトにログインすれば各コースの進捗状況を確認できて、ブックマーク機能も使える
• Vault の機能は「公式ドキュメントで調べる」→「チュートリアル」でやると効率的
認定資格 認定資格でスキルレベルを確認 項目 Vault Assosiate Vault Operations Professional レベル 基礎
上級 試験内容 基本的な概念 実運用を想定した Vault の機能全般 試験形式 多肢選択式 ハンズオンラボ・多肢選択式 試験時間 60 分 3 時間 • Professional 試験は Vault Enterprise 限定機能も出題、Vaul Enterprise の 検証ライセンスをリクエスト可能
Udemy のオススメ Vault 講座 HashiCorp Certified: Vault Operations Professional 体系的に
HashiCorp Vault について学習 • Professional 試験の出題範囲をカバー • KodeKloud のハンズオン環境を利用可能 • この講座を受けとけば Vault はなんとかなる
HashiCorp Vault ユーザ会 様々な Vault の知見をインプット & アウトプット • 最近発足した
HashiCorp Vault コミュニティ • Vault ユーザと繋がることで学ぶだけでなくモチベーションもアップ! • 第 1 回の様子はこちら https://zenn.dev/aeonpeople/articles/morihaya-20250907-hcpvault-users-report
HashiCorp Ambassador HashiCorp プロダクトの知識を共有して貢献するコミュニティ • Ambassador 特典 ◦ HashiCorp Cloud
Platform の $500 クレジット ◦ ロゴ入り SWAG(今年は SONY のヘッドセットでした!) • HashiConf の Ambassador 限定ディスカッションタイム ◦ 2026 年はアトランタ! ※来年以降も同じかは分かりません
まとめ
HashiCorp Vault をはじめよう HashiCorp Vault の全体像 HashiCorp Vault のこと、なんとなくでも分かりましたか? HashiCorp
Vault の最新動向 興味を惹かれるアップデートはありましたか? 学習ロードマップ HashiCorp Vault を学んでいけそうですか?
Thanks!! contact me at @nnstt1
nnstt1
ftakahashi
shota_kusaba
findy_eventslides
taka0709
hamadakoji
yushin_n
kashira
iotengineer22
halkt
tomoki10
maaaato
ismk
tammyeverts
shlominoach
brad_frost
lauravandoore
3n
jakevdp
sonatard
chriscoyier
addyosmani
productmarketing
tenderlove
eileencodes
