Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2025 年版 HashiCorp Vault 入門 / Introduction to Ha...
Search
ののし
November 13, 2025
Technology
1
44
2025 年版 HashiCorp Vault 入門 / Introduction to HashiCorp Vault - 2025 Edition
HashiTalks: Japan 2025
ののし
November 13, 2025
Tweet
Share
More Decks by ののし
See All by ののし
シークレット管理だけじゃない!HashiCorp Vault でデータ暗号化をしよう / Beyond Secret Management! Let's Encrypt Data with HashiCorp Vault
nnstt1
3
330
Azure Developer CLI と Azure Deployment Environment / Azure Developer CLI and Azure Deployment Environment
nnstt1
1
500
Terraform にコントリビュートしていたら Azure のコストをやらかした話 / How I Messed Up Azure Costs While Contributing to Terraform
nnstt1
1
750
進化するクラウド管理 -Azure と Terraform の最新トレンド- / Evolving Cloud Management - Latest Trends in Azure and Terraform
nnstt1
0
54
今から、 今だからこそ始める Terraform で Azure 管理 / Managing Azure with Terraform: The Perfect Time to Start
nnstt1
0
430
HCP Vault Secrets でシークレット管理を始めよう / Getting Started with Secret Management Using HCP Vault Secrets
nnstt1
0
220
HashiCorp Ambassador が予想!Red Hat × HashiCorp の未来 / The Future of Red Hat and HashiCorp
nnstt1
1
220
Terraform を使った Front Door の小ネタ / Terraform for Front Door
nnstt1
0
190
つまずきから学ぶ Backstage の Golden Path 構築
nnstt1
2
1.4k
Other Decks in Technology
See All in Technology
仕様は“書く”より“語る” - 分断を超えたチーム開発の実践 / 20251115 Naoki Takahashi
shift_evolve
PRO
1
1k
AIと自動化がもたらす業務効率化の実例: 反社チェック等の調査・業務プロセス自動化
enpipi
0
650
大規模プロダクトで実践するAI活用の仕組みづくり
k1tikurisu
4
1.5k
LINEギフト・LINEコマース領域の開発
lycorptech_jp
PRO
0
300
Spring Boot利用を前提としたJavaライブラリ開発方法の提案
kokihoshihara
PRO
2
240
なぜThrottleではなくDebounceだったのか? 700並列リクエストと戦うサーバーサイド実装のすべて
yoshiori
13
4.7k
Building AI Applications with Java, LLMs, and Spring AI
thomasvitale
1
110
バフェットコード株式会社 開発チームカルチャーデック
shoe116
1
110
技術広報のOKRで生み出す 開発組織への価値 〜 カンファレンス協賛を通して育む学びの文化 〜 / Creating Value for Development Organisations Through Technical Communications OKRs — Nurturing a Culture of Learning Through Conference Sponsorship —
pauli
5
390
Devoxx Morocco 2025 - Like Spring but faster: The new Java Jedi
edeandrea
PRO
0
100
Progressive Deliveryで支える!スケールする衛星コンステレーションの地上システム運用 / Ground Station Operation for Scalable Satellite Constellation by Progressive Delivery
iselegant
1
190
【Oracle Cloud ウェビナー】パスワードだけでは守れない時代~多要素認証で強化する企業セキュリティ~
oracle4engineer
PRO
2
100
Featured
See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
2.9k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.5k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
48
9.8k
Statistics for Hackers
jakevdp
799
220k
Docker and Python
trallard
46
3.7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
15k
KATA
mclloyd
PRO
32
15k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
24
1.6k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
127
54k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
231
22k
Producing Creativity
orderedlist
PRO
348
40k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
Transcript
None
Hello!! 株式会社エーピーコミュニケーションズ 四国在住3児の父 HashiCorp Ambassador 2024-2025 Microsoft Top Partner Engineer
Award 2024-2025 <Azure> 埜下太一 / ののし (@nnstt1)
HashiCorp Vault の全体像 まずは広く浅く HashiCorp Vault のことを知りましょう HashiCorp Vault の最新動向
「こんなことできるようになったんだ!」を紹介して HashiCorp Vault に興味をもってもらいます 学習ロードマップ HashiCorp Vault の学習の進め方やコンテンツを紹介します HashiCorp Vault 入門
HashiCorp Vault の全体像
なぜシークレット管理が必要なのか 適切なシークレット管理がセキュリティの要 従来の課題 シークレット管理の価値 ハードコード問題 管理の複雑化 アクセス制御の欠如 ローテーション困難 コードやファイルに認証情報を直接記述し、Git リポジトリなどを経由
して漏洩するリスク 複数環境で異なる認証情報を手動管理 更新作業が煩雑でミスが発生 いつ誰がアクセスしたか追跡できない 権限管理が困難で内部脅威に脆弱 認証情報の定期変更が手動作業、ローテーションできているか把握でき ない 中央集権管理 有効期間の短いシークレット 詳細な監査ログ 自動ローテーション すべての認証情報を暗号化されたストレージで一元管理 必要なときに自動生成、使用後は自動失効して漏洩リスクを最小化 すべてのシークレットへのアクセスを記録 定期的な認証情報の自動更新
シークレットの特性とリスク Unmanaged secrets Vaulted Rotated Dynamic Short-lived + unique secret
Medium-lived + shared secret High risk Low risk Long-lived + shared secret
Unmanaged secrets Vaulted Rotated Dynamic High risk Low risk シークレットの特性とリスク
Short-lived + unique secret Medium-lived + shared secret Long-lived + shared secret HashiCorp Vault で提供
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
静的シークレット •Key-Value 形式でシンプル •既存の認証情報を移行しやすい •バージョン管理可能 •マニュアルのローテーションが必要 Vault で始めるシークレット管理の第一歩
動的シークレット •リクエストごとに新しい認証情報を生成 •有効期間 (TTL) で自動失効 •各種データベース、AWS、Azure などに対応 ◦ PostgreSQL、MySQL、Oracle ◦
AWS IAM、Azure サービスプリンシパル Vault で認証情報を自動生成・自動失効
その他のシークレットエンジン Transit - データ暗号化 PKI - 証明書の動的発行 SSH - SSH
認証情報の動的生成
認証・認可 Auth Method 人やマシンそれぞれに対応した認証 外部認証に委任可能 Vault はトークン認証がベース、他の認証をしても トークンが発行される Policy ユーザやマシンがどの認証情報を利用できるか定義
HCL または JSON で記述
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
Entity Entity Alias Group Vault Agent Vault Secrets Operator HA クラスタ レプリケーション Namespace
ID Entity Vault 内で扱うユーザやマシンの ID 商用版では費用としてカウント Entity Alias 同じユーザやマシンが複数の認証方法でログインしても 1
つの Entity として認識するための機能 Group 複数の Entity をまとめて管理 グループに設定したポリシーは全メンバーに継承 Internal Group と External Group の 2 種類 ポリシーと Entity/Group の 組み合わせを理解するのが 大変でした…
HashiCorp Vault の土台 Seal/Unseal HA クラスタ/レプリケーション 起動直後の Vault は使えない状態 (Seal)
複数の Unseal 鍵を使って開封 (Unseal) Unseal 鍵をどう管理するか考慮が必要 5個の鍵のうち3つを使って開封 Seal 状態では Vault はストレージ のデータを復号できない HA クラスタ:同一クラスタ内でのノード冗長化 レプリケーション:クラスタ間でのデータ同期 Region A Region B DR レプリ ケーション パフォーマンス レプリケーション HA クラスタ Active Standby Standby Standby Standby
HashiCorp Vault の種類 Vault Community 無料で使えるコミュニティ版 Vault Enterprise 商用版 Enterprise
限定の機能を使える HCP Vault Dedicated HashiCorp Cloud Platform で提供されるマネージドサービス Enterprise 相当 Vault の足回りを管理しなくて いいので運用が楽! オススメです
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
HashiCorp Vault 最新動向
Vault MCP Server 自然言語で Vault の操作が可能 マウント管理 マウント一覧表示、マウント削除、KV エンジンのマ ウント作成
提供されているツール 証明書操作 PKI 証明書の読み書き・削除・一覧表示 静的シークレット操作 KV シークレットの読み書き・削除・一覧表示
Private DNS forwarding HCP Vault Dedicated から内部 DNS を参照可能 従来の課題
Private DNS forwarding を利用 HCP Vault Dedicated から内部 DNS を参照できず、 クラウドリソースを名前解決できない •データベースに動的シークレットが使えない •VSO で Kubernetes 認証が使えない
VSO CSI シークレットを Kubernetes クラスタに保存せず Pod へ直接マウント •シークレットが etcd に保存されないのでよりセキュアに
•Vault Enterprise 限定の機能 従来のシークレット提供方法 VSO CSI を使ったシークレット提供方法
なくなったもの • シークレット管理に特化したマネージドサービス • 2025年8月27日に従量課金でのサービス提供終了 HCP Vault Secrets
学習ロードマップ
HashiCorp Vault の学習ロードマップ Level 1 Vault の基本概念の把握 Vault へのログイン 静的シークレットの設定
Level 2 Auth Methods、Policy、ID 動的シークレットの設定 Seal/Unseal Level 3 HA、レプリケーション構成 バックアップ、リストア Vault Agent、VSO 学習コンテンツ HashiCorp 公式チュートリアル、認定資格、Udemy 講座、コミュニティ 開発者にも Level 1 まで やってもらうとよいかも (プラットフォーム目線)
Vault 環境を用意する まずは Vault をインストール • Vault はサーバーもクライアント (CLI) も同じバイナリで動く
• 手を動かして学習するためにも Vault コマンドを実行できるようにしましょう ◦ https://developer.hashicorp.com/vault/install
HashiCorp 公式チュートリアル 何をやるか困ったらとりあえず HashiCorp 公式チュートリアル • Vault を使う理由や各機能の使い方を学べる • サイトにログインすれば各コースの進捗状況を確認できて、ブックマーク機能も使える
• Vault の機能は「公式ドキュメントで調べる」→「チュートリアル」でやると効率的
認定資格 認定資格でスキルレベルを確認 項目 Vault Assosiate Vault Operations Professional レベル 基礎
上級 試験内容 基本的な概念 実運用を想定した Vault の機能全般 試験形式 多肢選択式 ハンズオンラボ・多肢選択式 試験時間 60 分 3 時間 • Professional 試験は Vault Enterprise 限定機能も出題、Vaul Enterprise の 検証ライセンスをリクエスト可能
Udemy のオススメ Vault 講座 HashiCorp Certified: Vault Operations Professional 体系的に
HashiCorp Vault について学習 • Professional 試験の出題範囲をカバー • KodeKloud のハンズオン環境を利用可能 • この講座を受けとけば Vault はなんとかなる
HashiCorp Vault ユーザ会 様々な Vault の知見をインプット & アウトプット • 最近発足した
HashiCorp Vault コミュニティ • Vault ユーザと繋がることで学ぶだけでなくモチベーションもアップ! • 第 1 回の様子はこちら https://zenn.dev/aeonpeople/articles/morihaya-20250907-hcpvault-users-report
HashiCorp Ambassador HashiCorp プロダクトの知識を共有して貢献するコミュニティ • Ambassador 特典 ◦ HashiCorp Cloud
Platform の $500 クレジット ◦ ロゴ入り SWAG(今年は SONY のヘッドセットでした!) • HashiConf の Ambassador 限定ディスカッションタイム ◦ 2026 年はアトランタ! ※来年以降も同じかは分かりません
まとめ
HashiCorp Vault をはじめよう HashiCorp Vault の全体像 HashiCorp Vault のこと、なんとなくでも分かりましたか? HashiCorp
Vault の最新動向 興味を惹かれるアップデートはありましたか? 学習ロードマップ HashiCorp Vault を学んでいけそうですか?
Thanks!! contact me at @nnstt1
nnstt1
shift_evolve
.jpeg){kind=avatar}
enpipi
k1tikurisu
lycorptech_jp
kokihoshihara
yoshiori
thomasvitale
shoe116
pauli
edeandrea
iselegant
oracle4engineer
danielanewman
jcasabona
mongodb
jakevdp
trallard
sstephenson
mclloyd
honnibal
aki_iinuma
orderedlist
erikaheidi
