Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2025 年版 HashiCorp Vault 入門 / Introduction to Ha...
Search
ののし
November 13, 2025
Technology
130
1
Share
2025 年版 HashiCorp Vault 入門 / Introduction to HashiCorp Vault - 2025 Edition
HashiTalks: Japan 2025
ののし
November 13, 2025
More Decks by ののし
See All by ののし
シークレット管理だけじゃない!HashiCorp Vault でデータ暗号化をしよう / Beyond Secret Management! Let's Encrypt Data with HashiCorp Vault
nnstt1
3
570
Azure Developer CLI と Azure Deployment Environment / Azure Developer CLI and Azure Deployment Environment
nnstt1
1
600
Terraform にコントリビュートしていたら Azure のコストをやらかした話 / How I Messed Up Azure Costs While Contributing to Terraform
nnstt1
1
870
進化するクラウド管理 -Azure と Terraform の最新トレンド- / Evolving Cloud Management - Latest Trends in Azure and Terraform
nnstt1
0
92
今から、 今だからこそ始める Terraform で Azure 管理 / Managing Azure with Terraform: The Perfect Time to Start
nnstt1
0
520
HCP Vault Secrets でシークレット管理を始めよう / Getting Started with Secret Management Using HCP Vault Secrets
nnstt1
0
280
HashiCorp Ambassador が予想!Red Hat × HashiCorp の未来 / The Future of Red Hat and HashiCorp
nnstt1
1
240
Terraform を使った Front Door の小ネタ / Terraform for Front Door
nnstt1
0
240
つまずきから学ぶ Backstage の Golden Path 構築
nnstt1
2
1.6k
Other Decks in Technology
See All in Technology
Databricks 月刊サービスアップデートまとめ 2026年04月号
tyosi1212
0
110
AIエージェントの支払い基盤 AgentCore Payments概要
kmiya84377
2
160
ハーネスエンジニアリング入門
hatyibei
0
120
変化の激しい時代をゴキゲンに生き抜くために 〜ストレスマネジメントのススメ〜
kakehashi
PRO
5
1.3k
自動テストだけで リリース判断できるチームへ - 鍵はテストの量ではなくリリース判断基準の再設計にあった / Redesigning Release Criteria for Lightweight Releases
ewa
7
3.6k
そのSLO 99.9%、本当に必要ですか? 〜優先度付きSLOによる責任共有の設計思想〜 / Is that 99.9% SLO really necessary? Design philosophy of shared responsibility through prioritized SLOs
vtryo
0
550
Swift Sequence の便利 API 再発見
treastrain
1
250
鹿野さんに聞く!CSSの最新トレンド Ver.2026
tonkotsuboy_com
6
2.8k
AIが盛んな時代に 技術記事を書き始めて起きた私の中での小さな変化
peintangos
0
370
エージェント時代の UIとAPI、CLI戦略
coincheck_recruit
0
170
試作とデモンストレーション / Prototyping and Demonstrations
ks91
PRO
0
200
会社説明資料|株式会社ギークプラス ソフトウェア事業部
geekplus_tech
0
220
Featured
See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.2k
Into the Great Unknown - MozCon
thekraken
41
2.5k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
25k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
180
The SEO identity crisis: Don't let AI make you average
varn
0
460
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
160
Docker and Python
trallard
47
3.8k
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
270
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
370
Art, The Web, and Tiny UX
lynnandtonic
304
21k
Transcript
None
Hello!! 株式会社エーピーコミュニケーションズ 四国在住3児の父 HashiCorp Ambassador 2024-2025 Microsoft Top Partner Engineer
Award 2024-2025 <Azure> 埜下太一 / ののし (@nnstt1)
HashiCorp Vault の全体像 まずは広く浅く HashiCorp Vault のことを知りましょう HashiCorp Vault の最新動向
「こんなことできるようになったんだ!」を紹介して HashiCorp Vault に興味をもってもらいます 学習ロードマップ HashiCorp Vault の学習の進め方やコンテンツを紹介します HashiCorp Vault 入門
HashiCorp Vault の全体像
なぜシークレット管理が必要なのか 適切なシークレット管理がセキュリティの要 従来の課題 シークレット管理の価値 ハードコード問題 管理の複雑化 アクセス制御の欠如 ローテーション困難 コードやファイルに認証情報を直接記述し、Git リポジトリなどを経由
して漏洩するリスク 複数環境で異なる認証情報を手動管理 更新作業が煩雑でミスが発生 いつ誰がアクセスしたか追跡できない 権限管理が困難で内部脅威に脆弱 認証情報の定期変更が手動作業、ローテーションできているか把握でき ない 中央集権管理 有効期間の短いシークレット 詳細な監査ログ 自動ローテーション すべての認証情報を暗号化されたストレージで一元管理 必要なときに自動生成、使用後は自動失効して漏洩リスクを最小化 すべてのシークレットへのアクセスを記録 定期的な認証情報の自動更新
シークレットの特性とリスク Unmanaged secrets Vaulted Rotated Dynamic Short-lived + unique secret
Medium-lived + shared secret High risk Low risk Long-lived + shared secret
Unmanaged secrets Vaulted Rotated Dynamic High risk Low risk シークレットの特性とリスク
Short-lived + unique secret Medium-lived + shared secret Long-lived + shared secret HashiCorp Vault で提供
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
静的シークレット •Key-Value 形式でシンプル •既存の認証情報を移行しやすい •バージョン管理可能 •マニュアルのローテーションが必要 Vault で始めるシークレット管理の第一歩
動的シークレット •リクエストごとに新しい認証情報を生成 •有効期間 (TTL) で自動失効 •各種データベース、AWS、Azure などに対応 ◦ PostgreSQL、MySQL、Oracle ◦
AWS IAM、Azure サービスプリンシパル Vault で認証情報を自動生成・自動失効
その他のシークレットエンジン Transit - データ暗号化 PKI - 証明書の動的発行 SSH - SSH
認証情報の動的生成
認証・認可 Auth Method 人やマシンそれぞれに対応した認証 外部認証に委任可能 Vault はトークン認証がベース、他の認証をしても トークンが発行される Policy ユーザやマシンがどの認証情報を利用できるか定義
HCL または JSON で記述
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
Entity Entity Alias Group Vault Agent Vault Secrets Operator HA クラスタ レプリケーション Namespace
ID Entity Vault 内で扱うユーザやマシンの ID 商用版では費用としてカウント Entity Alias 同じユーザやマシンが複数の認証方法でログインしても 1
つの Entity として認識するための機能 Group 複数の Entity をまとめて管理 グループに設定したポリシーは全メンバーに継承 Internal Group と External Group の 2 種類 ポリシーと Entity/Group の 組み合わせを理解するのが 大変でした…
HashiCorp Vault の土台 Seal/Unseal HA クラスタ/レプリケーション 起動直後の Vault は使えない状態 (Seal)
複数の Unseal 鍵を使って開封 (Unseal) Unseal 鍵をどう管理するか考慮が必要 5個の鍵のうち3つを使って開封 Seal 状態では Vault はストレージ のデータを復号できない HA クラスタ:同一クラスタ内でのノード冗長化 レプリケーション:クラスタ間でのデータ同期 Region A Region B DR レプリ ケーション パフォーマンス レプリケーション HA クラスタ Active Standby Standby Standby Standby
HashiCorp Vault の種類 Vault Community 無料で使えるコミュニティ版 Vault Enterprise 商用版 Enterprise
限定の機能を使える HCP Vault Dedicated HashiCorp Cloud Platform で提供されるマネージドサービス Enterprise 相当 Vault の足回りを管理しなくて いいので運用が楽! オススメです
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
HashiCorp Vault 最新動向
Vault MCP Server 自然言語で Vault の操作が可能 マウント管理 マウント一覧表示、マウント削除、KV エンジンのマ ウント作成
提供されているツール 証明書操作 PKI 証明書の読み書き・削除・一覧表示 静的シークレット操作 KV シークレットの読み書き・削除・一覧表示
Private DNS forwarding HCP Vault Dedicated から内部 DNS を参照可能 従来の課題
Private DNS forwarding を利用 HCP Vault Dedicated から内部 DNS を参照できず、 クラウドリソースを名前解決できない •データベースに動的シークレットが使えない •VSO で Kubernetes 認証が使えない
VSO CSI シークレットを Kubernetes クラスタに保存せず Pod へ直接マウント •シークレットが etcd に保存されないのでよりセキュアに
•Vault Enterprise 限定の機能 従来のシークレット提供方法 VSO CSI を使ったシークレット提供方法
なくなったもの • シークレット管理に特化したマネージドサービス • 2025年8月27日に従量課金でのサービス提供終了 HCP Vault Secrets
学習ロードマップ
HashiCorp Vault の学習ロードマップ Level 1 Vault の基本概念の把握 Vault へのログイン 静的シークレットの設定
Level 2 Auth Methods、Policy、ID 動的シークレットの設定 Seal/Unseal Level 3 HA、レプリケーション構成 バックアップ、リストア Vault Agent、VSO 学習コンテンツ HashiCorp 公式チュートリアル、認定資格、Udemy 講座、コミュニティ 開発者にも Level 1 まで やってもらうとよいかも (プラットフォーム目線)
Vault 環境を用意する まずは Vault をインストール • Vault はサーバーもクライアント (CLI) も同じバイナリで動く
• 手を動かして学習するためにも Vault コマンドを実行できるようにしましょう ◦ https://developer.hashicorp.com/vault/install
HashiCorp 公式チュートリアル 何をやるか困ったらとりあえず HashiCorp 公式チュートリアル • Vault を使う理由や各機能の使い方を学べる • サイトにログインすれば各コースの進捗状況を確認できて、ブックマーク機能も使える
• Vault の機能は「公式ドキュメントで調べる」→「チュートリアル」でやると効率的
認定資格 認定資格でスキルレベルを確認 項目 Vault Assosiate Vault Operations Professional レベル 基礎
上級 試験内容 基本的な概念 実運用を想定した Vault の機能全般 試験形式 多肢選択式 ハンズオンラボ・多肢選択式 試験時間 60 分 3 時間 • Professional 試験は Vault Enterprise 限定機能も出題、Vaul Enterprise の 検証ライセンスをリクエスト可能
Udemy のオススメ Vault 講座 HashiCorp Certified: Vault Operations Professional 体系的に
HashiCorp Vault について学習 • Professional 試験の出題範囲をカバー • KodeKloud のハンズオン環境を利用可能 • この講座を受けとけば Vault はなんとかなる
HashiCorp Vault ユーザ会 様々な Vault の知見をインプット & アウトプット • 最近発足した
HashiCorp Vault コミュニティ • Vault ユーザと繋がることで学ぶだけでなくモチベーションもアップ! • 第 1 回の様子はこちら https://zenn.dev/aeonpeople/articles/morihaya-20250907-hcpvault-users-report
HashiCorp Ambassador HashiCorp プロダクトの知識を共有して貢献するコミュニティ • Ambassador 特典 ◦ HashiCorp Cloud
Platform の $500 クレジット ◦ ロゴ入り SWAG(今年は SONY のヘッドセットでした!) • HashiConf の Ambassador 限定ディスカッションタイム ◦ 2026 年はアトランタ! ※来年以降も同じかは分かりません
まとめ
HashiCorp Vault をはじめよう HashiCorp Vault の全体像 HashiCorp Vault のこと、なんとなくでも分かりましたか? HashiCorp
Vault の最新動向 興味を惹かれるアップデートはありましたか? 学習ロードマップ HashiCorp Vault を学んでいけそうですか?
Thanks!! contact me at @nnstt1
nnstt1
tyosi1212
kmiya84377
hatyibei
kakehashi
ewa
vtryo
treastrain
tonkotsuboy_com
peintangos
coincheck_recruit
ks91
geekplus_tech
malarkey
charlesmeaden
thekraken
addyosmani
sarafernandez
varn
jeffersonlam
techseoconnect
trallard
tamaranovitovic
inesmontani
lynnandtonic
