Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2025 年版 HashiCorp Vault 入門 / Introduction to Ha...
Search
ののし
November 13, 2025
Technology
1
75
2025 年版 HashiCorp Vault 入門 / Introduction to HashiCorp Vault - 2025 Edition
HashiTalks: Japan 2025
ののし
November 13, 2025
Tweet
Share
More Decks by ののし
See All by ののし
シークレット管理だけじゃない!HashiCorp Vault でデータ暗号化をしよう / Beyond Secret Management! Let's Encrypt Data with HashiCorp Vault
nnstt1
3
390
Azure Developer CLI と Azure Deployment Environment / Azure Developer CLI and Azure Deployment Environment
nnstt1
1
530
Terraform にコントリビュートしていたら Azure のコストをやらかした話 / How I Messed Up Azure Costs While Contributing to Terraform
nnstt1
1
790
進化するクラウド管理 -Azure と Terraform の最新トレンド- / Evolving Cloud Management - Latest Trends in Azure and Terraform
nnstt1
0
66
今から、 今だからこそ始める Terraform で Azure 管理 / Managing Azure with Terraform: The Perfect Time to Start
nnstt1
0
450
HCP Vault Secrets でシークレット管理を始めよう / Getting Started with Secret Management Using HCP Vault Secrets
nnstt1
0
240
HashiCorp Ambassador が予想!Red Hat × HashiCorp の未来 / The Future of Red Hat and HashiCorp
nnstt1
1
220
Terraform を使った Front Door の小ネタ / Terraform for Front Door
nnstt1
0
210
つまずきから学ぶ Backstage の Golden Path 構築
nnstt1
2
1.5k
Other Decks in Technology
See All in Technology
Knowledge Work の AI Backend
kworkdev
PRO
0
340
MySQLのSpatial(GIS)機能をもっと充実させたい ~ MyNA望年会2025LT
sakaik
0
190
ルネサンス開発者を育てる 1on1支援AIエージェント
yusukeshimizu
0
130
Introduce marp-ai-slide-generator
itarutomy
0
160
スクラムマスターが スクラムチームに入って取り組む5つのこと - スクラムガイドには書いてないけど入った当初から取り組んでおきたい大切なこと -
scrummasudar
0
400
Next.js 16の新機能 Cache Components について
sutetotanuki
0
210
[PR] はじめてのデジタルアイデンティティという本を書きました
ritou
0
670
Authlete で実装する MCP OAuth 認可サーバー #CIMD の実装を添えて
watahani
0
310
Cloud WAN MCP Serverから考える新しいネットワーク運用 / 20251228 Masaki Okuda
shift_evolve
PRO
0
130
Strands AgentsのEvaluatorをLangfuseにぶち込んでみた
andoooooo_bb
0
110
BidiAgent と Nova 2 Sonic から考える音声 AI について
yama3133
2
140
Claude Skillsの テスト業務での活用事例
moritamasami
1
130
Featured
See All Featured
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
61
51k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
37
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3.3k
The browser strikes back
jonoalderson
0
280
30 Presentation Tips
portentint
PRO
1
180
Public Speaking Without Barfing On Your Shoes - THAT 2023
reverentgeek
1
280
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
0
110
Testing 201, or: Great Expectations
jmmastey
46
7.8k
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
37
ラッコキーワード サービス紹介資料
rakko
0
1.9M
GraphQLの誤解/rethinking-graphql
sonatard
74
11k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
350
Transcript
None
Hello!! 株式会社エーピーコミュニケーションズ 四国在住3児の父 HashiCorp Ambassador 2024-2025 Microsoft Top Partner Engineer
Award 2024-2025 <Azure> 埜下太一 / ののし (@nnstt1)
HashiCorp Vault の全体像 まずは広く浅く HashiCorp Vault のことを知りましょう HashiCorp Vault の最新動向
「こんなことできるようになったんだ!」を紹介して HashiCorp Vault に興味をもってもらいます 学習ロードマップ HashiCorp Vault の学習の進め方やコンテンツを紹介します HashiCorp Vault 入門
HashiCorp Vault の全体像
なぜシークレット管理が必要なのか 適切なシークレット管理がセキュリティの要 従来の課題 シークレット管理の価値 ハードコード問題 管理の複雑化 アクセス制御の欠如 ローテーション困難 コードやファイルに認証情報を直接記述し、Git リポジトリなどを経由
して漏洩するリスク 複数環境で異なる認証情報を手動管理 更新作業が煩雑でミスが発生 いつ誰がアクセスしたか追跡できない 権限管理が困難で内部脅威に脆弱 認証情報の定期変更が手動作業、ローテーションできているか把握でき ない 中央集権管理 有効期間の短いシークレット 詳細な監査ログ 自動ローテーション すべての認証情報を暗号化されたストレージで一元管理 必要なときに自動生成、使用後は自動失効して漏洩リスクを最小化 すべてのシークレットへのアクセスを記録 定期的な認証情報の自動更新
シークレットの特性とリスク Unmanaged secrets Vaulted Rotated Dynamic Short-lived + unique secret
Medium-lived + shared secret High risk Low risk Long-lived + shared secret
Unmanaged secrets Vaulted Rotated Dynamic High risk Low risk シークレットの特性とリスク
Short-lived + unique secret Medium-lived + shared secret Long-lived + shared secret HashiCorp Vault で提供
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
静的シークレット •Key-Value 形式でシンプル •既存の認証情報を移行しやすい •バージョン管理可能 •マニュアルのローテーションが必要 Vault で始めるシークレット管理の第一歩
動的シークレット •リクエストごとに新しい認証情報を生成 •有効期間 (TTL) で自動失効 •各種データベース、AWS、Azure などに対応 ◦ PostgreSQL、MySQL、Oracle ◦
AWS IAM、Azure サービスプリンシパル Vault で認証情報を自動生成・自動失効
その他のシークレットエンジン Transit - データ暗号化 PKI - 証明書の動的発行 SSH - SSH
認証情報の動的生成
認証・認可 Auth Method 人やマシンそれぞれに対応した認証 外部認証に委任可能 Vault はトークン認証がベース、他の認証をしても トークンが発行される Policy ユーザやマシンがどの認証情報を利用できるか定義
HCL または JSON で記述
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
Entity Entity Alias Group Vault Agent Vault Secrets Operator HA クラスタ レプリケーション Namespace
ID Entity Vault 内で扱うユーザやマシンの ID 商用版では費用としてカウント Entity Alias 同じユーザやマシンが複数の認証方法でログインしても 1
つの Entity として認識するための機能 Group 複数の Entity をまとめて管理 グループに設定したポリシーは全メンバーに継承 Internal Group と External Group の 2 種類 ポリシーと Entity/Group の 組み合わせを理解するのが 大変でした…
HashiCorp Vault の土台 Seal/Unseal HA クラスタ/レプリケーション 起動直後の Vault は使えない状態 (Seal)
複数の Unseal 鍵を使って開封 (Unseal) Unseal 鍵をどう管理するか考慮が必要 5個の鍵のうち3つを使って開封 Seal 状態では Vault はストレージ のデータを復号できない HA クラスタ:同一クラスタ内でのノード冗長化 レプリケーション:クラスタ間でのデータ同期 Region A Region B DR レプリ ケーション パフォーマンス レプリケーション HA クラスタ Active Standby Standby Standby Standby
HashiCorp Vault の種類 Vault Community 無料で使えるコミュニティ版 Vault Enterprise 商用版 Enterprise
限定の機能を使える HCP Vault Dedicated HashiCorp Cloud Platform で提供されるマネージドサービス Enterprise 相当 Vault の足回りを管理しなくて いいので運用が楽! オススメです
HashiCorp Vault の仕組み クライアント (人・マシン) 認証:Auth Method 認可:Policy 認証情報:Secret Engine
HashiCorp Vault 最新動向
Vault MCP Server 自然言語で Vault の操作が可能 マウント管理 マウント一覧表示、マウント削除、KV エンジンのマ ウント作成
提供されているツール 証明書操作 PKI 証明書の読み書き・削除・一覧表示 静的シークレット操作 KV シークレットの読み書き・削除・一覧表示
Private DNS forwarding HCP Vault Dedicated から内部 DNS を参照可能 従来の課題
Private DNS forwarding を利用 HCP Vault Dedicated から内部 DNS を参照できず、 クラウドリソースを名前解決できない •データベースに動的シークレットが使えない •VSO で Kubernetes 認証が使えない
VSO CSI シークレットを Kubernetes クラスタに保存せず Pod へ直接マウント •シークレットが etcd に保存されないのでよりセキュアに
•Vault Enterprise 限定の機能 従来のシークレット提供方法 VSO CSI を使ったシークレット提供方法
なくなったもの • シークレット管理に特化したマネージドサービス • 2025年8月27日に従量課金でのサービス提供終了 HCP Vault Secrets
学習ロードマップ
HashiCorp Vault の学習ロードマップ Level 1 Vault の基本概念の把握 Vault へのログイン 静的シークレットの設定
Level 2 Auth Methods、Policy、ID 動的シークレットの設定 Seal/Unseal Level 3 HA、レプリケーション構成 バックアップ、リストア Vault Agent、VSO 学習コンテンツ HashiCorp 公式チュートリアル、認定資格、Udemy 講座、コミュニティ 開発者にも Level 1 まで やってもらうとよいかも (プラットフォーム目線)
Vault 環境を用意する まずは Vault をインストール • Vault はサーバーもクライアント (CLI) も同じバイナリで動く
• 手を動かして学習するためにも Vault コマンドを実行できるようにしましょう ◦ https://developer.hashicorp.com/vault/install
HashiCorp 公式チュートリアル 何をやるか困ったらとりあえず HashiCorp 公式チュートリアル • Vault を使う理由や各機能の使い方を学べる • サイトにログインすれば各コースの進捗状況を確認できて、ブックマーク機能も使える
• Vault の機能は「公式ドキュメントで調べる」→「チュートリアル」でやると効率的
認定資格 認定資格でスキルレベルを確認 項目 Vault Assosiate Vault Operations Professional レベル 基礎
上級 試験内容 基本的な概念 実運用を想定した Vault の機能全般 試験形式 多肢選択式 ハンズオンラボ・多肢選択式 試験時間 60 分 3 時間 • Professional 試験は Vault Enterprise 限定機能も出題、Vaul Enterprise の 検証ライセンスをリクエスト可能
Udemy のオススメ Vault 講座 HashiCorp Certified: Vault Operations Professional 体系的に
HashiCorp Vault について学習 • Professional 試験の出題範囲をカバー • KodeKloud のハンズオン環境を利用可能 • この講座を受けとけば Vault はなんとかなる
HashiCorp Vault ユーザ会 様々な Vault の知見をインプット & アウトプット • 最近発足した
HashiCorp Vault コミュニティ • Vault ユーザと繋がることで学ぶだけでなくモチベーションもアップ! • 第 1 回の様子はこちら https://zenn.dev/aeonpeople/articles/morihaya-20250907-hcpvault-users-report
HashiCorp Ambassador HashiCorp プロダクトの知識を共有して貢献するコミュニティ • Ambassador 特典 ◦ HashiCorp Cloud
Platform の $500 クレジット ◦ ロゴ入り SWAG(今年は SONY のヘッドセットでした!) • HashiConf の Ambassador 限定ディスカッションタイム ◦ 2026 年はアトランタ! ※来年以降も同じかは分かりません
まとめ
HashiCorp Vault をはじめよう HashiCorp Vault の全体像 HashiCorp Vault のこと、なんとなくでも分かりましたか? HashiCorp
Vault の最新動向 興味を惹かれるアップデートはありましたか? 学習ロードマップ HashiCorp Vault を学んでいけそうですか?
Thanks!! contact me at @nnstt1
nnstt1
kworkdev
sakaik
yusukeshimizu
itarutomy
scrummasudar
sutetotanuki
ritou
watahani
shift_evolve
andoooooo_bb
yama3133
moritamasami
nwiizo
livdayseo
eileencodes
jonoalderson
portentint
reverentgeek
baasie
jmmastey
marketingsoph
rakko
sonatard
marktimemedia
