aslead Vaultでできることを
事例を交えてご紹介

aslead Vaultとは

aslead Vaultとは、ID・パスワードなどのシークレット情報の一元管理を可能にするソリューションです。有効期限付きのアクセスキーを必要に応じて発行する機能もあります。 HashiCorp社の製品である「HashiCorp Vault」と、NRIのID管理(IDaaS)ソリューション「OpenStandia KAID」を利用してソリューション化しています。 aslead Vaultを利用することで、AWS, Azure, GCPなどのパブリッククラウドとの連携や、GitLabなどと組み合わせたセキュアなCI/CD環境の構築、セキュアなSSH基盤環境の構築などができます。 本コラムではaslead Vaultでできることを簡単な事例を添えてご紹介します。
※「OpenStandia KAID」については、NRI OpenStandia HPをご覧ください。

事例1：パブリッククラウドのアクセスキーを発行

aslead Vaultを利用すると、ユーザーは有効期限付きのアクセスキーを発行することができます。 本アクセスキーを利用することで、通常のアクセスキーと同様にパブリッククラウド上のリソース操作を行うことができます。 aslead Vaultを利用することで、アクセスキーを必要なときに都度発行する運用に変更することができ、ユーザーごとのアクセスキー設定をしておく必要がなくなります。

有効期限付きのアクセスキー発行イメージ

こちらは、有効期限付きのアクセスキーを発行するときのイメージです。3600秒(1時間)のみ利用できるアクセスキーを発行しており、 本アクセスキーは特定のパブリッククラウドアカウントにのみ利用できます。

アクセスキー漏洩により、パブリッククラウドアカウントへの侵入を受けるケースを耳にします。 アカウントへの侵入により、多額な利用料が発生したり機密情報の漏えいが発生することになりますが、 本機能を利用することで、アクセスキー漏洩リスクを減らすことができ、アクセスキーが必要な作業もセキュアに行うことで安全に管理することができます。

aslead Vaultの活用事例1：複数のパブリッククラウドと連携する

こちらの図は、複数のパブリックアカウントと連携し、権限(ロール)に応じてアクセス制御を行っている事例です。 aslead Vaultで連携できるパブリッククラウドは様々で、AWS, GCP, Azureなど主要なパブリックアカウントと連携可能です。 OpenStandia KAIDなどのID管理ソリューションと連携し、ユーザーの権限(ロール)に従いアクセスキーを発行できるアカウントを制御しています。 アクセスキーを発行できる対象や、アクセスキーで操作できる範囲については、業務要件に応じて柔軟に設定することが可能です。

事例2：パブリッククラウドのアクセス統制

aslead VaultおよびOpenStandia KAIDを利用することで、組織の内部統制の強化を行うこともできます。 OpenStandia KAIDでは、申請・承認フローを利用し、承認された対象および時刻で権限(ロール)を付与する機能があります。 この機能でaslead Vaultに紐付けたロールを利用することで、特定のアカウントに特定時間のみアクセス可能にするといった「アクセス統制」を実現できます。

aslead Vaultの活用事例2：アクセス統制

この図では、申請・承認フローを利用し、パブリッククラウド向けのアクセス統制をイメージしています。

本機能を利用することで、承認者によって許可されたアカウントに、許可された時間帯のみ開発者がアクセス可能になります。 開発者によるアカウント誤りなどの作業ミスを減らすことができ、情報漏えい対策にも繋がります。

今回は、aslead Vaultでできることとして簡単な事例を2つお話しました。 aslead Vaultは本機能以外にも様々な機能を持っており、aslead DevOpsなど他製品との連携も可能になっています。 ID・パスワードなどのシークレット情報の管理が大変などのお悩みをお持ちでしたら、ぜひ、NRIにご相談ください。
※aslead DevOpsについては、こちらをご覧ください。