HashiCorpは米国時間10月11日、年次カンファレンス「HashiConf 2023」をサンフランシスコで開催した。基調講演には共同創業者で最高技術責任者(CTO)を務めるArmon Dadgar氏が登壇し、同社製品のアップデートを多数紹介した。
同カンファレンスは今回、HashiCorpが本社を構えるサンフランシスコで数年ぶりに開催され、対面で1300人以上、オンラインで1万1000人以上が参加しているという。
Armon Dadgar氏
同社は製品を毎年追加しているが、少し立ち止まって考えた時、解決しようとしてきた課題はいつも同じだとDadgar氏。「アプリケーションチームが複数のクラウド環境でアプリケーションを構築・提供できるようにするにはどうすればよいか。同時に、基盤となる共有サービスをサポートするプラットフォームチームとセキュリティチームの役割を認識できるようにするにはどうすればよいか。これらを真剣に検討してきた」(同氏)。
HashiCorpが注力しているのは、「インフラ」と「セキュリティ」という2つの領域に分けることができ、それぞれにある課題は、「ワークフローと自動化」と「ライフサイクル管理」として捉えることができるとDadgar氏は語る。
とはいえ、インフラとセキュリティというそれぞれの領域でさまざま作業が必要となるため、同社の製品ポートフォリオは拡大しており、今回も多くのアップデートが用意されているとDadgar氏はアピールした。
セキュリティ製品である「Vault」「Consul」「Boundary」のうち、Vaultでは、「HCP Vault Secrets」が一般提供された。HCP Vault Secretsは、2023年に入ってパブリックベータ版の提供が開始されたが、100万を超えるシークレットアクセスがあり、何百もの組織がサインアップし、数千ものアプリケーションが接続され、素晴らしいフィードバックが得られているという。
シークレット同期(Secrets Sync)は、定義されたシークレットを「AWS Secrets Manager」「Azure Key Vault」「GCP Secret Manager」「GitHub Actions」といった複数の外部システムと同期させることができる。「HCP Cloud Platform(HCP)Vault」だけでなく、「Vault Enterprise 1.15」のベータ機能としても利用可能となった。
Vaultを使い始めた場合、アプリケーションが消費するシークレットをVaultに入れるだけというユースケースになりがちだとDadgar氏。最も一般的なシークレットの1つは暗号化キーで、これらの暗号化キーがVaultから離れた瞬間、アプリケーションがそれを正しく扱っていることを信頼しなければならないという難しさがあるという。そのため、HashiCorpでは、Vaultをキーマネージャーとして使用し、キーがVaultから離れないようにすることに注目していると同氏は続ける。
これは、シークレットだけでなく、さまざまなシステム間でやりとりされるデータをどのように保護するかという「高度なデータ保護」と同社が呼ぶ取り組みの一つだという。あるアプリケーションがクレジットカード番号や社会保障番号といった個人情報を取得した場合、Vaultに暗号化を要求できる。重要なのは暗号化をVaultにオフロードしていることで、Vaultで実際の暗号化は実行される。「アプリケーションは暗号化キーを見ることはないし、暗号化が正しいかを確認することもない」(Dadgar氏)
その上で、データのトークン化も可能。下流のシステムがクレジットカード番号などを必要とする場合、暗号化された値を別のフォーマットで渡すのではなく、トークン化して別の値を返すことで、フォーマットを保持できるという。また、Vaultを他のソフトウェアの外部キーマネージャーとして使い、異なるデータベースやメッセージキューシステムなどを接続できる。基盤となる暗号化を行うことができるという。「高度なデータ保護」としてのこれら機能は、HCP Vaultの一部として利用できるようになった。
