HashiCorpは米国時間1月19日、「HCP Cloud Platform(HCP)Vault Radar」のプライベートベータ版を提供した。
HCP Vault Radarは、2023年10月の同社カンファレンス「HashiConf」でアルファ版提供が発表されたシークレットスキャン製品。管理されていない、または、漏えいしたシークレットを検出し、DevOpsチームやセキュリティチームが適切な方法で対処できるようにする。
シークレット、個人を特定できる情報(PII)やデータ、非包括的言語などをスキャンし、検出された漏えいデータをリスクレベルによって分類・ランク付けする。リスクは、シークレットが「最新版のコードやドキュメントで検出されたか」「特定されているか」「現在アクティブか」といった要素によって評価される。
コマンドラインインターフェース(CLI)からのシークレットスキャンをサポートし、HCPポータルにも統合されているため、検出された管理されていないシークレットの優先順位づけを支援するより良いユーザー体験を可能にするという。スキャン可能なデータソースとしては、「GitHub」「GitLab」「BitBucket」といったGitベースのバージョン管理システム、「AWS Parameter Store」「Amazon S3」「JIRA」や「Docker」イメージ、サーバーのファイルディレクトリー構造があり、「Terraform Cloud」と「Terraform Enterprise」も先ごろサポートされた。
HashiCorpのシークレット管理ソリューション「Vault」と統合されているため、Vaultにおいて、積極的に使われている漏えいシークレットの存在をサポートされるデータソースでスキャンできる。スキャンから得られる追加のメタデータを使い、「Vault Enterprise」と「Vault Community」内のシークレットを相互参照することで、検出したシークレットにリスク評価を与え、どれが早急な対応を必要するかの優先順位付けをする。
HCP Vault Radarの限定ベータ版では、ロールベースのアクセス制御(RBAC)と属性ベースのアクセス制御(ABAC)機能も含まれる。両者の主な違いはアクセスの許可方法で、HCP Vault RadarにおいてRBACは、ロールによってアクセスを許可する。一方、ABACは、より細かい制御が定義でき、ユーザーやオブジェクトの特性、アクションタイプなどによってアクセスを管理できる。RBACロールは、部署、セキュリティレベル、地理、職務といった共通の特性を持つ人のグループを一般的に指す。
HCP Vault RadarのRBACとABACは、反復可能な許可割り当てプロセスの作成、権限の監査と必要な変更の実行、ロールの追加と変更、許可割り当て時の人的エラー発生可能性の低減、規制や法令による要件への順守などを支援する。
