HashiCorpがHCP BoundaryをGAに、ゼロトラストの原則に基づくリモートアクセス管理を実現：マネージドサービスとして提供

HashiCorpが、クラウド型のリモートアクセス管理サービス「HCP Boundary」の一般提供を開始した。HCP Vault」「HCP Consul」と組み合わせて、「ゼロトラスト」のアーキテクチャ／原則に則ったリモートアクセス制御ができるという。

[三木泉，＠IT]

　HashiCorpは2022年10月5日（米国時間）、これまでβ版だったクラウド型のリモートアクセス管理サービス「HCP Boundary」の一般提供を開始した。HashiCorpのマネージドサービス「HashiCorp Cloud Platform（HCP）」上で既に提供されている「HCP Vault」「HCP Consul」と組み合わせて、「ゼロトラスト」のアーキテクチャ／原則に則ったリモートアクセス制御ができるという。

　HCP Boundaryでは、Okta、Azure Active Directoryなど一般的なID管理サービスと連携し、特定のホストやサービスに対する認証・認可をピンポイントで行う。VPNのように、ターゲット空間上のホストやサービスへのアクセスを無差別に許すようなことはない。シークレット管理の「HashiCorp Vault」、サービスメッシュの「HashiCorp Consul」と組み合わせることで、きめ細かなアクセス制御ができる。Vaultとの統合で、「ジャストインタイムでの資格情報の発行、重要なシステムへの一時的なアクセスが可能になる」としている。

　Boundaryでは、リモートアクセス端末でエージェントを動かし、SSHポート転送のような仕組みで通信を行う。ID管理サービスの認証を受け、「コントローラー」で管理された認証・認可ポリシーを、ターゲットクラウド上の「ワーカーノード」によって適用するアーキテクチャとなっている。

　ユーザー／端末への資格情報の発行や配布は不要になる。資格情報を固定的なものとして端末に持つことがなく、認証情報の流出も避けられる。また、IPアドレスに基づくアクセス制御をしないため、動的に変化するアプリケーションに対応できる。ワーカーノードを複数クラウドに配置すれば、クラウドをまたがったポリシーの一元管理ができるようになる。

　HCPはHashiCorp製品のマネージドサービス。HashiCorpは2022年10月末あるいは11月初めに、AWS（Amazon Web Services）の東京・大阪リージョンで提供開始すると発表している。日本ではVaultとConsulから始めるとしていたが、Boundaryが加われば、今回のゼロトラストアクセスソリューションを構成する要素が出そろうことになる。