Vault 資格の難易度：Associate / Ops に受かる学習時間と求められる知識

Vault 資格は「概念理解＋CLI/設定の手順」が同時に問われます。丸暗記では得点が伸びにくい一方、実機での手を動かす時間がそのまま合格率に反映されます。

本稿は、公式ドキュメントの安定機能を前提に、学習時間の目安と到達基準を具体化。Associate と Ops の違いも実務観点で比較します。

試験の全体像と難易度の目安

Vault Associate は「Vaultの中核概念（認証・ポリシー・シークレットエンジン・リース・監査）を、用語ぶれなく説明でき、基本的なCLI操作ができるか」を測る試験です。選択式中心で、図やシナリオから正しい構成・コマンドを選ばせる設問が多め。難易度は中。TerraformやKubernetesの経験があるとキャッチアップが速い傾向です。

Vault Operations は運用者視点で、HA/ストレージ（Integrated Storage/Raft など）、初期化・Unseal、アップグレード、バックアップ、監査、セキュリティ境界の理解が問われます。手順の前後関係や切り戻し、影響範囲を正しく判断できるかが肝で、難易度は中〜やや高。

• 出題形式は選択式が中心。CLIフラグやパス表記の細部を区別させる問題が出やすい
• Associate: 概念7割＋基本操作3割。Ops: 構成・運用手順6割＋トラブル/影響評価4割
• バージョン依存の挙動は出題ガイド範囲で安定した部分が中心（例: KV v2 のパス構造、Transit の役割、Raft の基本）

学習時間のモデルプラン（目安）

初学者（Vault未経験）: Associateは20〜35時間、Opsは追加で20〜30時間。概念学習とハンズオンを交互に進めるのが効率的です。

実務で一部運用経験あり: Associateは12〜20時間、Opsは18〜30時間。既知領域を早めに圧縮し、弱点（ストレージ運用、監査ログ、ポリシーの境界）を集中的に。

プロダクション運用経験あり: Associateは8〜12時間、Opsは12〜20時間。試験仕様に合わせた「言い換え」やパス表記の確認、レアケース（レスポンスラッピング、再キー共有、Autopilot など）に時間を割くと安定します。

• 1セッション45〜60分を目安に、概念→手→振り返りの3ステップで回す
• 学習比率の推奨: 概念3割、手を動かす6割、メモ/整理1割
• 模試は早めに1回流し、終盤で2回目。誤答を設計図・コマンドに落として再現する

求められる知識マップ（安定概念を優先）

Associate向け必須: 認証方式（token, userpass, AppRole, Kubernetes など）の役割、ACLポリシー（HCL）の許可モデル、Secrets Engineの基本（KV v1/v2、Transit、Databaseの違い）、リースとTTL/Max TTL/Periodic、レスポンスラッピング、監査デバイスの目的。

Ops向け追加: 初期化とUnseal（Shamir/Auto-unsealの違い）、ストレージ/HA（Integrated Storage/Raft のクラスタ挙動とスナップショット）、アップグレードと互換性、バックアップ/復旧、監査ログのローテーション/保護、運用時の権限分離（root tokenの最小利用）。

• パス表記はKV v2で data/ と metadata/ が分かれる点を正しく把握
• ポリシーは最小権限・パスの正規化・list権限の必要性を伴って出題されやすい
• Dynamic Secrets（DB等）はリースの取り消しで即時失効する設計を理解しておく

Vaultの概念関係（簡略）

出題領域と実務タスクの対応表

試験ガイドのトピックは実務タスクに直結します。Associateは「安全に使い始める」ための知識、Opsは「安全に運用し続ける」ための知識が中心です。意識すべきは、タスクの入力（前提状態）と出力（到達状態）を明確にすること。これで選択肢の消去が速くなります。

• ポリシー関連は path と capabilities の整合性、list の付与漏れに注意
• KV v2 は create/update と metadata の挙動差を把握（バージョン削除と完全消去）
• Raft はスナップショット/restore、ノード喪失時のクォーラム、Autopilot の基本を押さえる

学習戦略とハンズオン課題セット

座学を短く、手を長く。最小構成のローカル環境（devは概念確認まで、本番想定はserver+Raft）を用意し、試験ブループリントの各項目を「コマンド列」と「期待される状態」に落として確認します。

運用系は「失敗させて戻す」を必ず体験。監査ログの有効化/ローテーション、Raftスナップショットの取得/復旧、ポリシーのdenyで発生する現象、リースの取り消しでの即時失効など。

• 最小ポリシー作成→AppRole作成→ログイン→KV v2 読み書き→Transitで暗号化/復号
• 監査デバイスを有効化→リクエスト発生→ログで誰が何をしたか追跡
• Raftのスナップショット→疑似障害→restore→整合性確認
• レスポンスラッピングでシークレットを安全に受け渡し→unwrapで利用

ハンズオン用の代表コマンド（抜粋）

# ログイン（例: トークンを環境変数で）
export VAULT_ADDR=http://127.0.0.1:8200
vault login $VAULT_TOKEN

# KV v2 を有効化し、シークレットを登録/取得
vault secrets enable -path=kv kv-v2
vault kv put kv/app api_key=abc123
vault kv get kv/app

# ポリシー作成（読み取り専用の例）
cat > readonly.hcl <<'EOF'
path "kv/data/app" {
  capabilities = ["read", "list"]
}
EOF
vault policy write app-read readonly.hcl

# AppRole を作成してトークンを発行
vault auth enable approle
vault write auth/approle/role/app-role token_policies=app-read
ROLE_ID=$(vault read -field=role_id auth/approle/role/app-role/role-id)
SECRET_ID=$(vault write -field=secret_id -f auth/approle/role/app-role/secret-id)
vault write auth/approle/login role_id="$ROLE_ID" secret_id="$SECRET_ID"

# リースの取り消し（例: DB動的クレデンシャルのlease_idが分かっている場合）
# vault lease revoke <lease_id>

模試の見方と直前対策

模試は点数よりも「どの用語・どのパス・どのコマンドが曖昧か」を洗い出す道具です。誤答は、ドキュメントの該当ページ→手元環境で再現→スクリーンショットやログを添えてメモ化、までやると定着します。

直前は、パス表記の型（kv/data, kv/metadata, transit/encrypt など）、vault operator 系のサブコマンド、ポリシーのcapabilities集合を1枚に要約。図とコマンドを往復できる状態に仕上げます。

• 選択肢の消去法: 影響範囲が広すぎる操作（engine disable など）は原則最後に回す
• TTL/Max TTL/Period の関係は数値具体例でテストしておく
• root tokenは作成直後の限定作業のみ。常用しない、を前提に選択肢を評価
• 設問の前提（OSS/Enterpriseの機能差、KV v1/v2、どの認証方式か）を見落とさない

問題で確認

よくある質問