Links

セキュリティの推奨設定

Keeperの管理者は、以下のセキュリティ設定を有効にすることを強くお勧めします。

共有セキュリティモデル

Keeper は、Keeper 管理者が設定した制約内で顧客データを保護するためのポリシーと制御を備えた暗号化プラットフォームです。 この共有セキュリティモデルでは、最小限の権限、緊急アクセス、および最高レベルのデータ保護を確保するために推奨ポリシーを実装する責任はお客様にあります。 このドキュメントでは、対象ユーザーに可能な限り最高のエクスペリエンスを確保しながら、保存されたデータを保護するのに役立つ重要な推奨事項とポリシーについて概要を説明します。

1. Keeper管理者を2人作成

Keeper管理者は、管理コンソールへのアクセスに使用する暗号化鍵を保持し、ユーザーのプロビジョニング、強制ポリシーの管理、日常のユーザー管理を実行します。
「Keeper管理者」ロールには、そのロールのユーザーが少なくとも2人必要です。一方のアカウントが失われたり、アクセスできなくなったりした場合に備えて、副管理者をこのロールに追加することを強くお勧めします。 Keeperの従業員は、ユーザーを管理者ロールに昇格させることも、管理者のマスターパスワードをリセットすることもできません。

2. SSOの外部で管理者が存在することを確認

Keeper SSO Connect Cloudは、SAML 2.0アイデンティティプロバイダを使用してユーザーをプロビジョニングおよび認証する機能をお客様に提供します。
Keeperは管理者がSSOでKeeper管理コンソールにログインする機能をサポートしていますが、少なくとも1つの管理者アカウントがマスターパスワードでKeeperにログイン可能にすることが重要です。これは、すべての管理者がSSOに依存している状況が発生してしまい、新しいデバイスを承認する管理者がいなくなってしまうと困るためです。または、SSOプロバイダが停止し、すべての人がロックアウトされる可能性もあるでしょう。SSOがダウンした場合に備えて、SSOログインなしの「緊急用管理者アカウント」を持つことを推奨します。 そして、このアカウントに強力なパスワード、2FA、オプションでIPホワイトリスト化などの多くの保護を追加することを提案します。
すべての管理者がSSOを使用している状況で、すべての管理者が新しいデバイスを使用している(承認できない)場合、Keeperのサポートチームは回復支援をすることができません。設計上、Keeperはゼロ知識のプラットフォームであり、私たちのサポートチームはSSO対応デバイスを承認したり、ユーザーのためにデバイス暗号化データキーを回復する機能は持ち合わせていません。

3. アカウント移管ポリシーを有効化

アカウント移管は、従業員が突然退職または解雇された場合に、指定された管理者がユーザーのボルトの内容を回復するためのメカニズムを提供します。この機能はユーザーの暗号化キーを保護するための特定の手順を必要とします。アカウント移管はオプション機能です。ユーザーの暗号化キーを仲介するための特定の手順が必要なため、Keeper管理者がKeeper導入の初期段階で設定する必要があります。
手順の詳細はアカウント移管ポリシーガイドをご覧ください。
アカウント移管ポリシーは、ユーザーがマスターパスワードで認証している場合で、組織が特定のユーザーのボルト内容の損失に懸念がある場合に推奨されます。

4.アカウントの回復の無効化

あらゆるSaaSプラットフォームと同様に、Keeperのアカウント回復機能は、主要な認証方法が失われたり、忘れたりした場合に、アカウントへのアクセスを回復するための手段をエンドユーザーに提供します。Keeperでは、デフォルトで、ユーザーはリカバリーフレーズ(Keeperボルトへのアクセスを回復するために使用できる24語のシンプルな自動生成セット)を設定する機能を備えています。リカバリーフレーズは、マスターパスワードと同様の鍵派生方式を使用して、ユーザーのデータキーを暗号化します。
Azureのようなシングルサインオン製品を使用しているユーザーに展開する場合、認証はアイデンティティプロバイダに委ねられるため、本機能の必要性や有用性がない場合があります。その場合は単にアカウント回復をオプションとして持たないようにするのが最善でしょう。(ユーザーにこの方針が受け入れられる場合)
アカウント回復を無効にするには、「ロール」>「強制ポリシー」>「アカウント設定」>「アカウント復元のためのリカバリーフレーズを無効にする」を選択します。

5. 強固なマスターパスワードを強制

マスターパスワードでログインしたユーザーの場合、データキーの復号化および暗号化のための鍵は、パスワードベースの鍵導出関数(PBKDF2)を用いてユーザーのマスターパスワードから導出され、デフォルトでは1,000,000回の繰り返しが行われます。ユーザーがマスターパスワードを入力した後、ローカルで鍵が導出され、データキーの暗号化が解除されます。データキーが復号化された後、個々の記録キーとフォルダキーを復号化するために使用されます。記録キーはその後、保存された各記録内容をローカルで復号化します。
Keeperは、Amazon AWS環境において、不正アクセス、デバイス検証、スロットリングおよびその他の保護に対するいくつかの緩和策を実装しています。強力なマスターパスワードの複雑性を強制することで、ユーザーの暗号化されたボルトに対するオフラインの総当たり攻撃のあらゆるリスクを大幅に軽減します。
米国国立標準技術研究所(NIST)は、パスワードのガイドラインを提供しています。Special Publication 800-63B. このガイドラインは、ユーザビリティとセキュリティのバランスを促進するもので、言い換えれば、パスワードは覚えやすいが推測されにくいものでなければなりません。NISTのガイドラインでは、最低8文字が推奨されていますが、これ以上の文字数は最終的に推測/クラックされにくいパスワードになります。Keeperは少なくとも12文字を強制していますが、16文字以上にすることをお勧めします。
パスワードの複雑さは、ロール(役割)ごとに設定することができます。ガイドのマスターパスワードの複雑さの強制設定を参照してください。

6. 二要素認証の使用を強制

二要素認証(2FA)は、一般に多要素認証(MFA)とも呼ばれ、ボルトにアクセスするためのセキュリティレイヤーをもう1つ追加します。最初のレイヤーは、ユーザーが知っている情報(ユーザーのマスターパスワード)です。 2番目のレイヤーは所有する物です。 モバイルデバイス(SMSテキストやTOTPアプリケーション)を使用する場合もあれば、ハードウェアトークン(DuoやRSAの提供するハードウェアトークン、 またはYubiKeyやGoogle Titanキーなどのセキュリティキーの追加)を使用する場合もあります。
第2の認証手段を追加することで、攻撃者によるユーザーボルトへのアクセスがかなり困難になります。ロールベースの強制を使用することで、企業の全ユーザーに自分のボルトアカウントでの二要素認証の設定を確実に強制できます。 SSOに対応するユーザーは、少なくとも二要素認証にIdPが設定されていることを確認する必要があります。 KeeperはSSO認証中に署名付きログインをチェックし、新しいデバイスにはメール認証を求めます。 セキュリティを強化するために、Keeperアカウントで二要素認証を有効にできます。 二要素認証を設定するには、ガイドのこちらのセクションをご参照ください。

7. IPのホワイトリスト化を設定

ユーザーが承認された場所やネットワーク以外から業務用ボルトにアクセスできないようにするには、管理者がIPアドレスホワイトリスト化を有効にするべきです。 これはロールベースの強制設定で、デバイスが承認されたネットワーク上にある場合にのみ、ユーザーがボルトにアクセスできるようにします。
この機能を使用するロールの設定の詳細は、IPのホワイトリスト化のセクションをご覧ください。

8.アラートの作成

Keeperの高度なレポートシステムは、重要なイベントのためにユーザーと管理者に通知するビルトインアラート機能を提供します。ベストプラクティスとして、Keeper管理者が設定できる推奨アラートリストを作成しました。

9. 信頼されていない拡張機能のインストールを禁止

一般的なセキュリティ対策として、Enterpriseユーザーには、エンドユーザーが未承認のサードパーティ製のブラウザ拡張をインストールする機能を制限することを推奨します。 権限が昇格されたブラウザ拡張を使用すると、任意のウェブサイトまたはブラウザベースのアプリケーション内のすべての情報にアクセスできる可能性があります。 デバイス管理ソフトウェアを調べて、Keeperが許可され、未承認の拡張機能がブロックまたは削除されていることを確認してください。