# コンプライアンスレポート
## コンプライアンスレポート
アイデンティティとアクセス管理 (IAM: Identity and Access Management) のサイバーセキュリティ規制が強化されていることから、企業や公共機関は広範なポリシーやツールを採用してコンプライアンスを確保することが重要となっています。認証情報や機密情報に対するアクセス管理は、このようなコンプライアンスの達成に欠かせないものとなっています。企業が遵守を求められる可能性のある規制には、SOX、GDPR、PCI、HIPAA、HiTRUST、GLBA、FERPAやNew York SHIELD ACTなどがあります。各産業には特定のデータセキュリティ規則に従う必要があり、このような規制の遵守は複雑で、多大な時間を要するものとなっています。
Keeper Securityがコンプライアンスのために既に提供しているアクセス管理とARAMレポートに加え、**コンプライアンスレポート**というアドオンのレポート機能もご用意しています。
{% embed url="" %}
コンプライアンスレポート
{% endembed %}
コンプライアンスレポートによって、組織内のレコードや認証情報に対するアクセス権限がオンデマンドで可視化できます。このようなレポートにより、Sarbanes Oxley (SOX) など、定期的なアクセス制御監査を要するコンプライアンス監査プロセスが簡素化されます。Keeper管理者がコンプライアンスレポートを設定した上でオンデマンドで実行し、自動化されたコンプライアンスシステムに転送したり、外部監査人に直接送信したりすることができます。レポートには一部で認証情報以外の暗号化されたレコードデータが含まれるため、管理者はレポートを実行し、閲覧する許可を取得する必要があります。暗号化されたレコードデータはレポートに含まれ、レポートフィルタとしても使用できます。
暗号化されたレコードデータには以下の情報しか含まれていません。
* レコードのタイトル
* レコードのタイプ
* URL
暗号化されたデータは、Keeper管理者コンソールでコンプライアンスレポートの権限を持つ管理者に制限されたエンタープライズ秘密鍵を使用して復号化されるため、ゼロ知識が維持されます。
## **コンプライアンスレポートの活用事例**
* **SOX監査用特権ユーザーレポート**: 特権ユーザーを選択し、その特権ユーザーを対象にすべての所有レコードおよび共有レコードを表示するレポートを作成します。
* **PCIコンプライアンス用の法人クレジットカードレポート**: 全ユーザー (5000名以下の場合) を選択してから、1つ以上のレコードタイプ (クレジットカード、データベース、ログイン) を選択し、選択したレコードタイプを対象にすべてのユーザーアクセスおよび権限を表示するレポートを生成します。
* **削除ユーザーのレポート**: ユーザーを削除し、Keeperアカウントを移管する前に、ユーザーの所有レコードをすべて表示するレポートを作成します。
* **特定のURL (金融サービス) を含むレコードに関するアクセス権限のレポート**: 全ユーザー (5000名以下の場合) を選択し、1つ以上のURLを選択してから、選択したURLを含むレコードを対象にすべてのレコードおよびアクセス権限を表示するレポートを作成します。
## **コンプライアンスレポートのアクティブ化**
**\[サブスクリプション]**画面にアクセスし、**\[無料体験]**をクリックして、コンプライアンスレポートアドオンの試用版をアクティブにします。
Keeperコンプライアンスレポート機能が使用できる状態になると、管理権限のポップアップメニューに**\[コンプライアンスレポートの実行]**という新しい管理者ロールの権限が表示されるようになります。管理者ロールでこの権限を選択すると、コンプライアンスレポートの作成、閲覧、編集が可能となります。
**\[権限を下位ノードに適用]**を選択すると、サブノードでもレポートの実行、閲覧、編集ができるようになります。
{% hint style="info" %}
コンプライアンスレポートの実行、閲覧、管理を行うために他の権限は必要ありません。監査人がコンプライアンスレポートを実行するのに「ユーザー管理」や「ノード管理」の権限は必要ありません。
{% endhint %}
**\[コンプライアンスレポートの実行]**権限を持つ管理者がコンソールにログインすると、左側のメニューに**\[コンプライアンスレポート]**の項目が表示されます。
**\[コンプライアンスレポート]**を選択すると、保存済みのコンプライアンスレポートが表示されます。管理者が**\[コンプライアンスレポートの実行]**の権限を持つノードに関連するレポートのみが表示されます。
## 新規コンプライアンスレポートの作成
コンプライアンスレポート画面から**\[新規コンプライアンスレポート]**を選択すると、レポートの条件を入力するように求められます。
**ユーザーの評価基準**
初期設定では「ユーザーの評価基準」が選択されています。ユーザーの評価基準には次の内容が含まれます。
* ノード
* ユーザー名/メールアドレス
* 役職
* レコード
**「ノード」**を選択することによって、レポートの内容だけでなく対象となるユーザーも決まります。**「役職」**は、ユーザーデータに手動で入力されているか、CSVファイルを通じてインポートされている場合に表示されます。今後のリリースでは、**「役職」**はSCIMプロビジョニングを使用するIDプロバイダからインポートして使用できるようになります。**「レコード」**には、所有しているすべてのレコード、または所有して共有しているレコードのみを含めることができます。
**「ノード」**を選択すると、レポートデータのフィルタリングに含まれるユーザーが決定されます。ルートノードが選択され、管理者が**「コンプライアンスレポート」**の権限の他に**「下位ノードに権限を適用」**の権限も持っている場合は、最初のユーザーフィルタとしてその組織内のすべてのユーザーが選択されます。
ユーザー数は画面の右側に表示されます。ユーザーのフィルタを選択すると、条件に一致するユーザー数に反映されます。
### データフィルタ
ユーザーのフィルタから**\[全ユーザー]**またはユーザーのサブセットを選択してから**\[ユーザーデータを取得]**をクリックすると、選択したユーザーが使用できる総レコード数が画面に表示されます。
ユーザー数の上限は、パフォーマンス上の理由から5000名に制限しています。コンプライアンスレポートでは、レコードは1000件に制限されています。レコードは、単一のフィルタまたは複数のフィルタでデータをフィルタリングして選択します。1000件以上のレコードを取得するには、全ノードでレポートを実行するのではなくノードごとにレポートを実行するなどして、複数のレポートを実行します。
### 利用可能なフィルタタイプ
* レコードのタイトル
* レコードUID
* 職種
* レコードのタイプ
* ウェブサイトのURL
**\[データフィルターを追加]**をクリックしてフィルタを追加すると、レポートに含まれるレコードが増加する場合がありますが、レコードが複数のフィルタの検索条件に一致する場合でも、レコードの総数とレポートには同じレコードが重複して含まれることはありません。
フィルタを設定してから**\[データを表示]**をクリックすると、レコードごとに現在のユーザーおよび権限に関するレポートのプレビューが表示されます。
## **レポートデータ**
レポートデータは最初にレコードの所有者一覧と各所有者が保有するレコード件数が表示されます。
各レコード所有者には、**「ユーザーレポート」**ページがあり、ユーザーの詳細情報が表示されます。詳細情報にはユーザーが所有するレコードと、各レコードを共有している共有先ユーザー数が含まれます。
右端の**「>」**をクリックすると、各ユーザーのレコードのアクセス権限が表示されます。
{% hint style="success" %}
ユーザーが複数のソースからレコードにアクセスできる場合、そのレコードへのアクセスに対する**「現在付与されている権限」**とすべての権限ソースが表示されたポップアップが表示されます。
{% endhint %}
ユーザーレポートはPDF、JSON、CSVの各形式でエクスポートできます。選択したすべてのユーザーを含む最終スナップショットレポートを生成する前に、ユーザーレポートを確認できます。
## **レポートの生成**
レポートデータとフィルタの確認後、**\[レポートを作成]**を選択することで、設定をテンプレートとして保存できます。
以下の内容を含むスナップショットレポートが生成され、保存されます。
* レポート名
* 日付と時間
* レポート生成に使用された条件
この後、ユーザーレコードページが続き、レコードと関連のユーザーアクセス情報が表示されます。レポートを作成すると、最新のレコードデータが取得され、レポートデータ閲覧中に発生した可能性のある権限の変更が反映されます。
保存したレポートは**\[コンプライアンスレポート]**タブから閲覧したり再実行したりできます。 レポートを再実行する際にはレポートの条件を編集できます。また、新しいレポート条件は新しいレポートスナップショットと一緒に保存されます。
## **レポート条件の作成と保存**
コンプライアンスレポート作成の権限を持つ管理者は、レポートを実行しない場合でもレポート条件を作成して保存できます。レポートを後日実行する場合や、レポートを定期的に実行 (例 四半期ごとのSOXレポート) する場合に便利です。
**\[条件フィルタ]**を選択して、保存されているレポート条件を確認します。新規レポート条件を作成するには、**\[新規コンプライアンスレポート]**を選択し、条件に名前を付けてから**\[フィルタを保存]**をクリックして保存します。
{% hint style="info" %}
**\[コンプライアンスレポートの実行]**の権限を持つ管理者は、その権限が付与されているノードでコンプライアンスレポートやレポート条件を作成、編集、削除、実行できます。
{% endhint %}
## コマンダーインターフェース
KeeperコマンダーCLI/SDKには管理コンソールからは利用できない追加機能が備わっており、コンプライアンスレポートのデータに対して高度な検索や解析がご利用になれます。
Keeperコマンダーについて、詳しくは[こちらのページ](https://docs.keeper.io/keeperpam/commander-cli/overview)をご参照ください。
#### インストール
[バイナリインストール](https://docs.keeper.io/keeperpam/commander-cli/commander-installation-setup)または`pip3`を使用して、最新バージョンのコマンダーを使用していることを確認します。
```
sudo pip3 install --upgrade keepercommander
```
#### コマンドの例
`compliance-report`コマンドの機能に関する情報を確認するには、以下のように入力します。
```
compliance-report -h
```
特定のユーザーを検索するには、以下を実行します。
```
compliance-report --username user@company.com
```
URL (amazon.com) の部分一致を検索するには、以下を実行します。
```
compliance-report --shared --url amazon
```
コマンドについて、詳しくは[ドキュメントページ](https://docs.keeper.io/keeperpam/commander-cli/command-reference/enterprise-management-commands/compliance-commands)をご覧ください。
## セキュリティ
コンプライアンスレポート機能は、Keeperのゼロ知識暗号化モデルに準拠しています。暗号化の観点からその仕組みをご説明します。エンタープライズエンドユーザーがボルトにログインすると、タイプ、タイトル、URLフィールドがエンタープライズ楕円曲線公開鍵で暗号化されます。「監査データ」と呼ばれるこのデータは、ユーザーのデバイス上にローカルで暗号化され、Keeperクラウドに保存されます。監査データは時間の経過に伴い、エンドユーザーデバイスで継続的にアップデートされます。
Keeper管理者は、マスターパスワードまたはシングルサインオンを使用して管理コンソールにログインします。ログインに成功すると、管理者はAES 256エンタープライズツリーキーと呼ばれる鍵を復号化し、エンタープライズ楕円曲線秘密鍵を復号化します。管理者がコンプライアンスレポートを実行する権限を持っている場合、その権限が有効となるノード内のユーザーのレポートを実行できます。
暗号化された監査データは管理コンソールに送信され、管理者はエンタープライズ楕円曲線秘密鍵を使用してデバイス上にローカルで監査データを復号できます。レポートの内容はローカルでユーザーインターフェースに表示され、CSV、JSON、PDFの各形式にエクスポートできます。指定されたKeeper管理者のみが、管理者権限を付与されたノードのコンプライアンスレポートデータを取得して復号化できます。