コンプライアンスレポート

コンプライアンスレポートは、企業の記録に関連付けられているアクセス権限をオンデマンドで可視化します。

コンプライアンスレポート

IDおよびアクセス管理(IAM: Identity and Access Management)のサイバーセキュリティ規制が強化されていることから、企業や公共機関はコンプライアンスを確保する一連の広範なポリシーやツールを採用することが重要となっています。資格情報や機密情報に対するアクセス管理は、このようなコンプライアンスの達成に欠かせません。企業が遵守を求められる可能性のある一部の規制には、SOX、GDPR、PCI、HIPAA、HiTRUST、GLBA、FERPAやNew York SHIELD ACTなどが含まれています。各産業には従うべき特定のデータセキュリティ規則があり、このような規制の遵守は複雑で、多大な時間を要するものとなっています。

Keeper Securityがコンプライアンスのために既に提供しているアクセス管理とARAMレポートに加え、Keeperではコンプライアンスレポートというアドオンのレポート機能も提供しています。

コンプライアンスレポート

コンプライアンスレポートによって、企業内の記録や資格情報に対するアクセス権限がオンデマンドで可視化できます。このようなレポートにより、Sarbanes Oxley(SOX)などのアクセス制御に関する定期的な監査を必要とする規制に関するコンプライアンス監査プロセスが簡素化されます。Keeper管理者が定義するコンプライアンスレポートはオンデマンドで実行され、自動化されたコンプライアンスシステムに転送したり、外部監査人に直接送信したりすることができます。レポートには一部の資格情報以外の暗号化された記録データが含まれるため、管理者はレポートを実行し、閲覧する許可を取得する必要があります。暗号化された記録データはレポートに含まれ、レポートフィルタとしても使用できます。

暗号化された記録データには次の情報のみが含まれています。

  • 記録のタイトル

  • 記録のタイプ

  • URL

暗号化されたデータは、コンプライアンスレポートの権限を持つ管理者に限定されたEnterprise秘密鍵を使用してKeeper管理者コンソールで復号化されるため、ゼロ知識が維持されます。

コンプライアンスレポートのユースケース

  • SOX監査用特権ユーザーレポート: 特権ユーザーを選択し、その特権ユーザーを対象にすべての所有記録および共有記録を表示するレポートを実行します。

  • PCIコンプライアンスの法人クレジットカードレポート: 全ユーザー(5000名以下の場合)を選択してから、1つ以上の記録タイプ(クレジットカード、データベース、ログイン)を選択し、選択した記録タイプを対象にすべてのユーザーアクセスおよびユーザーへの許可を表示するレポートを生成します。

  • 廃止ユーザーレポート: ユーザーを廃止し、Keeperアカウントを移管する前に、ユーザーの所有記録をすべて表示するレポートを実行します。

  • 特定のURL(金融サービス)を含む記録に関するアクセス許可のレポート: 全ユーザー(5000名以下の場合)を選択し、1つ以上のURLを選択してから、選択したURLを含む記録を対象にすべての記録およびアクセス許可を表示するレポートを実行します。

コンプライアンスレポートのアクティブ化

サブスクリプション画面にアクセスし、無料試用をクリックして、コンプライアンスレポートアドオンの試用版をアクティブにします。

Keeperコンプライアンスレポート機能が試用または購入により有効にされると、「コンプライアンスレポートの実行(Run Compliance Reports)」という管理上の許可のポップアップメニューに新しい管理者ロール権限が表示されます。管理者ロールに対してこの許可を選択すると、コンプライアンスレポートの作成、閲覧、編集が許可されます。

「カスケードノードの許可(Cascade Node Permissions)」が選択されると、管理者はサブノードでもレポートの実行、閲覧、編集ができるようになります。

コンプライアンスレポートの実行や閲覧、管理を行うために必要な管理者の許可はそれ以外にはありません。監査人の場合、コンプライアンスレポートの実行に「ユーザー管理」や「ノード管理」権限は必要ありません。

「コンプライアンスレポートの実行」許可を持つ管理者がコンソールにログインすると、左側のメニュー項目の「コンプライアンスレポート」を使用できます。

「コンプライアンスレポート」が選択されると、保存したコンプライアンスレポートが表示されます。管理者には、管理者が「コンプライアンスレポートの実行(Run Compliance Reports)」許可を持つノードに関連付けられたレポートのみが表示されます。

新規コンプライアンスレポートの作成

コンプライアンスレポート画面から「新規コンプライアンスレポート」を選択すると、レポートの条件を入力するように求められます。

ユーザーの評価基準

初期設定では「ユーザーの評価基準」が選択されています。ユーザーの評価基準には次の内容が含まれます。

  • ノード

  • ユーザー名/メールアドレス

  • 役職

  • 記録

選択された「ノード」によって、レポートの関連性だけでなく、そのレポートで使用できるユーザーも決定されます。ユーザーデータで手入力したり、CSVファイルからインポートしている場合は、「役職」を使用したりできます。今後のリリースでは、「役職」はSCIMプロビジョニングを使用するIdPからインポートして使用できるようになります。「記録」にはすべての所有記録、または所有され、かつ共有された記録のみを含めることができます。

「ノード」を選択すると、レポートデータフィルタリングに含めるユーザーが決定されます。ルートノードが選択され、管理者が「コンプライアンスレポート」許可の他に「カスケードノード」許可も取得していると、最初のユーザーフィルタとしてその企業内の全ユーザーが選択されます。

ユーザー数は画面の右側に表示されます。その他のユーザー条件フィルタが選択されると、一致するユーザー数は追加されたフィルタを反映します。

データフィルタ

フィルタから全ユーザーの条件またはユーザーのサブセットを選択した後に、「ユーザーデータを取得」を選択すると、選択したユーザーで使用できる総記録数が画面に表示されます。

Keeperでは、パフォーマンス上の理由から、ユーザー数を5000名に制限しています。コンプライアンスレポートでは、記録は1000件に制限されています。レポート記録は、単一のフィルタまたはフィルタの組み合わせでデータをフィルタリングすると選択できます。1000件以上の記録を取得するには、同様のフィルタで複数のレポートを実行します。

利用可能なフィルタタイプ:

  • 記録のタイトル

  • 記録UID

  • 職位

  • 記録のタイプ

  • ウェブサイトのURL

追加されたフィルタの各セットには、レポートにその他の記録を追加する可能性があります。複数のフィルタ行の検索条件に記録が一致する場合、記録の総数とレポートには重複記録ではなく、一意の記録が反映されます。

フィルタが定義されると、ユーザーは「データを表示」を選択して、選択した記録ごとに現在のユーザーおよびユーザーへの許可を反映するレポートのプレビューを表示できます。

レポートデータの表示

レポートデータはレイヤーで表示され、最初に記録の所有者リストと各所有者の記録件数を表示します。

各記録の所有者の場合、ユーザーの所有記録やユーザーがそれらの記録を共有している件数(所有記録別)など、ユーザーの詳細を表示する「ユーザーレポート」ページがあります。

各ユーザーに対する記録のアクセス許可は記録行の終端で「>」を選択して、表示できます。

ユーザーが複数のソースから記録にアクセスできる場合、その記録へのアクセスに対する「有効な許可」とすべての許可ソースを表示するポップアップが表示されます。

個別ユーザーレポートはPDF、JSON、またはCSV形式でエクスポートできます。管理者は、選択したすべてのユーザーを含む最終スナップショットレポートを生成する前に、1つ以上のユーザーレポートをレビューすることができます。

レポートの生成

レポートデータとフィルタの確認後、管理者は「レポートの作成」を選択して、設定をレポートテンプレートとして保存できます。

システムにより、次の内容を含むスナップショットレポートが生成され、保存されます。

  • レポート名とヘッダー

  • 日付と時間

  • レポートの生成に使用されたレポート条件

このヘッダー情報以降には、記録および関連するユーザーアクセス情報を含むユーザーの記録ページがあります。レポートを作成すると、システムは最新の記録データを取り込み、レポートデータの閲覧中に発生した許可の変更を反映します。

保存したレポートは「コンプライアンスレポート」タブから閲覧したり、再実行したりすることができます。 レポートの再実行時に、レポートの条件を編集することができます。また、新しいレポート条件は新しいレポートスナップショットと一緒に保存されます。

レポート条件の個別作成と保存

コンプライアンスレポートの許可を持つ管理者は、レポートを実行せずにレポート条件を作成して、保存することができます。これはレポートを後日実行したり、定期的に実行(例: 四半期ごとのSOXレポート)したりする場合に役立ちます。

「条件フィルタ」を選択して、保存されているレポートの条件を確認します。新規レポート条件を作成するには、「新規コンプライアンスレポート」を選択し、条件に名前を付けてから、「フィルタの保存」を選択して保存します。

「コンプライアンスレポートの実行」許可を持つ管理者は、「コンプライアンスレポートの実行」許可が付与されているノードに関連付けられているコンプライアンスレポートやレポート条件を作成、編集、削除、実行できます。

Commanderインターフェース

Keeper Commander CLI/SDKでは、管理コンソールのユーザーインターフェースで利用できないコンプライアンスレポートデータの詳細検索や解析を行う追加機能を提供します。

Keeper Commanderツールの詳細情報については、このページにアクセスしてください。

インストール

sudo pip3 install --upgrade keepercommander

コマンドの例

compliance-reportコマンドの機能に関する全詳細を確認するには、次のように入力します。

compliance-report -h

特定のユーザーを検索する:

compliance-report --username user@company.com

URLの部分一致を検索する(例: amazon.com)

compliance-report --shared --url amazon

セキュリティ

Keeperコンプライアンスレポートは、Keeperのゼロ知識暗号化モデルに準拠しています。ここでは、暗号化の観点からその仕組みを説明します。Enterpriseエンドユーザーがボルトにログインすると、タイプ、タイトル、およびURLフィールドがEnterprise楕円曲線公開鍵で暗号化されます。「監査データ」と呼ばれるこのデータは、ユーザーのデバイス上にローカルで暗号化され、Keeperクラウドに保存されます。監査データは時間の経過に伴い、エンドユーザーデバイスで継続的にアップデートされます。

Keeper管理者は、マスターパスワードまたはシングルサインオンを使用して管理コンソールにログインします。ログインに成功すると、管理者はAES 256 Enterprise Tree Keyと呼ばれる鍵を復号化し、Enterprise楕円曲線秘密鍵を復号化します。管理者がコンプライアンスレポートを実行する許可を取得している場合、許可が与えられているノード内のユーザーのレポートを実行できます。

暗号化された監査データは管理コンソールに送信され、管理者はEnterprise楕円曲線秘密鍵を使用してデバイス上にローカルで監査データを復号できます。レポートの内容はローカルでユーザーインターフェースに表示され、CSV、JSONまたはPDF形式にエクスポートできます。 指定されたKeeper管理者だけが、管理者権限を付与されたノードのコンプライアンスレポートデータを取得して復号化できます。

Last updated