# KeeperのIPをホワイトリスト化 ## 概要 本ページでは、エンドユーザーアプリケーションへのアクセス、メール配信、SIEMおよびオートメーターからのリクエストに基づいて、Keeperの通信へのアクセスを制限する方法について取り扱います。 セキュリティを強化するために、特定のサービスへのエンドユーザーのネットワークトラフィックを制限するファイアウォールやゼロトラストネットワークを導入している場合は、FQDN (完全修飾ドメイン名) に基づいてKeeperを許可リストに追加することをおすすめします。Keeperの一部のサービスは動的IPを使用しているため、FQDNの使用を推奨しています。 ## エンドユーザーアプリケーション向けFQDN許可リスト すべてのアプリケーションへのアクセスを有効にするには、テナントのロケーションに応じて、以下に記載されているエンドポイントへのアウトバウンド**TCPポート443**をユーザーに対して開放しておく必要があります。 また、KeeperPAMの接続およびトンネル機能を使用する場合は、対象リージョンの`krelay`エンドポイントに対して、TCPおよびUDPのポート3478も開放しておく必要があります。 **グローバル - 全ユーザー** * keepersecurity.com * keeper.io * gitbook.io (ドキュメントポータル) * 以下に記載のエンドポイントを追加します。 **米国でホスティングされているユーザー** * keepersecurity.com * push.services.keepersecurity.com * files.services.keepersecurity.com * connect.keepersecurity.com * krelay.keepersecurity.com/ **米国 / GovCloudでホスティングされているユーザー** * govcloud.keepersecurity.us * push.services.keepersecurity.us * files.services.keepersecurity.us * connect.govcloud.keepersecurity.us * krelay.keepersecurity.com **EUでホスティングされているユーザー** * keepersecurity.eu * push.services.keepersecurity.eu * files.services.keepersecurity.eu * connect.keepersecurity.eu * krelay.keepersecurity.eu **オーストラリアでホスティングされているユーザー** * keepersecurity.com.au * push.services.keepersecurity.com.au * files.services.keepersecurity.com.au * connect.keepersecurity.com.au * krelay.keepersecurity.au **カナダでホスティングされているユーザー** * keepersecurity.ca * push.services.keepersecurity.ca * files.services.keepersecurity.ca * connect.keepersecurity.ca * krelay.keepersecurity.ca **日本 / 東京でホスティングされているユーザー** * keepersecurity.jp * push.services.keepersecurity.jp * files.services.keepersecurity.jp * connect.keepersecurity.jp * krelay.keepersecurity.jp ## **Keeper Securityからのメール** Keeperでは、数種類のトランザクションメールをお送りしています。 * ロール強制適用ポリシーが有効になっている場合、新たにプロビジョニングされたエンドユーザーに管理コンソール、ブリッジ、SCIMから招待メールが送付されます。招待メールの内容は管理者によりコンソール設定画面でカスタマイズできます。 * Keeperから一般的なマーケティングや製品マーケティングのメールをエンドユーザーに送信することはありません。 * 管理者権限を持つユーザーは、アカウントのステータスと請求に関するメールを受け取ります。エンドユーザーがアカウント関連のメールを受け取ることはありません。 * Keeperにサインアップしたプライマリアカウントの所有者は、Keeperのカスタマーサクセスマネージャーから直接連絡を受けるだけでなく、オンボーディングメールとドキュメントのリンクが届きます。 * デバイス確認のメール (新しいデバイスにログインする場合) は、認証の目的でエンドユーザーに送信されます。 * Keeper管理者が高度なレポートとアラートアプリケーションで設定したアラートは、オプションでエンドユーザーに送信できますが、デフォルトでは無効にされています。 #### メール配信 Keeperのメールサービスは、専用IPを使用してAmazon SESでホストされています。Keeper Securityから送信されるメールがユーザーに確実に配信されるようにするために、お使いのメールフィルタが次のFQDNとIP送信者のメールを許可していることを確認することをお勧めします。 #### ドメイン * keepersecurity.com * keepersecurity.com.au * keepersecurity.eu * keepersecurity.ca * govcloud.keepersecurity.us * keepersecurity.jp #### メール配信者のIP 54.240.35.231, 54.240.35.230, 54.240.34.220, 54.240.34.131, 54.240.34.133, 54.240.34.219, 54.240.34.135, 54.240.34.132, 54.240.34.134, 54.240.35.227, 54.240.55.117, 54.240.55.118, 69.169.235.44, 69.169.235.45, 69.169.235.46, 69.169.235.47, 69.169.235.48 {% hint style="info" %} 現在、カナダ、日本、GovCloudの各リージョンには、メール送信者用の静的IPはありませんが、近日中に提供予定です。 {% endhint %} ## **SIEMイベントおよびオートメーターでのデバイス承認** Keeperの本番環境からインバウンドSIEMイベントおよびオートメーターデバイス承認リクエストを受け取っている場合は、以下のIPアドレスへのトラフィックを制限できます。 **米国/グローバル** * **34.194.242.137/32** * **18.235.39.229/32** * **54.208.20.102/32** * **34.203.159.189/32** **欧州/ダブリン** * **54.246.149.209/32** * **34.250.37.43/32** * **52.210.163.45/32** * **54.246.185.95/32** **豪州/シドニー** * **54.206.253.126/32** * **52.64.85.78/32** * **3.106.40.41/32** * **54.206.208.132/32** **米国/GovCloud** * **18.253.101.55/32** * **18.253.102.58/32** * **18.252.135.74/32** * **18.253.212.59/32** **カナダでホスティングされているユーザー** * **35.182.155.224/32** * **35.182.216.11/32** * **15.223.136.134/32** **日本/東京でホスティングされているユーザー** * **35.74.131.237/32** * **54.150.11.204/32** * **52.68.53.105/32** 外部ログを構築した後、外部システムが利用不可になりキュー内のイベント数がしきい値の50に達した場合、自動的に一時停止する場合があります。この場合、問題を修正した後、外部ログを手動で再開する必要があります。外部ログが一次停止中である場合でも通知を受領できるように、「監査ログ同期が一時停止」のアラートを設定しておくことをお勧めします。