使用事例
Keeperエンタープライズ製品の一般的な使用事例ユースケース
エンドユーザーボルト
Keeperエンタープライズプランを導入すると、ユーザーごとに個人用Keeperボルト (保管庫) がご利用になれます。Keeperは、あらゆる種類のデバイス、プラットフォーム、オペレーティングシステムで動作し、以下の機能を有します。
あらゆる種類のデバイスでの強力なパスワードの作成と管理
ファイルやその他の個人情報の安全な保存
ウェブブラウザ、アプリ、モバイルデバイスでのパスワードの自動入力
ユーザーやチーム間での機密情報の共有
ゼロ知識ボルトを組織のメンバーに展開
Keeperのゼロ知識に基づくボルト (保管庫) は複数の暗号化レイヤーで保護されています。ボルトは、ローカルデバイス上のデータの暗号化と復号化に使用されるマスターパスワードによって保護されます。さらに、2要素認証によってクラウドへのアクセスが保護されます。以下はボルトの主なセキュリティ機能の一部となります。
ユーザーのマスターパスワードは、PBKDF2を使用して暗号化鍵を導出するために使用されます。この暗号化鍵でユーザーのボルトを暗号化および復号化します。
ボルトに保存されたパスワードとファイルは、個別に強力な256ビットAESキーで保護されます。
Keeper SSOコネクトを使用してログインするユーザーにはマスターパスワードは不要です。暗号化鍵が所属される組織によって管理されるためです。管理者はボルトへの生体認証ログイン (Face ID/Touch ID、Windows Helloなど) を許可できます。
強力なパスワードの生成
ウェブサイトごとにランダムに生成された強力なパスワードを作成することは、データ漏洩、パスワードスタッフィング、パスワードスプレー攻撃から保護するうえで大変重要となります。Keeperのパスワード生成機能と監査機能により、組織全体でパスワードに関するコンプライアンスを徹底できます。
あらゆるプラットフォームとデバイスを保護
Keeperにより、あらゆるデバイスおよびオペレーティングシステムでパスワードと個人情報が保護されます。Keeper Securityのウェブサイトや主要なアプリストアからも導入していただけます。SCCMの導入やCitrixなどの仮想環境にも完全に対応しています。
Keeper® デスクトップアプリ
Keeperボルトへの高速かつ安全なアクセスを実現する、Keeperのすべての機能を備えたデスクトップアプリケーションです。
KeeperFill®
KeeperFillブラウザ拡張機能で、ウェブサイトにログイン情報を自動入力します。
Keeper®モバイルアプリ
Keeperボルトへの高速かつ安全なアクセスを実現する、Keeperのすべての機能を備えたモバイルアプリケーションです。
KeeperFill®でウェブサイトのパスワードを自動入力
ウェブブラウザ拡張機能のKeeperFillには自動入力機能が搭載されており、以下のような様々な操作に対応しています。
ユーザー名とパスワードの入力
同じウェブサイト用の複数のパスワードから選択
ユーザー名、パスワード、2要素認証コードの自動入力
入力用ポップアップ、手動クリックによる入力
新しいパスワードの入力時にボルトに保存
ブラウザ拡張機能のカスタマイズは、拡張機能の設定メニューから行います。
KeeperFillでパスワードを変更とセキュリティ監視
KeeperFillを使用すると、パスワードを簡単に変更できます。ウェブサイトの「パスワード変更」フォームにアクセスすると、Keeperからパスワード変更のサポートが必要かを尋ねるメッセージが表示されます。サポートを使用する場合は、パスワードを変更してボルト内のレコードも更新するための手順が表示されます。さらに、ボルト内でKeeperのセキュリティ監査機能を使用すると、どのアカウントが脆弱なパスワードを使用しているかが特定されるので、そのようなパスワードをすぐに変更できます。
アプリ用KeeperFillでネイティブデスクトップアプリケーションに自動入力
アプリ用KeeperFillは、Keeperデスクトップアプリの操作性をさらに向上させる便利なツールです。アプリ用KeeperFillをデスクトップアプリケーションと組み合わせて使用することで、ログイン操作が一層簡単になり、ボルトのレコードへも迅速にアクセスできるようになります。
さらに、アプリ用KeeperFillでは、ホットキーコマンドを使用したネイティブアプリのフォームへの入力機能がご利用になれます。IT管理者がリモートサービスにアクセスしている際に本機能をご利用になれるため、コピーや貼り付けに頼らずに済みます。パスワードをボルトに保存した上でアプリ用KeeperFillを使用すると、アプリケーションのパスワードが平文で無防備なままになることはありませんのでご安心ください。
アプリ用KeeperFillは、MacとPCで、以下のような一般的なネイティブアプリケーションに対応しています。
Skype、Slack、Evernoteなどの生産性向上アプリ
カスタムアプリケーションや独自アプリケーション
リモートデスクトップ、VNC、ターミナルなどのコマンドラインユーティリティ
アプリ用KeeperFillは、Keeperデスクトップアプリ内の[設定] > [KeeperFill]から設定できます。起動すると、コンピュータのメニューバー (Mac OS) やシステムトレイ (Windows) からKeeperアイコンからアクセスできます。
Keeperの高度なユーザーインターフェース機能で情報整理と効率化を実現
フォルダとサブフォルダ
フォルダとサブフォルダ (フォルダ内のフォルダ) を使用すると、レコードとファイルをよりきめ細かく管理して整理できます。サブフォルダは、チームやアカウントの種類をまたいで使用できます。
グリッド表示レイアウト
グリッド表示を使用すると、レコードをタイル形式で表示できます。このタイル形式ではウェブサイトのロゴが表示されます。グリッド表示にするにはボルトのグリッドアイコンをクリックします。
レコードの履歴
レコードに変更を加えるたびにバックアップが作成されそれらバックアップはいつでも復元できます。同様に、削除したレコードも復元でき、保存できるレコードのバージョンの数に制限はありません。
ショートカット
レコードは、フォルダ外、フォルダ内、共有フォルダ内に配置できます。 「ショートカット」を使用するとレコードを複数のフォルダや共有フォルダにリンクすることも可能です。ショートカットはエイリアスファイルのように機能し、複数の場所に配置でき、編集した際には一括で変更されます。
機密ファイル、画像、動画の保護
Keeperに搭載されたファイルストレージによって、機密ファイル、画像、ビデオを保護できます。ファイルの保護には、パスワードの暗号化技術と同様にKeeperはレコードレベルの鍵を使用した256ビットAES暗号化を利用します。ファイルをボルトに直接ドラッグアンドドロップしたり、モバイルデバイスから直接写真やビデオを撮影して保存することもできます。これらのファイルは、他のKeeperユーザーと簡単かつ安全に共有できます。
以下は、ボルトに保存できるファイルの例となります。
顧客情報
財務書類および銀行取引書類
税務関連書類
医療関係の画像や動画
証明書とSSH鍵を安全に保護
信頼を悪用した攻撃の横行により、デジタル証明書と鍵に大きく依存して重要なシステムへアクセスするIT組織にセキュリティ上のリスクが拡大しつつあります。Keeperは、256ビットAESゼロ知識暗号化を使用して証明書と鍵を保護します。以下は、格納できる証明書の種類の例となります。
SSL証明書
SSH鍵
RSA鍵のペア
コード署名証明書
APIキー
証明書とSSH鍵は、Keeperボルトの任意のレコードにカスタムフィールド、メモ、添付ファイルとして格納できます。
SSH鍵は格納するだけでなく、安全に接続を確立するために使用できます。
DevOpsユーザー向けのコマンドラインSDKおよびツールキットである、Keeperコマンダーを使用すると、格納された認証情報やSSH鍵でリモートシステムに接続できます。
Keeperコマンダーを使用した接続の確立について、詳しくはこちらのページをご参照ください。
同僚やチームとパスワードを共有する
パスワードやファイルは、別のKeeperユーザーやチームと直接共有できます。Keeperはパスワードやファイルの共有にRSA暗号化を使用し、情報は受信者の公開鍵で暗号化され秘密鍵で復号化されます。共有相手の権限 (編集、共有、編集および共有、閲覧のみ) は、ユーザーやチームに対して設定できます。
表示、編集、共有の権限セットは、個々のユーザに適用できます。共有フォルダの権限設定では、フォルダ、ユーザー、レコードの管理をコントロールできます。
チームはKeeper管理コンソールで作成および管理します。また、Active Directoryブリッジ、SCIMプロトコル、KeeperコマンダーSDKを使用して、チームを自動的にプロビジョニングすることも可能です。
業務情報と個人情報の分離
Keeperエンタープライズには、管理者によってエンドユーザーのボルトを休止したり、移管したりするための機能が搭載されているため、エンドユーザーはKeeperのアカウント切替機能で業務用のボルトと個人用のボルトを分離しておくようにしましょう。どのプラットフォームでも業務用ボルトと個人用ボルトを簡単に切り替えられます。
既存のIDプロバイダを使用してログイン
Keeper SSOコネクト技術の採用により、エンドユーザーは既存のSAML 2.0準拠IDプロバイダ (Okta、Centrify、Microsoft AD FS/Azure、G-Suite、JumpCloud、F5 BIG-IP APNなど) を使用して、Keeperボルトにログインできます。
Keeperの管理者が本機能を有効にすると、どのようなデバイスやプラットフォームからでもそのままログインできるようになります。または、最初にIDプロバイダにログインしてからKeeperボルトを起動することもできます。
管理と展開
Keeperエンタープライズには、ウェブベースの管理者コンソールアプリケーションが搭載されています。管理者コンソールでは以下の操作を実行できます。
ユーザーの登録と削除
ロール単位の強制適用ポリシーの設定
2要素認証の管理
組織のセキュリティスコアの監視
エンドユーザー体験のカスタマイズ
ユーザーの管理と登録
Keeper管理コンソールには、組織の規模に応じてKeeperをユーザーに展開するための方法が用意されています。以下のいずれかの方法でユーザーをプロビジョニングします。
ADブリッジを使用したActive DirectoryまたはLDAP同期
シングルサインオン (SAML 2.0)
SCIMとAzure AD
メールアドレスで自動プロビジョニング
CSVファイルのアップロード
ウェブインターフェースからの手動入力
KeeperコマンダーSDKによるコマンドラインプロビジョニング
組織単位 (ノード) ごとに異なる方法でプロビジョニングできます。たとえば、単一の組織単位に属するエンドユーザーはActive Directoryで登録でき、別のユーザーグループはMicrosoft AzureやOktaなどのIDプラットフォームでプロビジョニングできます。
ロール単位での権限を適用
Keeperのロール単位の強制適用ポリシーによって、組織は以下のように内部統制のニーズに合わせてソリューションをカスタマイズできます。
マスターパスワードの複雑さルール
2要素認証方式
物理的な場所、IPアドレス、デバイスプラットフォーム
共有とデータエクスポートに関するルール
デバイスの生体認証
管理権限はロール単位でも適用されます。管理権限を持つロールはすべて管理コンソールにログインして特定の職務権限を実行できます。
メンバーが組織去る際にボルトを移管
メンバーが組織を去る際には機密性の高いデータを確保することが重要です。管理や経営の立場にあるユーザーの場合は特に重要となります。
「アカウント移管」機能を使用すると、ユーザーのボルトをロックして組織内の別のユーザーに移管できます。このアカウント移管プロセスは完全にゼロ知識に則り、アカウント移管実行の責任は組織内のロールに基づいて制限されます。たとえば、技術者のボルトを移管できるのはエンジニアリングマネージャ、マーケティングコーディネーターのボルトを移管できるのはマーケティングマネージャとなります。
Keeperのセキュリティモデルは、最小権限アクセスに基づいています。最小権限ポリシーを実装しており、ユーザーが複数のロールのメンバーである場合はそのユーザーには最も限定的なポリシーが適用されることになります。グループの管理は、職務権限やその他の基準に基づいて委任したり制限したりできます。
アカウント移管を行うと元に戻せません。アカウントを移管すると元のアカウントは削除され、ボルトのレコードは別のユーザーアカウントに転送されます。
企業の安全度評価点の監視
Keeperの委任管理者が組織のセキュリティスコアを監視することにより、パスワードポリシーへの準拠を徹底できます。詳細なレポートによって、是正措置が必要なユーザーが特定されます。レコード内パスワードの強度、マスターパスワードの強度、2要素認証の使用状況はすべて「セキュリティ監査」タブで監視でき、組織のセキュリティスコアの要素となります。
イベントログの監査とフォレンジック分析の実行
高度なレポートとアラートモジュール
Keeperの高度なレポートとアラートモジュール (ARAモジュール) は、75種類以上のイベントを対象としたイベントログとイベント追跡機能、イベント別アラート送信機能、イベントを外部システムにレコードする機能を備えています。
レポートは、各列にフィルターを設定して何を表示するかを指定することでカスタマイズできます。レポートは、イベントの種類 (ポリシーの変更、共有、ログインなど)、ユーザー、属性 (ノード、デバイス、場所など) に基づいて、フィルタリングして保存できます。
アラートは、ロールポリシーの変更、特権パスワードアクセスなど、任意のイベントに基づいて発動させられます。アラートはSMSやメールで送信でき、管理者コンソールでも閲覧できます。
ARAモジュールは、サードパーティ製のセキュリティ情報/イベント管理 (SIEM) ツールと統合することで外部にログできるようになります。以下は統合の例となります。
Splunk
Sumo Logic
Amazon S3
IBM QRadar
ARAモジュールは、75種類以上のイベント (マスターパスワードの失効、マスターパスワードの変更、レコードの共有、2要素認証の無効化など) に対応し、これらのイベントはSplunk、Sumo、QRadarなどの一般的なSIEM製品に自動的にプッシュ配信できます。
最近のアクティビティ
「最近のアクティビティ」レポートは、イベントログとフォレンジック分析の機能を備えており、コーポレートガバナンスと監査要件を満たしながら、セキュリティを強化し、不正行為を防止することができます。イベントはゼロ知識を維持しながらシステム全体で追跡されます。保管されているボルトの情報を閲覧できるのは、個々のレコードを復号化するための共有権または所有権を持つ特権ユーザに限定されます。
最終更新