Keeperの機能の最適化するのに役に立つ情報
以降のページでは、よくある質問、ウェブサイト特有のガイド、ヒントを集めました。ご意見やご質問がございましたら、弊社のサポートチーム宛てにメール (feedback@keepersecurity.com) にてご相談ください。
ボルトへのアクセスを保護するための推奨事項
Keeperの基盤は、顧客データを保護するためのポリシーとコントロールを備えた暗号化プラットフォームであることです。このセキュリティモデルでは、ユーザーも推奨されるセキュリティ慣行に従って、ボルトへのアクセスを保護する責任を負うことになります。ユーザーのボルト内に保存されたデータを保護するために推奨されることを以下にまとめました。
マスターパスワードを使用してKeeperにログインするユーザーの場合、データキーを復号化および暗号化するためのキーは、パスワードベースのキー導出関数 (PBKDF2) を使用してマスターパスワードから導き出され、デフォルトでは1,000,000回の反復が行われます。ボルトにログインするユーザーは全員自動的に1,000,000回の反復へ移行します。
ユーザーがマスターパスワードを入力すると、キーがローカルで取得され、ユーザーの256ビットAESデータキーがアンラップされます。データキーは復号化された後、個々の256ビットAESレコードキーとフォルダキーのラップを解除するために使用されます。その後、レコードキーによって保存されている各レコードコンテンツがローカルで復号化されます。
Keeperには、Amazon AWS環境での不正アクセス、デバイス認証、スロットリング、その他の保護に対して軽減策が実装されています。強力なマスター パスワードの複雑性を適用すると、暗号化されたボルトに対するオフラインでのブルートフォース攻撃 (総当たり攻撃) のリスクが大幅に軽減されます。
米国国立標準技術研究所 (NIST) では、Special Publication 800-63Bでパスワードのガイドラインを規定しており、使いやすさとセキュリティの間のバランスを奨励しています。つまり、パスワードは覚えやすいものであるべきですが、同時に推測されにくいものでなければなりません。NISTの指示では最低8文字を推奨していますが、文字数を増やすと最終的にパスワードの推測や解読が困難となりますので、Keeperでは最低 12文字のマスター パスワードを使用します。
2FAは、どの個人向けアカウントにもビジネス向けアカウントにも追加できますが、ビジネスユーザーは、さまざまな段階での制御およびセキュリティオプションを備えた2FAの使用を必須にすることが可能です。2FAは、マスターパスワードの入力の前に行われます。マスターパスワード入力前にデバイス認証と2FAを実行することで、ブルートフォース攻撃、パスワードテスト、アカウント列挙などの攻撃を軽減できます。
二要素認証を有効にするには、Keeperウェブボルト、Keeperデスクトップ、モバイルアプリの設定画面へアクセスします。
Keeperでは、2つ目の要素としてYubiKeyやGoogle Titanキーなど、FIDO2互換のWebAuthnハードウェアのセキュリティキーにも対応していますので、安全かつ便利に2FAを行う手段としてご検討いただけます。
メールアカウントへのアクセスは、個人情報を保護する上で重要な要素となります。メールアカウントには、Keeperで作成した強力な自動生成パスワードを使用するようにし、さらに多要素認証も利用するようにしましょう。メールプロバイダからの手順に従って、可能な限り制限のある方法でアカウントを保護します。
可能でしたら、ハードウェアのYubikeyやGoogle Titanキーを使用してメールアカウントを保護することを推奨します。メールプロバイダから利用できない場合、あるいはYubikeyを所有していない場合、次善の策としてはTOTPコードジェネレーターの使用が挙げられます。
Keeperは、メールアカウントやその他のサービスにログインするためのTOTPコードを保存する機能を備えています。Keeperボルト内でのTOTPコードの保護の詳細については、こちらをご参照ください。
2FAにSMSを使用することについては何もしないよりは良いとは言え、SIMスワップ詐欺が発生しておりますので注意が必要です。
一般的なセキュリティ慣行として、広告ブロッカー、クーポンツール、便利なツールなど、サードパーティのブラウザ拡張機能のインストールには細心の注意を払うようにします。ブラウザ拡張機能の多くは、アクセスするウェブサイトまたはブラウザベースのアプリケーション内のあらゆる情報にアクセスできるよう、高度なアクセス許可を必要とします。ブラウザ拡張機能が信頼できる開発元によるものであることを確かにし、インストール前に開発元のセキュリティ認定を確認するようにしましょう。
その他のセキュリティ関連の質問がございましたら、お気軽に弊社 (security@keepersecurity.com) までメールでお問い合わせください。
本ガイドでは、新機能のログイン状態を維持を有効にする方法とログアウトタイマーを延長する方法について解説します。
デフォルトでは、ブラウザを閉じるかコンピュータを再起動する際に、Keeperからログアウトします。Keeperの新機能である「ログイン状態を維持」を使用すると、ブラウザやコンピュータを再起動しても、ボルトへのログイン状態を維持できます。Keeperウェブボルト、Keeperデスクトップ、KeeperFillから、「ログイン状態を維持」を有効にする方法について解説します。
KeeperウェブボルトまたはKeeperデスクトップにサインインし、アカウントのドロップダウンメニュー (右上のメールアドレスが表示されている箇所) > [設定] > [セキュリティ]の順にクリックし、[ログイン状態を維持]をONにします。
「自動ログアウト」設定も有効することを推奨します。それにより、デバイスから離れている際のセキュリティが強化されます。これは「非アクティブログアウトタイマー」とも呼ばれ、非アクティブのまま一定時間経過するとKeeperから自動的にログアウトします。タイマーは希望の期間に設定でき、ブラウザを閉じてもカウントダウンは続きます。
KeeperFillをダウンロードした場合、KeeperFillのセキュリティ設定メニューから自動ログアウトを設定できます (詳細については以下をご参照ください)。
法人向けKeeperの管理者が、ビジネスユーザーに対して組織のセキュリティ設定に基づいて本機能を無効にしたり制限したりできます。
KeeperFillをダウンロードすると、KeeperFillのセキュリティ設定メニューから[ログイン状態を維持]および[ログアウトタイマー]の両方の機能を有効にできます。
[設定] > [セキュリティ]の順にクリックし、[ログイン状態を維持]と[ログアウトタイマー]を有効または無効にします。また、ログアウトタイマーを任意の期間に設定することもできます。
Keeperのログイン状態維持機能には、Login API V3が使用されています。 本機能を使用する場合、ユーザーのマスターパスワードはデバイスまたはコンピュータに保存されません。ボルトは、高度な暗号化、セッション管理トークン、デバイス認証機能を利用して保護されます。
Keeperを使用すると、ウェブサイトやサービスへの多要素認証に使用するTOTPコードを保護できます。
現代のデジタル社会において、オンラインアカウントのセキュリティを確保することは非常に重要です。多要素認証 (MFA) は、アカウントにアクセスする際にパスワードとタイムベースワンタイムパスワード (TOTP) を要求することで、追加の保護層を提供します。KeeperはこのTOTPコードを保存、自動入力することで、迅速かつ安全な認証プロセスを実現します。
Keeperは、二要素認証 (2FA) によるセキュリティ強化のために、タイムベースワンタイムパスワード (TOTP) をサポートしています。TOTPコードをKeeperに統合することで、ログイン情報と一緒に安全にレコード内に保存することができます。この統合により、TOTPコードが必要なウェブサイトやサービスに対して、コードを簡単に取得できるようになり、ログイン手順がスムーズになります。
たとえば、Office 365やGoogle Workspaceなどのサービスで多要素認証 (MFA) を有効にすると、通常はQRコードをスキャンするか、シークレットキーを認証アプリに入力するよう求められます。Keeperを使用すれば、これらのTOTPキーを自分のボルト (保管庫) に直接保存することができます。QRコードをスキャンするか、シークレットキーをKeeperに入力すると、TOTPコードが安全に保存され、必要なときにすぐに使用できるようになります。
ログイン情報とタイムベースワンタイムパスワード (TOTP) コードをKeeperに保存しておくと、ブラウザ拡張機能のKeeperFillが、二要素認証 (2FA) が必要なサイトへのログイン時に、該当するTOTPコードを自動で入力してくれます。
ログイン先のウェブサイトに対して、Keeperボルトにログイン情報とTOTPコードの両方が保存されている場合、Keeperは自動的にTOTPフィールドを検出し、正しいコードを入力してくれます。
二要素認証コードは、右クリックのコンテキストメニューから直接選択して入力することもできます。TOTPフィールド上で右クリックし、Keeperをクリック、その後、該当するレコード名と二要素認証コードを選んでフィールドに入力してください。
ブラウザのツールバーにあるKeeperFillのメニューから、自分のアカウントをクリックすることでもTOTPコードにアクセスできます。拡張機能は、現在表示しているウェブページに関連付けられた最も適切なレコードを表示し、正しいログイン情報や二要素認証コードを簡単に確認・入力できます。
そこから、ログイン情報とTOTPコードの両方を自動入力することも、TOTPコードを手動でコピーして該当のフィールドに貼り付けることもできます。
KeeperのAndroid、iOS向けモバイルアプリは、TOTPコードの管理においてスムーズな操作体験を提供します。
iOS
TOTPコードの自動入力 ログイン情報とTOTPコードがKeeperボルトに保存されている場合、Keeperの自動入力拡張機能であるKeeperFillは、ウェブサイトやアプリにログインする際に、キーボードの上部に適切なレコードを提案します。 もしKeeperが自動でレコードを一致させられない場合は、キーボード右上の鍵アイコンや[パスワード]ボタンから拡張機能を手動で起動し、目的のレコードを検索して選択できます。
TOTPコードのコピー TOTPを含むレコードを表示すると、ブラウザ拡張機能内の[入力]ボタンをタップすることで、コードが自動的にクリップボードにコピーされ、必要なフィールドにすぐ貼り付ける準備が整います。 また、レコード内の二要素認証コード (two-factor code) フィールドを直接タップすることでも、TOTP コードをデバイスのクリップボードにコピーできます。
Android
TOTPコードの自動入力 TOTPコードが必要なウェブサイトやアプリにログインする際、Keeperボルトに該当するレコードが保存されていれば、Keeperはキーボードの上部に適切なレコードを提案します。
TOTPコードのコピー 二要素認証コードが自動的にコピーされない場合は、Keeper内のTOTPフィールドをタップしてください。タップ後、コードをクリップボードにコピーしたことを知らせる通知が表示され、すぐに貼り付けて使用できます。
モバイル端末とデスクトップデバイス間でTOTPコードが異なるという問題に遭遇した場合、通常はデバイス間の時間差によって引き起こされています。TOTPコードは時刻に基づいて生成されるため、数秒でも時間が異なると、デバイスごとに異なるコードが表示されることになります。
解決方法
デバイスの時刻を「自動設定」にする モバイル端末とデスクトップの両方で、信頼できるタイムサーバーと時刻を自動的に同期する設定にしてください。ほとんどのデバイスでは、日付と時刻の設定内にある「自動設定」オプションを有効にすることで設定できます。
iOS/Android の場合 デバイスの「設定」アプリを開き、「日付と時刻」の設定に進み、「自動設定」を有効にしてください。
デスクトップの場合 コンピューターの「日付と時刻」設定を確認し、正しいタイムゾーンとタイムサーバーと同期されているかを確認してください。
これにより、すべてのデバイスで TOTP コードが正しく同期され、ログイン時に正しいコードを入力できるようになります。
KeeperはTOTPコードを安全に保存、管理しますが、セキュリティを最大限に高めるために、以下の追加の対策も併せて実践しましょう。
TOTP キーは絶対に共有しない TOTPのシークレットキーは個人のセキュリティ情報です。Keeper内のみに保存し、他人と共有しないようにしてください。
強力なマスターパスワードを使用する Keeperのボルトは、マスターパスワードによって保護されています。簡単に推測されない、強力でユニークなパスワードを使用して、ボルトの安全性を確保しましょう。
Keeperを使ってTOTPコードを保存、自動入力することで、アカウントに追加のセキュリティ層を加えるだけでなく、二要素認証 (2FA) のプロセスもスムーズに行えるようになります。 Keeperはブラウザやモバイル端末と連携して動作するため、TOTPコードの管理が手間なく行え、ログイン情報や認証コードを安全に保護しながら効率的に利用できます。
Keeperを使用してTOTPコードを管理し、Office 365アカウントを保護する方法。
KeeperのTOTP (タイムベースワンタイムパスワード) 機能を使用することで、Azure AD / Office 365へのログイン情報を保護できます。Microsoftでは、デフォルトでプッシュメソッドに対応した別のコード形式を利用します。Office 365 TOTPコードをセットアップる手順を以下で解説します。
Microsoft Azure/Office 365のプロファイル画面で、セキュリティ設定画面にアクセスします(Microsoftのサイトは頻繁に変更されますので、ハイパーリンクは追加していません)。 [メソッドの追加]をクリックして、Microsoftアカウントに二要素認証を設定します。
[別の認証アプリを使用する]を選択します。
QRコードが生成されて表示されます。
Keeperレコードで、[二要素認証コードの追加]をクリックします。 モバイルアプリをご使用の場合は、[二要素認証コードの追加]をタップしてカメラでスキャンすることもできます。
Keeperアプリに表示された確認コードを入力します
[次へ]をクリックして、Keeperボルトにレコードを保存します。
セットアップを終了する前に、Keeperのレコードを必ず保存します
使用しているあらゆるMicrosoftサイトで自動入力が機能するよう、Keeperのレコードに以下のようなカスタムフィールドを追加することを推奨します。
Microsoft Onlineにログインする際、Keeperの右クリックメニューを使用してTOTPコードを入力します。
KeeperFillには、任意のウェブサイトのパスワードの変更およびパスワードローテーションに対応する独自の機能が用意されています。
KeeperFillを使用してウェブサイトにログインします。
ウェブサイトのパスワードの変更ページにアクセスします。
Keeperの画面の指示に沿ってパスワードを変更します。
以下はTwitterを使用したパスワード変更の例となります。
エンタープライズ/ビジネスユーザーが、無料のKeeperファミリープランを作成・使用する方法
ビジネスでKeeperをご利用のお客様はどなたでも無料でKeeperファミリープランをご利用いただけます。このプランではデバイス数無制限で最大5人のご家族でご利用いただけます。
以下は個人用ボルト (保管庫) の作成手順となります。
このボルトは個人使用に限られます。業務関連の機密情報はすべて、所属する組織が発行したボルトに保存しましょう。
ビジネス用アカウントからKeeperウェブボルトまたはデスクトップアプリにログインします。
アカウントのドロップダウンメニュー (右上のメールアドレスが表示されている箇所) をクリックします。
[アカウント]を選択します。
「個人用Keeperファミリーライセンス」に個人で使用しているメールアドレスを入力して、[メール送信]をクリックします。
アカウントのドロップダウンメニュー > [ログアウト]をクリックして、ビジネスボルトからログアウトします。
個人用メールアドレス宛てに送信されたKeeperからの招待メールを開き、[今すぐログイン]をクリックします。
個人用アカウントのマスターパスワードを作成すると、[登録]にリダイレクトされます。
お使いのパソコンで、個人用メールアドレスに送信されたリンクからアカウントを作成すると、ご利用中のKeeperビジネス用ボルトと同じ地域のデータセンターに適切にルーティングされることから、パソコンを使用して個人用Keeperボルトを作成することをお勧めします。
モバイル端末を使用して個人用ボルトを作成する場合は、以下をご参照ください。
iOS、Android端末で個人用アカウントを作成する場合は、データセンターの場所がご利用中のKeeperビジネス用ボルトと同じであることをご確認ください。
誤った地域のデータセンターを選択して個人用Keeperアカウントを設定した場合、Keeperサポートへお問い合わせの上アカウントを削除し、作成し直す必要があります。
個人用アカウントを作成すると、ビジネス用ボルトのアカウントメニューに表示されるようになります。
ビジネスアカウントにリンクされた個人用アカウントは、Keeperファミリープランのアカウントとしてライセンス付与され、10GBのファイルストレージとBreachWatchダークウェブモニタリングがご利用になれます。
ご利用中のビジネスアカウントを管理する組織や会社は、個人用アカウントに保存されている情報へのアクセスはできず、情報を復号化することはできません。
リンクされた個人用アカウントは、ビジネスアカウントが有効な限りデバイス数は無制限で無料でご利用になれます。
組織を去る場合や組織がKeeperのサブスクリプションを更新しなかった場合、家族向けライセンスはKeeper無料版サブスクリプションに移行します。 1台のデバイスで個人用ライセンスを引き続き利用することも、ファミリープランやアンリミテッドプランを購入してすべてのプレミアム機能を使用することも可能です。
ビジネスアカウントの管理者によって、ビジネスアカウントからリンクされた個人用アカウントへはレコードを共有できないように設定されていることがあります。
業務関連の機密情報はすべて、個人用アカウントではなく、所属する組織が発行したアカウントに保存する必要があります。
ユーザーは、ウェブボルト、iOS、Androidの各Keeperボルト内ででビジネス/エンタープライズアカウントと個人用アカウントを切り替えることができます。
ウェブボルトでの場合
アカウントのドロップダウンメニュー (右上のメールアドレスが表示されている箇所) をクリックします。
アカウント画面の[サブスクリプション]> [アカウントを切り替える]の順にクリックします。
切り替えたいアカウントを選択すると、そのアカウントにリダイレクトされます。
マスターパスワードを使用してサインインします。
一部のウェブサイトでは、それらのドメインには全く同じログイン情報が必要となるドメイン (ウェブサイトアドレス) が複数使用されています。その場合は、別個のレコードを作成する必要はなく、1つのレコードに複数のウェブサイトドメインを格納できます。
その場合は、どのドメインからログインしてもKeeperFillがそのドメインをエイリアスと認識し、格納されているログイン情報を使用してログインできるようになります。
以下は、1つのレコードに複数のウェブサイトドメインを格納する手順となります。
レコードを表示して、編集ボタンをクリックします。
[カスタムフィールドを追加する]をクリックします。
カスタムフィールドタイプからURLを選択します
[ログインURL]にサイトの別のドメイン名を入力します。
[保存]をクリックして完了します。
[カスタムフィールドを追加する]を再度クリックして、他のドメインに対して同じ手順を繰り返します。
ウェブサイトのフォームフィールドにKeeperのカギアイコンが表示されない場合は、そのフィールドを右クリックすると、KeeperFill機能が使えるコンテキストメニューが表示されます。コンテキストメニューでは、ログイン情報、クレジットカード、住所の入力や、パスワードの新規作成ができます。
KeeperFillの右クリックコンテキストメニューには、以下の機能があります。
レコードのログインフィールドの入力
クレジットカードフィールドの入力
請求先フィールドと住所フィールドの入力
TOTPコードの入力
レコードの新規作成
拡張機能ウィンドウを開く
ウェブボルトの起動
アカウントからのログアウト
KeeperデスクトップでWindows Hello生体認証ログインを設定
Keeperは生体認証ベースの技術であるWindows Helloに対応しており、顔認証、指紋リーダー、暗証番号によってWindowsデバイスを認証してログインできます (Windows 10で利用可能)。Windows Helloをユーザーのデバイスで設定してKeeperで有効化すると、Keeperログイン画面でマスターパスワードの入力が不要になり、ログイン処理さらに迅速になります。
Windows Helloの有効化
アカウントのドロップダウンメニュー (右上のメールアドレスが表示されている箇所) を開きます。
[セキュリティ] > [設定]をクリックします。
Windows HelloによるログインをONにします。
警告通知を読み、[有効にする]をクリックして同意します。
お使いのデバイスでWindows Helloが未設定の場合、ポップアップ表示されWindowsの設定を開いて設定するための案内が表示されます。Windows Helloの設定が完了すると設定ウィンドウを閉じてボルトに戻り、上記の手順3と手順4を続行します (Windows Helloの有効化)。
それ以降Keeperにログインする際には、Windows HelloがまずIDの認証を試行します。認証が完了するとボルトが復号化され、Keeperに自動的にログインします。
マスターパスワードを使用してログインするには、[キャンセル]をクリックしてログイン画面に戻ります。
MacでTouch IDを使ってKeeperにログインする方法
KeeperはMac OSのTouch IDに対応しており、指紋を使用してのデバイスの認証とログインが可能です。Touch IDがユーザーのデバイスで設定されKeeperでも有効になっている場合、Keeperログイン画面ではSSOもマスターパスワードも必要がなくなるので、さらに素早くログインできるようになります。
Touch IDを有効にするには、アカウントドロップダウンメニューから、[設定] > [セキュリティ]をクリックし、「Touch ID」をオンにします。
MacでTouch IDがまだ設定されていない場合、まずデバイスの設定からTouch IDを有効にする必要があります。Touch IDの設定が完了すると、設定ウィンドウを閉じてボルトに戻り、上記の手順を実行します。
それ以上Keeperにログインする際、ログイン画面からTouch IDアイコンをタップしてください。認証されるとボルトが復号化され、自動的にKeeperにログインします。
[キャンセル]をクリックするとログイン画面に戻り、マスターパスワードまたはSSOでログインできます。
Windows Helloを使用した、シングルサインオンに紐付けられたボルトへのログイン
KeeperはWindows HelloやTouch IDでMicrosoft AzureなどのSSOプロバイダに紐付けられているボルトへのログインに対応しています。以下はこの機能を設定するための手順となります。
通常どおりSSOを使用してボルトにログインし、アカウントのドロップダウンメニュー (右上のメールアドレスが表示されている箇所) > [設定] > [セキュリティ]の順にクリックします。
Windows Hello (Macをご使用の場合はTouch ID) を有効にします。以前にこの設定を使用されたことがある場合、デバイス上のマスターパスワード保管場所をリセットするために、一旦OFFにしてからONにする必要があります。
それ以降デスクトップアプリにログインする際には、ログイン画面で「Windows Hello」または「Touch ID」のロゴをクリックします。
これで、Windows Helloを使用してボルトにログインできるようになり、常にSSOプロバイダを使用してログインする必要がなくなります。
Windows Helloでログインしようとしたときにエラーが発生した場合、Windows Hello設定をOFFにしてからONにしてください。
二要素認証にDUOを使用してログイン (エンタープライズユーザー向け)
以下の動画で、ウェブボルト、iOS、AndroidでKeeperアカウントへのログイン時に二要素認証でDUOを設定する手順を紹介しています。エンタープライズユーザー向けのDUOによる二要素認証について、詳しくはこちらのページをご参照ください。
DUOからのログインリクエストを受け取るには、お使いのモバイル端末でDUOとKeeperの両方からの通知をONにしておく必要があります。iOSを使用している場合、画面に表示されるDUOからの通知をタップして処理を進めてください。
DUOからのログインリクエストを受け取るには、お使いのモバイル端末でDUOとKeeperの両方からの通知をONにしておく必要があります。画面に表示されるDUOからの通知をタップして本人確認を進めてください。
DUOからのログインリクエストを受け取るには、お使いのモバイル端末でDUOとKeeperの両方からの通知をONにしておく必要があります。