Keeperの機能の最適化するのに役に立つ情報
以降のページでは、よくある質問、ウェブサイト特有のガイド、ヒントを集めました。ご意見やご質問がございましたら、弊社のサポートチーム宛てにメール (feedback@keepersecurity.com) にてご相談ください。
ボルトへのアクセスを保護するための推奨事項
Keeperの基盤は、顧客データを保護するためのポリシーとコントロールを備えた暗号化プラットフォームであることです。このセキュリティモデルでは、ユーザーも推奨されるセキュリティ慣行に従って、ボルトへのアクセスを保護する責任を負うことになります。ユーザーのボルト内に保存されたデータを保護するために推奨されることを以下にまとめました。
マスターパスワードを使用してKeeperにログインするユーザーの場合、データキーを復号化および暗号化するためのキーは、パスワードベースのキー導出関数 (PBKDF2) を使用してマスターパスワードから導き出され、デフォルトでは1,000,000回の反復が行われます。ボルトにログインするユーザーは全員自動的に1,000,000回の反復へ移行します。
ユーザーがマスターパスワードを入力すると、キーがローカルで取得され、ユーザーの256ビットAESデータキーがアンラップされます。データキーは復号化された後、個々の256ビットAESレコードキーとフォルダキーのラップを解除するために使用されます。その後、レコードキーによって保存されている各レコードコンテンツがローカルで復号化されます。
Keeperには、Amazon AWS環境での不正アクセス、デバイス認証、スロットリング、その他の保護に対して軽減策が実装されています。強力なマスター パスワードの複雑性を適用すると、暗号化されたボルトに対するオフラインでのブルートフォース攻撃 (総当たり攻撃) のリスクが大幅に軽減されます。
米国国立標準技術研究所 (NIST) では、Special Publication 800-63Bでパスワードのガイドラインを規定しており、使いやすさとセキュリティの間のバランスを奨励しています。つまり、パスワードは覚えやすいものであるべきですが、同時に推測されにくいものでなければなりません。NISTの指示では最低8文字を推奨していますが、文字数を増やすと最終的にパスワードの推測や解読が困難となりますので、Keeperでは最低 12文字のマスター パスワードを使用します。
2FAは、どの個人向けアカウントにもビジネス向けアカウントにも追加できますが、ビジネスユーザーは、さまざまな段階での制御およびセキュリティオプションを備えた2FAの使用を必須にすることが可能です。2FAは、マスターパスワードの入力の前に行われます。マスターパスワード入力前にデバイス認証と2FAを実行することで、ブルートフォース攻撃、パスワードテスト、アカウント列挙などの攻撃を軽減できます。
二要素認証を有効にするには、Keeperウェブボルト、Keeper Desktop、モバイルアプリの設定画面へアクセスします。
Keeperでは、2つ目の要素としてYubiKeyやGoogle Titanキーなど、FIDO2互換のWebAuthnハードウェアのセキュリティキーにも対応していますので、安全かつ便利に2FAを行う手段としてご検討いただけます。
メールアカウントへのアクセスは、個人情報を保護する上で重要な要素となります。メールアカウントには、Keeperで作成した強力な自動生成パスワードを使用するようにし、さらに多要素認証も利用するようにしましょう。メールプロバイダからの手順に従って、可能な限り制限のある方法でアカウントを保護します。
可能でしたら、ハードウェアのYubikeyやGoogle Titanキーを使用してメールアカウントを保護することを推奨します。メールプロバイダから利用できない場合、あるいはYubikeyを所有していない場合、次善の策としてはTOTPコードジェネレーターの使用が挙げられます。
Keeperは、メールアカウントやその他のサービスにログインするためのTOTPコードを保存する機能を備えています。Keeperボルト内でのTOTPコードの保護の詳細については、こちらをご参照ください。
2FAにSMSを使用することについては何もしないよりは良いとは言え、SIMスワップ詐欺が発生しておりますので注意が必要です。
一般的なセキュリティ慣行として、広告ブロッカー、クーポンツール、便利なツールなど、サードパーティのブラウザ拡張機能のインストールには細心の注意を払うようにします。ブラウザ拡張機能の多くは、アクセスするウェブサイトまたはブラウザベースのアプリケーション内のあらゆる情報にアクセスできるよう、高度なアクセス許可を必要とします。ブラウザ拡張機能が信頼できる開発元によるものであることを確かにし、インストール前に開発元のセキュリティ認定を確認するようにしましょう。
その他のセキュリティ関連の質問がございましたら、お気軽に弊社 (security@keepersecurity.com) までメールでお問い合わせください。
本ガイドでは、新機能のログイン状態を維持を有効にする方法とログアウトタイマーを延長する方法について解説します。
デフォルトでは、ブラウザを閉じるかコンピュータを再起動する際に、Keeperからログアウトします。Keeperの新機能である「ログイン状態を維持」を使用すると、ブラウザやコンピュータを再起動しても、ボルトへのログイン状態を維持できます。Keeperウェブボルト、Keeper Desktop、KeeperFillから、「ログイン状態を維持」を有効にする方法について解説します。
KeeperウェブボルトまたはKeeper Desktopにサインインし、アカウントのドロップダウンメニュー (右上のメールアドレスが表示されている箇所) > [設定] > [セキュリティ]の順にクリックし、[ログイン状態を維持]をONにします。
「自動ログアウト」設定も有効することを推奨します。それにより、デバイスから離れている際のセキュリティが強化されます。これは「非アクティブログアウトタイマー」とも呼ばれ、非アクティブのまま一定時間経過するとKeeperから自動的にログアウトします。タイマーは希望の期間に設定でき、ブラウザを閉じてもカウントダウンは続きます。
KeeperFillをダウンロードした場合、KeeperFillのセキュリティ設定メニューから自動ログアウトを設定できます(詳細については以下をご参照ください)。
法人向けKeeperの管理者が、ビジネスユーザーに対して組織のセキュリティ設定に基づいて本機能を無効にしたり制限したりできます。
KeeperFillをダウンロードすると、KeeperFillのセキュリティ設定メニューから[ログイン状態を維持]および[ログアウトタイマー]の両方の機能を有効にできます。
[設定] > [セキュリティ]の順にクリックし、[ログイン状態を維持]と[ログアウトタイマー]を有効または無効にします。また、ログアウトタイマーを任意の期間に設定することもできます。
セキュリティ上の理由で、「ログイン状態を維持」を有効化した場合、適切なログアウトタイマーの経過時間を設定することを推奨します。
Keeperのログイン状態維持機能には、Login API V3が使用されています。 本機能を使用する場合、ユーザーのマスターパスワードはデバイスまたはコンピュータに保存されません。ボルトは、高度な暗号化、セッション管理トークン、デバイス認証機能を利用して保護されます。
Keeperを使用すると、ウェブサイトやサービスへの多要素認証に使用するTOTPコードを保護できます。
KeeperFillを使用して、二要素認証 (2FA) に使用されるタイムベースワンタイムパスワード (TOTP) が保存されたレコードを入力できます。
二要素認証コードは、右クリックコンテキストメニューからも入力できます。
こちらは、Twitterを使用したTOTPコードのセットアップデモになります。
モバイル端末とデスクトップデバイス間で二要素認証 (TOTP) が異なるという問題に遭遇した場合、通常はデバイス間の時間差によって引き起こされています。
解消するには、デバイスの時間と日付が「自動」に設定されているようにします。 数秒でも時間が異なると、デバイスごとに異なるコードが表示されることになります。
Keeperを使用してTOTPコードを管理し、Office 365アカウントを保護する方法。
KeeperのTOTP (タイムベースワンタイムパスワード) 機能を使用することで、Azure AD / Office 365へのログイン情報を保護できます。Microsoftでは、デフォルトでプッシュメソッドに対応した別のコード形式を利用します。Office 365 TOTPコードをセットアップる手順を以下で解説します。
Microsoft Azure/Office 365のプロファイル画面で、セキュリティ設定画面にアクセスします(Microsoftのサイトは頻繁に変更されますので、ハイパーリンクは追加していません)。 [メソッドの追加]をクリックして、Microsoftアカウントに二要素認証を設定します。
[別の認証アプリを使用する]を選択します。
QRコードが生成されて表示されます。
Keeperレコードで、[二要素認証コードの追加]をクリックします。 モバイルアプリをご使用の場合は、[二要素認証コードの追加]をタップしてカメラでスキャンすることもできます。
Keeperアプリに表示された確認コードを入力します
[次へ]をクリックして、Keeperボルトにレコードを保存します。
セットアップを終了する前に、Keeperのレコードを必ず保存します
使用しているあらゆるMicrosoftサイトで自動入力が機能するよう、Keeperのレコードに以下のようなカスタムフィールドを追加することを推奨します。
Microsoft Onlineにログインする際、Keeperの右クリックメニューを使用してTOTPコードを入力します。
KeeperFillには、任意のウェブサイトのパスワードの変更およびパスワードローテーションに対応する独自の機能が用意されています。
KeeperFillを使用してウェブサイトにログインします。
ウェブサイトのパスワードの変更ページにアクセスします。
Keeperの画面の指示に沿ってパスワードを変更します。
以下はTwitterを使用したパスワード変更の例となります。
エンタープライズ/ビジネスユーザーが、無料のKeeperファミリープランを作成・使用する方法
ビジネスでKeeperをご利用のお客様はどなたでも無料でKeeperファミリープランをご利用いただけます。このプランではデバイス数無制限で最大5人のご家族でご利用いただけます。
以下は個人用ボルト (保管庫) の作成手順となります。
このボルトは個人使用に限られます。業務関連の機密情報はすべて、所属する組織が発行したボルトに保存しましょう。
ビジネス用アカウントからKeeperウェブボルトまたはデスクトップアプリにログインします。
アカウントのドロップダウンメニュー (右上のメールアドレスが表示されている箇所) をクリックします。
[アカウント]を選択します。
「個人用Keeperファミリーライセンス」に個人で使用しているメールアドレスを入力して、[メール送信]をクリックします。
アカウントのドロップダウンメニュー > [ログアウト]をクリックして、ビジネスボルトからログアウトします。
個人用メールアドレス宛てに送信されたKeeperからの招待メールを開き、[今すぐログイン]をクリックします。
個人用アカウントのマスターパスワードを作成すると、[登録]にリダイレクトされます。
お使いのパソコンで、個人用メールアドレスに送信されたリンクからアカウントを作成すると、ご利用中のKeeperビジネス用ボルトと同じ地域のデータセンターに適切にルーティングされることから、パソコンを使用して個人用Keeperボルトを作成することをお勧めします。
モバイル端末を使用して個人用ボルトを作成する場合は、以下をご参照ください。
iOS、Android端末で個人用アカウントを作成する場合は、データセンターの場所がご利用中のKeeperビジネス用ボルトと同じであることをご確認ください。
誤った地域のデータセンターを選択して個人用Keeperアカウントを設定した場合、Keeperサポートへお問い合わせの上アカウントを削除し、作成し直す必要があります。
個人用アカウントを作成すると、ビジネス用ボルトのアカウントメニューに表示されるようになります。
ビジネスアカウントにリンクされた個人用アカウントは、Keeperファミリープランのアカウントとしてライセンス付与され、10GBのファイルストレージとBreachWatchダークウェブモニタリングがご利用になれます。
ご利用中のビジネスアカウントを管理する組織や会社は、個人用アカウントに保存されている情報へのアクセスはできず、情報を復号化することはできません。
リンクされた個人用アカウントは、ビジネスアカウントが有効な限りデバイス数は無制限で無料でご利用になれます。
組織を去る場合や組織がKeeperのサブスクリプションを更新しなかった場合、家族向けライセンスはKeeper無料版サブスクリプションに移行します。 1台のデバイスで個人用ライセンスを引き続き利用することも、ファミリープランやアンリミテッドプランを購入してすべてのプレミアム機能を使用することも可能です。
ビジネスアカウントの管理者によって、ビジネスアカウントからリンクされた個人用アカウントへはレコードを共有できないように設定されていることがあります。
業務関連の機密情報はすべて、個人用アカウントではなく、所属する組織が発行したアカウントに保存する必要があります。
ユーザーは、ウェブボルト、iOS、Androidの各Keeperボルト内ででビジネス/エンタープライズアカウントと個人用アカウントを切り替えることができます。
ウェブボルトでの場合
アカウントのドロップダウンメニュー (右上のメールアドレスが表示されている箇所) をクリックします。
アカウント画面の[サブスクリプション]> [アカウントを切り替える]の順にクリックします。
切り替えたいアカウントを選択すると、そのアカウントにリダイレクトされます。
マスターパスワードを使用してサインインします。
ご使用のデバイスで切り替えたいアカウントに一度もログインしていない場合は、まず、[アカウントを追加する]を選択して、ログイン情報を入力する必要があります。追加すると、切り替え可能なアカウントのリストに表示されるようになります。
一部のウェブサイトでは、それらのドメインには全く同じログイン情報が必要となるドメイン (ウェブサイトアドレス) が複数使用されています。その場合は、別個のレコードを作成する必要はなく、1つのレコードに複数のウェブサイトドメインを格納できます。
その場合は、どのドメインからログインしてもKeeperFillがそのドメインをエイリアスと認識し、格納されているログイン情報を使用してログインできるようになります。
以下は、1つのレコードに複数のウェブサイトドメインを格納する手順となります。
レコードを表示して、編集ボタンをクリックします。
[カスタムフィールドを追加する]をクリックします。
カスタムフィールドタイプからURLを選択します
[ログインURL]にサイトの別のドメイン名を入力します。
[保存]をクリックして完了します。
[カスタムフィールドを追加する]を再度クリックして、他のドメインに対して同じ手順を繰り返します。
ウェブサイトのフォームフィールドにKeeperのカギアイコンが表示されない場合は、そのフィールドを右クリックすると、KeeperFill機能が使えるコンテキストメニューが表示されます。コンテキストメニューでは、ログイン情報、クレジットカード、住所の入力や、パスワードの新規作成ができます。
KeeperFillの右クリックコンテキストメニューには、以下の機能があります。
レコードのログインフィールドの入力
クレジットカードフィールドの入力
請求先フィールドと住所フィールドの入力
TOTPコードの入力
レコードの新規作成
拡張機能ウィンドウを開く
ウェブボルトの起動
アカウントからのログアウト
KeeperデスクトップでWindows Hello生体認証ログインを設定
Windows Helloは、現在Keeperデスクトップでのみご利用いただけます。
Keeperは生体認証ベースの技術であるWindows Helloに対応しており、顔認証、指紋リーダー、暗証番号によってWindowsデバイスを認証してログインできます (Windows 10で利用可能)。Windows Helloをユーザーのデバイスで設定してKeeperで有効化すると、Keeperログイン画面でマスターパスワードの入力が不要になり、ログイン処理さらに迅速になります。
Windows Helloの有効化
アカウントのドロップダウンメニュー (右上のメールアドレスが表示されている箇所) を開きます。
[セキュリティ] > [設定]をクリックします。
Windows HelloによるログインをONにします。
警告通知を読み、[有効にする]をクリックして同意します。
お使いのデバイスでWindows Helloが未設定の場合、ポップアップ表示されWindowsの設定を開いて設定するための案内が表示されます。Windows Helloの設定が完了すると設定ウィンドウを閉じてボルトに戻り、上記の手順3と手順4を続行します (Windows Helloの有効化)。
それ以降Keeperにログインする際には、Windows HelloがまずIDの認証を試行します。認証が完了するとボルトが復号化され、Keeperに自動的にログインします。
マスターパスワードを使用してログインするには、[キャンセル]をクリックしてログイン画面に戻ります。
2020年3月より、弊社のウェブページまたはMicrosoft StoreからKeeper Desktopをインストールすると、弊社の新しい統合アプリインストーラで、Windows Helloによるログインが利用可能になりました。以前のバージョンをご利用のお客様は、適切なバージョンをインストールすることでWindows Hello機能をご利用になれます。 Windows Hello対応バージョンのKeeperは、以下の2つの方法のいずれかでインストールできます。
1. 弊社のウェブサイトのダウンロードページにあるアプリインストーラーのリンクから 2. Microsoft Store のダウンロードサイトから
MacでTouch IDを使ってKeeperにログインする方法
KeeperはMac OSのTouch IDに対応しており、指紋を使用してのデバイスの認証とログインが可能です。Touch IDがユーザーのデバイスで設定されKeeperでも有効になっている場合、Keeperログイン画面ではSSOもマスターパスワードも必要がなくなるので、さらに素早くログインできるようになります。
Touch IDを有効にするには、アカウントドロップダウンメニューから、[設定] > [セキュリティ]をクリックし、「Touch ID」をオンにします。
MacでTouch IDがまだ設定されていない場合、まずデバイスの設定からTouch IDを有効にする必要があります。Touch IDの設定が完了すると、設定ウィンドウを閉じてボルトに戻り、上記の手順を実行します。
それ以上Keeperにログインする際、ログイン画面からTouch IDアイコンをタップしてください。認証されるとボルトが復号化され、自動的にKeeperにログインします。
[キャンセル]をクリックするとログイン画面に戻り、マスターパスワードまたはSSOでログインできます。
Windows Helloを使用した、シングルサインオンに紐付けられたボルトへのログイン
KeeperはWindows HelloやTouch IDでMicrosoft AzureなどのSSOプロバイダに紐付けられているボルトへのログインに対応しています。以下はこの機能を設定するための手順となります。
通常どおりSSOを使用してボルトにログインし、アカウントのドロップダウンメニュー (右上のメールアドレスが表示されている箇所) > [設定] > [セキュリティ]の順にクリックします。
Windows Hello (Macをご使用の場合はTouch ID) を有効にします。以前にこの設定を使用されたことがある場合、デバイス上のマスターパスワード保管場所をリセットするために、一旦OFFにしてからONにする必要があります。
それ以降デスクトップアプリにログインする際には、ログイン画面で「Windows Hello」または「Touch ID」のロゴをクリックします。
これで、Windows Helloを使用してボルトにログインできるようになり、常にSSOプロバイダを使用してログインする必要がなくなります。
Windows Helloでログインしようとしたときにエラーが発生した場合、Windows Hello設定をOFFにしてからONにしてください。
二要素認証にDUOを使用してログイン (エンタープライズユーザー向け)
以下の動画で、ウェブボルト、iOS、AndroidでKeeperアカウントへのログイン時に二要素認証でDUOを設定する手順を紹介しています。エンタープライズユーザー向けのDUOによる二要素認証について、詳しくはこちらのページをご参照ください。
DUOを使用してログインするために、まずお使いのKeeperアカウントの二要素認証の設定を有効化しましょう。
DUOからのログインリクエストを受け取るには、お使いのモバイル端末でDUOとKeeperの両方からの通知をONにしておく必要があります。iOSを使用している場合、画面に表示されるDUOからの通知をタップして処理を進めてください。
DUOからのログインリクエストを受け取るには、お使いのモバイル端末でDUOとKeeperの両方からの通知をONにしておく必要があります。画面に表示されるDUOからの通知をタップして本人確認を進めてください。
DUOからのログインリクエストを受け取るには、お使いのモバイル端末でDUOとKeeperの両方からの通知をONにしておく必要があります。