セキュリティアーキテクチャ

Keeper Connection Managerのセキュリティと暗号化モデル

Keeperはデータ保護に最優先で取り組んでいます

Keeperは、ゼロトラストフレームワークとゼロ知識セキュリティアーキテクチャを活用した、業界最高水準のセキュリティを採用して、お客様のインフラストラクチャを保護し、データ侵害のリスクを軽減します。

概要

Keeper Security, Inc. (KSI) は、Keeper Desktopおよびモバイルセキュリティソフトウェアを使用して、お客様の情報とインフラストラクチャの保護に真剣に取り組んでいます。何百万人もの利用者や企業がKeeperを信頼して、リモートシステム、パスワード、個人情報を保護し、アクセスしています。 Keeperのソフトウェアは、最新の技術と保護をお客様に提供するために常に強化および更新されています。このページでは、Keeperのセキュリティアーキテクチャと暗号化技法の概要を説明します。

システムアーキテクチャ

Keeper Connection Managerゲートウェイは、お客様が完全にホスティングするプラットフォームで、クラウドであるか、オンプレミスであるか、仮想であるかの環境は問いません。Keeperではインストール方法に、Docker自動インストールとDocker Composeインストールがご利用になれます。

Dockerコンテナは、以下のような複数のコアコンポーネントで構成されています。

Apache Guacamoleウェブアプリケーションソフトウェア
Apache Guacamole「guacd」プロトコルサービス
SSLターミネーションとリバースプロキシ用のNGINX
Apache Tomcatサービス
MySQL、PostgreSQLなどの対応データベース

SAML 2.0/SSO、OpenID Connect、TOTP、ボルト連携およびコンポーネントなどのEnterprise機能をサポートする追加パッケージは、パッケージインストーラーの一部として、または個別のアドオンコンポーネントとしてご利用になれます。

Apache Guacamole™

Keeper Connection Manager (旧Glyptodon) を開発したKeeper Securityの技術チームは、オープンソースのApache Guacamoleプロジェクトの開発者かつ主要なメンテナーです。Keeper Securityは、オープンソースコミュニティとApache Guacamoleリモートデスクトップソフトウェアを使用する何百万人ものユーザーをサポートすることを誇りに思います。

最小権限アクセス

Keeper Connection Managerに含まれるパッケージは、セキュリティ、特に最小権限の原則に関するベストプラクティスに準拠するように設計されています。これは、Keeper Connection Managerパッケージによって自動的に作成されるユーザーとグループを使用した、きめ細かな権限の委任と、厳格なファイルアクセス許可によって実現されます。

本番構成

Keeper Connection Managerを本番環境に導入する準備ができたら、SSL暗号化を設定することが非常に重要です。サーバーのSSL証明書を取得して、Keeper Connection Managerのトラフィックをすべて暗号化する必要があります。

Docker自動インストールまたはDocker Composeインストールメソッドを使用して、Keeper Connection Managerをデプロイした場合は、SSLがすでに設定されている可能性があります。

アップグレード方法

Docker自動インストールバージョンをデプロイするお客様は、組み込みの更新機能を使用できます。
Docker Composeインストールバージョンをデプロイするお客様は、Docker更新機能を使用できます。

コンプライアンスと監査

SOC 2認証に適合

お客様のボルトの記録は、厳重に監視された内部管理手法によって保護されています。Keeperは、米国公認会計士協会 (AICPA) のSOC (Service Organization Control) フレームワークに従って、SOC 2 Type 2適合として認定されています。SOC 2認証は、AICPAのトラストサービスの原則フレームワークで定義された標準化統制の実装によって、ボルトの安全性を確保するのに役立ちます。

ISO 27001認証 (情報セキュリティ管理システム)

Keeper SecurityはISO 27001認証を受けており、Keeper EnterpriseプラットフォームをサポートするKeeper Security情報管理システムも含まれます。KeeperのISO 27001認証は、デジタルボルトとクラウドサービスの管理と運用、ソフトウェアとアプリケーションの開発、デジタルボルトとクラウドサービスのデジタル資産の保護を含めて評価されています。

KeeperはGDPRに準拠し、欧州連合のお客様のために当社の業務プロセスと製品がコンプライアンスを維持し続けるように尽力しています。KeeperのGDPR準拠の詳細とデータ処理契約のダウンロードについては、こちらをクリックしてください。

患者の医療データの保護

Keeperのソフトウェアは、医療保険の携行性と責任に関する法律 (Health Insurance Portability and Accountability Act、HIPAA) およびデータ保護法 (Data Protection Act、DPA) を制限なく含む、世界的な医療データ保護基準に準拠しています。

HIPAA準拠および事業提携契約

Keeperは、SOC 2認証およびISO 27001認証を取得したゼロ知識セキュリティプラットフォームで、HIPAAに準拠しています。プライバシー、機密性、完全性、可用性に対する、厳格な遵守と管理が維持されます。このセキュリティアーキテクチャでは、ユーザーのKeeperボルトに保存されたePHIを含むすべての情報をKeeperが復号化、表示、アクセスすることはできません。前述の理由により、KeeperはHIPAAに定義された事業提携者ではないため、事業提携契約の対象とはなりません。

医療機関および医療保険会社に対するその他のメリットの詳細は、セキュリティ情報の開示をお読みになり、をご覧ください。

ペネトレーションテスト

Keeperは、NCC GroupやCybertestなどの第三者の専門家と四半期ごとにペネトレーションテストを実施しています。さらに、Keeperは独立したセキュリティ研究者と協力し、Bugcrowdのバグ発見報奨金プログラムを利用して、すべての製品およびシステムに対してテストを行っています。

第三者によるセキュリティスキャンおよびペネトレーションテスト

Keeper Securityの環境はTrustedSiteによって毎日テストされ、KeeperウェブアプリケーションとKSIのCloud Security Vaultが既知のリモートエクスプロイト、脆弱性、サービス拒否攻撃から安全であることが保証されます。外部からの包括的なセキュリティスキャンは、Keeperウェブサイト、Keeperウェブアプリケーション、およびKeeper Cloud Security Vaultに対して、TrustedSiteにより毎月実行されます。また、Keeperのスタッフが必要に応じて外部スキャンを定期的に開始します。

支払い処理とPCI準拠

Keeper Securityは、PayPalとStripeを使用して、KSIの決済ウェブサイトを介してクレジットカードやデビットカードの支払いを安全に処理しています。PayPalとStripeは、PCI-DSSに準拠した取引処理ソリューションです。Keeper SecurityはPCI-DSS準拠の認定を受けています。

EU米国間プライバシーシールド

Keeper ウェブクライアント、Androidアプリ、Windows Phoneアプリ、iPhone/iPadアプリ、ブラウザ拡張機能は、米国商務省のEU-米国間のプライバシーシールドプログラムに準拠した、プライバシーシールド認定を受けており、データ保護に関する欧州委員会の指令にも適合しています。米国商務省の米プライバシーシールドプログラムの詳細については、https://www.privacyshield.govをご参照ください。

FIPS 140-2検証

Keeperは、FIPS140-2 検証済み暗号化モジュールを利用して、政府および公共部門の厳しいセキュリティ要件に対応しています。Keeperの暗号化は、NIST CMVPの認証を取得しており、FIPS 140規格に対してもサードパーティの認定研究所による検証済みです。Keeperは、NIST CMVPから証明書#3967が発行されています。FIPSの効果を最大限に高めるために、KCMバージョン2.9.6以降で以下の強化を実施しました。

SSHおよびRDP接続に対するFIPS準拠サポートの強化
準拠した接続を確立できない場合のログメッセージの向上

米国商務省からEARに従った輸出許可を取得

Keeperは、米国商務省産業安全保障局の認定を受けており、輸出規制品目分類番号は5D992に当たり、米国輸出管理規則 (Export Administration Regulations、EAR) に準拠しています。EARの詳細は、https://www.bis.doc.govをご参照ください。

24時間365日体制のリモート監視

Keeperは、国際的なサードパーティの監視ネットワークによって24時間365日監視されており、弊社のウェブサイトとCloud Security Vaultが世界中で利用できることを保証しています。セキュリティ情報の開示に関するご質問がございましたら、こちらから弊社までお問い合わせください。

フィッシングやなりすましメール

KSIから送信されたと称するメールを受信し、それが正当なものかどうかわからない場合は、送信者のメールアドレスを偽装した (なりすました) 「フィッシングメール」の可能性があります。その場合、メールにKeeperSecurity.comのように見えても実際は弊社のものではないウェブサイトへのリンクが記載されていることがあります。そのようなウェブサイトでは、Keeper Securityのマスターパスワードを要求したり、個人情報を盗んだり、コンピュータにアクセスしようとして、コンピュータに不要なソフトウェアをインストールしようとしたりすることがあります。他にも、危険と思われる他のウェブサイトにリダイレクトされるおそれのあるリンクが記載されたメールもあります。メッセージには添付ファイルが付いている場合があり、通常、「マルウェア」と呼ばれる不要なソフトウェアが仕込まれています。受信トレイに受信したメールが信頼できない場合は、リンクをクリックしたり添付ファイルを開いたりせずに削除してください。 KSIから送信されたように見えても偽装であると思われるメールに遭遇された場合や、KSIに関連するセキュリティ上の懸念がございましたら、こちらから弊社までお問い合わせください。

最も厳しい業界標準に認定されたホスティングインフラストラクチャ

Keeper Connection Managerをホストするのは、お客様となります。Keeperのウェブサイトとクラウドストレージは、安全なAmazon Web Services (AWS) クラウドコンピューティングインフラストラクチャ上で運用されます。KeeperのシステムアーキテクチャをホストするAWSクラウドインフラストラクチャは、以下のサードパーティの認証、レポート、および認定に適合していることが証明されています。

SOC 1 / SSAE 16 / ISAE 3402 (SAS70)
SOC 2
SOC 3
PCI DSS Level 1
ISO 27001
FedRamp
DIACAP
FISMA
ITAC
FIPS 140-2
CSA
MPAA

脆弱性レポートおよびバグ発見報奨金プログラム

Keeper Securityは、セキュリティのリスクをしっかり開示するという業界のベストプラクティスに真剣に取り組んでいます。弊社は、お客様のセキュリティとプライバシーを重視し、お客様のプライバシーおよび個人情報の保護に努めています。KSIの使命は、世界で最も安全で革新的なセキュリティアプリケーションを開発することであり、世界中のセキュリティ研究者のコミュニティから寄せられるバグレポートは、KSIの製品とサービスのセキュリティを確保するための貴重な構成要素であると考えています。

ユーザーの安全を守ることは、組織としての基本的価値観です。弊社は、善意の研究者からの情報を重視し、サイバーセキュリティコミュニティとの関係を継続することで、研究者のセキュリティとプライバシーが確保され、インターネットがより安全な場所になると信じています。しっかりしたセキュリティテストとセキュリティ上の脆弱性情報の開示を促進することもその一部です。

Keeper Connection Managerチームは、セキュリティ上の脆弱性が新たに公開されていないか、アップストリームのApache Guacamoleプロジェクトを絶えず注視し、通常のリリースサイクル以外でセキュリティ更新プログラムをリリースするための手順を整えています。Guacamoleに脆弱性が見つかった場合、その脆弱性のパッチはKeeper Connection Managerのリポジトリを通じて即座に公開され、インストールメソッドに基づくアップグレード手順を実行して自動的に適用できます。