# セキュリティアーキテクチャ
## Keeperはデータ保護に最優先で取り組んでいます
Keeperは、ゼロトラストフレームワークとゼロ知識セキュリティアーキテクチャを活用した、業界最高水準のセキュリティを採用して、お客様のインフラストラクチャを保護し、データ侵害のリスクを軽減します。
### 概要
Keeper Security, Inc. (KSI) は、Keeperデスクトップおよびモバイルセキュリティソフトウェアを使用して、お客様の情報とインフラストラクチャの保護に真剣に取り組んでいます。何百万人もの利用者や企業がKeeperを信頼して、リモートシステム、パスワード、個人情報を保護し、アクセスしています。\
\
Keeperのソフトウェアは、最新の技術と保護をお客様に提供するために常に強化および更新されています。このページでは、Keeperのセキュリティアーキテクチャと暗号化技法の概要を説明します。
### システムアーキテクチャ
Keeperコネクションマネージャーゲートウェイは、お客様が完全にホスティングするプラットフォームで、クラウドであるか、オンプレミスであるか、仮想であるかの環境は問いません。Keeperではインストール方法に、[Docker自動インストール](/keeper-connection-manager/jp/installation/auto-docker-install.md)と[Docker Composeインストール](/keeper-connection-manager/jp/installation/docker-compose-install.md)がご利用になれます。
Dockerコンテナは、以下のような複数のコアコンポーネントで構成されています。
* Apache Guacamoleウェブアプリケーションソフトウェア
* Apache Guacamole「guacd」プロトコルサービス
* SSLターミネーションとリバースプロキシ用のNGINX
* Apache Tomcatサービス
* MySQL、PostgreSQLなどの対応データベース
SAML 2.0/SSO、OpenID Connect、TOTP、ボルト連携およびコンポーネントなどのエンタープライズ機能をサポートする追加パッケージは、パッケージインストーラーの一部として、または個別のアドオンコンポーネントとしてご利用になれます。
アーキテクチャ図
### Apache Guacamole™
Keeperコネクションマネージャー (旧Glyptodon) を開発したKeeper Securityの技術チームは、オープンソースの[Apache Guacamole](https://guacamole.apache.org/)プロジェクトの開発者かつ主要なメンテナーです。Keeper Securityは、オープンソースコミュニティとApache Guacamoleリモートデスクトップソフトウェアを使用する何百万人ものユーザーをサポートすることを誇りに思います。
### 最小権限アクセス
Keeperコネクションマネージャーに含まれるパッケージは、セキュリティ、特に[最小権限の原則](https://ja.wikipedia.org/wiki/%E6%9C%80%E5%B0%8F%E6%A8%A9%E9%99%90%E3%81%AE%E5%8E%9F%E5%89%87)に関するベストプラクティスに準拠するように設計されています。これは、Keeperコネクションマネージャーパッケージによって自動的に作成されるユーザーとグループを使用した、きめ細かな権限の委任と、厳格なファイルアクセス許可によって実現されます。
### 本番構成
Keeperコネクションマネージャーを本番環境に導入する準備ができたら、SSL暗号化を設定することが非常に重要です。サーバーのSSL証明書を取得して、Keeperコネクションマネージャーのトラフィックをすべて暗号化する必要があります。
[Docker自動インストール](/keeper-connection-manager/jp/installation/auto-docker-install.md)または[Docker Composeインストール](/keeper-connection-manager/jp/installation/docker-compose-install.md)メソッドを使用して、Keeperコネクションマネージャーをデプロイした場合は、SSLがすでに設定されている可能性があります。
### アップグレード方法
* Docker自動インストールバージョンをデプロイするお客様は、[組み込みの更新機能](/keeper-connection-manager/jp/installation/auto-docker-install/upgrading.md)を使用できます。
* Docker Composeインストールバージョンをデプロイするお客様は、[Docker更新機能](/keeper-connection-manager/jp/installation/docker-compose-install/upgrading.md)を使用できます。
### コンプライアンスと監査
#### SOC 2認証に適合
お客様のボルトのレコードは、厳重に監視された内部管理手法によって保護されています。Keeperは、米国公認会計士協会 (AICPA) のSOC (Service Organization Control) フレームワークに従って、SOC 2 Type 2適合として認定されています。SOC 2認証は、AICPAのトラストサービスの原則フレームワークで定義された標準化統制の実装によって、ボルトの安全性を確保するのに役立ちます。
#### ISO 27001認証 (情報セキュリティ管理システム)
Keeper SecurityはISO 27001認証を受けており、KeeperエンタープライズプラットフォームをサポートするKeeper Security情報管理システムも含まれます。KeeperのISO 27001認証は、デジタルボルトとクラウドサービスの管理と運用、ソフトウェアとアプリケーションの開発、デジタルボルトとクラウドサービスのデジタル資産の保護を含めて評価されています。
#### GDPR準拠
KeeperはGDPRに準拠し、欧州連合のお客様のために当社の業務プロセスと製品がコンプライアンスを維持し続けるように尽力しています。KeeperのGDPR準拠の詳細とデータ処理契約のダウンロードについては、[こちらをクリック](https://www.keeper.io/hubfs/PDF/Keeper-DPA-9.15.20.pdf)してください。
#### 患者の医療データの保護
Keeperのソフトウェアは、医療保険の携行性と責任に関する法律 (Health Insurance Portability and Accountability Act、HIPAA) およびデータ保護法 (Data Protection Act、DPA) を制限なく含む、世界的な医療データ保護基準に準拠しています。
#### HIPAA準拠および事業提携契約
Keeperは、SOC 2認証およびISO 27001認証を取得したゼロ知識セキュリティプラットフォームで、HIPAAに準拠しています。プライバシー、機密性、完全性、可用性に対する、厳格な遵守と管理が維持されます。このセキュリティアーキテクチャでは、ユーザーのKeeperボルトに保存されたePHIを含むすべての情報をKeeperが復号化、表示、アクセスすることはできません。前述の理由により、KeeperはHIPAAに定義された事業提携者ではないため、事業提携契約の対象とはなりません。
医療機関および医療保険会社に対するその他のメリットの詳細は、[セキュリティ情報の開示](https://www.keepersecurity.com/ja_JP/security.html)をお読みになり、[エンタープライズガイド](https://docs.keeper.io/enterprise-guide/jp/)をご覧ください。
#### ペネトレーションテスト
Keeperは、[NCC Group](https://www.nccgroup.com/)や[Cybertest](https://www.cybertest.com/)などの第三者の専門家と四半期ごとにペネトレーションテストを実施しています。さらに、Keeperは独立したセキュリティ研究者と協力し、[Bugcrowdのバグ発見報奨金プログラム](https://bugcrowd.com/keepersecurity)を利用して、すべての製品およびシステムに対してテストを行っています。
#### 第三者によるセキュリティスキャンおよびペネトレーションテスト
Keeper Securityの環境はTrustedSiteによって毎日テストされ、KeeperウェブアプリケーションとKSIのCloud Security Vaultが既知のリモートエクスプロイト、脆弱性、サービス拒否攻撃から安全であることが保証されます。\
\
外部からの包括的なセキュリティスキャンは、Keeperウェブサイト、Keeperウェブアプリケーション、およびKeeper Cloud Security Vaultに対して、TrustedSiteにより毎月実行されます。また、Keeperのスタッフが必要に応じて外部スキャンを定期的に開始します。
#### 支払い処理とPCI準拠
Keeper Securityは、PayPalとStripeを使用して、KSIの決済ウェブサイトを介してクレジットカードやデビットカードの支払いを安全に処理しています。PayPalとStripeは、PCI-DSSに準拠した取引処理ソリューションです。Keeper SecurityはPCI-DSS準拠の認定を受けています。
#### EU米国間プライバシーシールド
Keeper ウェブクライアント、Androidアプリ、Windows Phoneアプリ、iPhone/iPadアプリ、ブラウザ拡張機能は、米国商務省のEU-米国間のプライバシーシールドプログラムに準拠した、プライバシーシールド認定を受けており、データ保護に関する欧州委員会の指令にも適合しています。\
米国商務省の米プライバシーシールドプログラムの詳細については、[https://www.privacyshield.gov](https://www.privacyshield.gov/)をご参照ください。
#### FIPS 140-2検証
Keeperは、FIPS140-2 検証済み暗号化モジュールを利用して、政府および公共部門の厳しいセキュリティ要件に対応しています。Keeperの暗号化は、NIST CMVPの認証を取得しており、FIPS 140規格に対してもサードパーティの認定研究所による検証済みです。Keeperは、NIST CMVPから[**証明書#3967**](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3976)が発行されています。FIPSの効果を最大限に高めるために、KCMバージョン2.9.6以降で以下の強化を実施しました。
* SSHおよびRDP接続に対するFIPS準拠サポートの強化
* 準拠した接続を確立できない場合のログメッセージの向上
#### 米国商務省からEARに従った輸出許可を取得
Keeperは、米国商務省産業安全保障局の認定を受けており、輸出規制品目分類番号は5D992に当たり、米国輸出管理規則 (Export Administration Regulations、EAR) に準拠しています。EARの詳細は、[https://www.bis.doc.gov](https://www.bis.doc.gov/policiesandregulations/index.htm#ear)をご参照ください。
#### 24時間365日体制のリモート監視
Keeperは、国際的なサードパーティの監視ネットワークによって24時間365日監視されており、弊社のウェブサイトとCloud Security Vaultが世界中で利用できることを保証しています。\
\
セキュリティ情報の開示に関するご質問がございましたら、[こちらから](https://www.keepersecurity.com/ja_JP/support.html?t=p)弊社までお問い合わせください。
#### フィッシングやなりすましメール
KSIから送信されたと称するメールを受信し、それが正当なものかどうかわからない場合は、送信者のメールアドレスを偽装した (なりすました) 「フィッシングメール」の可能性があります。その場合、メールにKeeperSecurity.comのように見えても実際は弊社のものではないウェブサイトへのリンクが記載されていることがあります。そのようなウェブサイトでは、Keeper Securityのマスターパスワードを要求したり、個人情報を盗んだり、コンピュータにアクセスしようとして、コンピュータに不要なソフトウェアをインストールしようとしたりすることがあります。他にも、危険と思われる他のウェブサイトにリダイレクトされるおそれのあるリンクが記載されたメールもあります。メッセージには添付ファイルが付いている場合があり、通常、「マルウェア」と呼ばれる不要なソフトウェアが仕込まれています。 受信トレイに受信したメールが信頼できない場合は、リンクをクリックしたり添付ファイルを開いたりせずに削除してください。\
\
KSIから送信されたように見えても偽装であると思われるメールに遭遇された場合や、KSIに関連するセキュリティ上の懸念がございましたら、[こちらから](https://www.keepersecurity.com/ja_JP/support.html?t=p)弊社までお問い合わせください。
#### 最も厳しい業界標準に認定されたホスティングインフラストラクチャ
Keeperコネクションマネージャーをホストするのは、お客様となります。Keeperのウェブサイトとクラウドストレージは、安全なAmazon Web Services (AWS) クラウドコンピューティングインフラストラクチャ上で運用されます。KeeperのシステムアーキテクチャをホストするAWSクラウドインフラストラクチャは、以下のサードパーティの認証、レポート、および認定に適合していることが証明されています。
* SOC 1 / SSAE 16 / ISAE 3402\
(SAS70)
* SOC 2
* SOC 3
* PCI DSS Level 1
* ISO 27001, 27017, 27018
* FedRamp High
* DIACAP
* FISMA
* ITAC
* FIPS 140-2
* CSA
* MPAA
### 脆弱性レポートおよびバグ発見報奨金プログラム
Keeper Securityは、セキュリティのリスクをしっかり開示するという業界のベストプラクティスに真剣に取り組んでいます。弊社は、お客様のセキュリティとプライバシーを重視し、お客様のプライバシーおよび個人情報の保護に努めています。KSIの使命は、世界で最も安全で革新的なセキュリティアプリケーションを開発することであり、世界中のセキュリティ研究者のコミュニティから寄せられるバグレポートは、KSIの製品とサービスのセキュリティを確保するための貴重な構成要素であると考えています。
ユーザーの安全を守ることは、組織としての基本的価値観です。弊社は、善意の研究者からの情報を重視し、サイバーセキュリティコミュニティとの関係を継続することで、研究者のセキュリティとプライバシーが確保され、インターネットがより安全な場所になると信じています。しっかりしたセキュリティテストとセキュリティ上の脆弱性情報の開示を促進することもその一部です。
Keeperコネクションマネージャーチームは、セキュリティ上の脆弱性が新たに公開されていないか、アップストリームのApache Guacamoleプロジェクトを絶えず注視し、通常のリリースサイクル以外でセキュリティ更新プログラムをリリースするための手順を整えています。Guacamoleに脆弱性が見つかった場合、その脆弱性のパッチはKeeperコネクションマネージャーのリポジトリを通じて即座に公開され、インストールメソッドに基づくアップグレード手順を実行して自動的に適用できます。
#### ガイドライン
Keeperの脆弱性開示ポリシーには、善意の研究者と連携する際に期待することと、KSIに期待できることが規定されています。
セキュリティテストとレポートがこのポリシーのガイドラインに沿って行われる場合、以下をお約束します。
* コンピュータ詐欺・不正利用防止法に基づいて、承認されたものと見なします。
* デジタルミレニアム著作権法 (DMCA) の適用除外であると見なし、セキュリティや技術に関する制御を回避したことで訴えられることはありません。
* 合法的な行為と見なし、このプログラムに関連するいかなる法的措置を遂行することも支援することもありません。
* 問題を迅速に把握して解決するためにご協力します。
* 問題の最初の報告者であり、その問題に基づいてコードまたは設定が変更された場合は、その貢献を公に認めます。
いかなる時点においても、このポリシーのガイドラインおよび適用範囲に沿った方法でのテストについて懸念や不明点がある場合は、続行する前にまでお問い合わせください。
善意のセキュリティテストと発見された脆弱性情報の開示を奨励するために、弊社から下記のお願い事項がございます。
* プライバシーの侵害、ユーザー体験の毀損、本番システムや企業システムへの妨害、データの破壊は慎むこと。
* 調査は、Bugcrowd脆弱性情報公開プログラム (下記のリンク) で規定された範囲内でのみ行い、範囲外のシステムや業務に立ち入らないこと。
* テスト中にユーザーデータを目にした場合は、まで直ちに連絡すること。
* 脆弱性の発見を公表する前に、報告された問題を分析、確認、解決するための適切な時間の猶予を与えること。
#### レポートの送信
KeeperはBugcrowdと提携して、脆弱性情報開示プログラムを管理しています。
レポートの提出は、[こちら](https://bugcrowd.com/keepersecurity)からお願いします。
### その他の情報
Keeper Securityは、ゼロ知識セキュリティアーキテクチャとゼロトラストフレームワークを活用した、業界最高水準のセキュリティを採用しています。Keeperのゼロ知識暗号化モデルに関するその他の技術資料については、以下のリンクからご参照ください。
[Keeperの暗号化モデル](/enterprise-guide/jp/keeper-encryption-model.md)
[シークレットマネージャー暗号化モデル](/enterprise-guide/jp/keeper-encryption-model.md#secrets-manager-encryption-model)
[セキュリティ情報開示ページ](https://www.keepersecurity.com/ja_JP/security.html)
[製品ドキュメント](https://newdocs.keeper.io/jp/)
[システムステータス](https://statuspage.keeper.io/)
[リリースノート](https://docs.keeper.io/release-notes/jp/)
Keeperは、SOC 2 Type 2およびISO 27001の認証を取得しており、FedRAMP Highの認可も受けています。お客様は、相互NDA (秘密保持契約) を締結することで、各種認証レポート、第三者によるペネトレーションテストレポート、および技術アーキテクチャに関するドキュメントへのアクセスを申請できます。
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/keeper-connection-manager/jp/security.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.