ユースケース
このドキュメントでは、Keeper Enterprise製品の最も一般的なユースケースを取り上げます。
エンドユーザーボルト
Keeper Enterprise製品を導入すると、ユーザーごとに安全な個人用Keeperボルトが利用できます。Keeperは、あらゆる種類のデバイス、プラットフォーム、オペレーティングシステムで動作し、以下の機能を有します。
あらゆる種類のデバイスでの強力なパスワードの作成と管理
ファイルやその他の個人情報の安全な保存
ウェブブラウザ、アプリ、モバイルデバイスでのパスワードの自動入力
ユーザーやチーム間での機密情報の共有
ゼロ知識ボルトを従業員に展開
Keeperのゼロ知識に基づく、安全なボルトは複数の暗号化レイヤーで保護されています。ユーザーごとのボルトは、ローカルデバイス上のデータの暗号化と復号化に使用されるマスターパスワードによって保護されます。さらに、二要素認証によってクラウドへのアクセスを保護します。ボルトの主なセキュリティ機能の一部を以下に紹介します。
ユーザーのマスターパスワードは、PBKDF2を使用して暗号化鍵を導出するために使用されます。この暗号化鍵でユーザーのボルトを暗号化および復号化します。
ボルトに保存された各パスワードとファイルは、個別の強力な256ビットAESキーで保護されます。
Keeper SSO Connect統合を使用してログインするユーザーは、マスターパスワードは不要です。暗号化鍵がEnterpriseによって管理されるためです。便宜上、管理者はボルトへの生体認証ログインを許可できます(Face ID/Touch ID、Windows Helloなど)。
強力なパスワードの生成
ウェブサイトごとにランダムに生成された強力なログインパスワードを作成することは、データ侵害、パスワードスタッフィング、パスワードスプレー攻撃から保護するうえで大変重要です。Keeperのパスワード生成機能と監査機能により、会社全体でパスワードに関するコンプライアンスを徹底できます。
あらゆるプラットフォームとデバイスを保護
Keeperは、あらゆるデバイスおよびオペレーティングシステムでパスワードと個人情報を保護します。Keeper Securityのウェブサイトやすべての主要なアプリストアから導入することもできます。SCCMの導入や仮想環境(Citrixなど)にも完全に対応しています。
Keeper® Desktopアプリ
Keeperボルトへの高速かつ安全なアクセスを実現する、Keeperのすべての機能を備えたデスクトップアプリケーション。
KeeperFill®
KeeperFillブラウザ拡張は、お気に入りのウェブサイトにログイン認証情報をすばやく自動入力します。
Keeper®モバイルアプリ
Keeperボルトへの高速かつ安全なアクセスを実現する、Keeperのすべての機能を備えたモバイルアプリケーション。
KeeperFill®でウェブサイトのパスワードを自動入力
ウェブブラウザ用のKeeperFillは、強力で使いやすい自動入力機能を提供します。ブラウザ拡張では、以下のような様々な方法やシナリオに対応しています。
ログインとパスワードの入力
同じウェブサイトの複数のパスワードから選択
ログインとパスワードの自動入力
入力プロンプト、または手動クリックによる入力
入力時に新しいパスワードをボルトに保存
ブラウザ拡張の動作のカスタマイズは、拡張機能の設定メニューから指定できます。
KeeperFillでパスワードを変更し、セキュリティを監視する
KeeperFillを使用すると、パスワードを簡単に変更できます。サイトの「パスワードの変更(Change Password)」フォームにアクセスすると、Keeperからパスワード変更の補助が必要かを尋ねるプロンプトが表示されます。同意すると、パスワードを変更し、同時にボルト内の記録を更新するための簡単な手順が表示されます。さらに、ボルト内でKeeperのセキュリティ監査機能を使用すると、どのアカウントが脆弱なパスワードを使用しているかを特定し、それらを変更するために必要な措置を講じることができます。
アプリ用KeeperFillでネイティブデスクトップアプリケーションに自動入力
アプリ用KeeperFillは、すべての機能を備えたKeeper Desktopアプリの操作性をさらに向上させるために使用する便利なツールです。アプリ用KeeperFillをデスクトップアプリケーションと組み合わせて使用することで、簡単なログインソリューションとボルトの記録への迅速なアクセスを実現します。
さらに、アプリ用KeeperFillは、簡単なホットキーコマンドを使用した、ネイティブアプリのフォームへの独自の強力な入力機能を提供します。リモートサービスにアクセスしているIT管理者はこの機能を利用できるため、 「コピー」 や 「貼り付け」 に頼らずに済みます。すべてのパスワードをボルトに保存し、アプリ用KeeperFillを使用すれば、アプリケーションのパスワードも平文で無防備なままになることはないのでご安心ください。
アプリ用KeeperFillは、MacとPCの両方のプラットフォームで、以下のような一般的なネイティブアプリケーションに対応しています。
Skype、Slack、Evernoteなどの生産性向上アプリ
カスタムアプリケーションや独自アプリケーション
リモートデスクトップ、VNC、ターミナルなどのコマンドラインユーティリティ
アプリ用KeeperFillは、Keeper Desktopアプリ内の設定 > KeeperFillで設定できます。起動すると、コンピュータのメニューバー(MacOS)やシステムトレイ(Windows)からおなじみのKeeperアイコンを使用してアクセスできます。
Keeperの高度なユーザーインターフェース機能で整理された効率的な状態を維持
フォルダとサブフォルダ
フォルダとサブフォルダ(またはフォルダ内のフォルダ)を使用すると、個人のKeeperの記録とファイルをよりきめ細かく管理して整理できます。サブフォルダを使用すると、チームやアカウントタイプをまたいでも整理を進められます。
グリッド表示レイアウト
グリッド表示を使用すると、記録をグラフィカルなタイル形式で表示できます。このタイル形式では、人気のウェブサイトのロゴがきれいにまとめて表示されます。グリッド表示にするには、ボルトのグリッドアイコンをクリックするだけです。
記録の履歴
記録に変更を加えるたびに、バックアップバージョンが作成され、いつでも表示や復元ができます。同様に、削除した記録も復元でき、保存できる記録のバージョンの数に制限はありません。
ショートカット
記録は、フォルダの外部、フォルダの内部、または共有フォルダの内部に配置できます。記録は、複数のフォルダや共有フォルダにリンクすることも可能で、 「ショートカット」 と呼ばれます。エイリアスファイルのようなショートカットは複数の場所に配置でき、編集すると、まとめて変更されます。
機密ファイル、画像、ビデオの保護
Keeperに搭載されたセキュアファイルストレージによって、機密ファイル、画像、ビデオを保護できます。パスワードの暗号化技術と同様に、Keeperはレコードレベルの鍵を使用した256ビットAES暗号化によってこれらのファイルを保護します。ファイルを簡単にボルトに直接ドラッグアンドドロップしたり、モバイルデバイスから直接写真やビデオを撮影することもできます。これらのファイルは、他のKeeperユーザーとボルトごとに簡単かつ安全に共有できます。
ボルトに保存されるファイルの例を以下に示します。
顧客情報
財務書類および銀行取引書類
所得税申告書
医療関係の画像およびビデオ
証明書とSSH鍵を安全に保護
信頼を悪用する攻撃の脅威の増大により、重要なシステムへのアクセス手段としてデジタル証明書と鍵に大きく依存しているIT組織にセキュリティ上のリスクが拡大しつつあります。Keeperは、256ビットAESゼロ知識暗号化を使用して証明書と鍵を保護します。格納できる証明書の種類を以下に例示します。
SSL証明書
SSH鍵
RSA鍵ペア
コード署名証明書
APIキー
証明書とSSH鍵は、Keeperボルトの任意の記録にカスタムフィールド、ノート、または添付ファイルとして格納できます。
SSH鍵は格納するだけでなく、安全に接続を確立するために使用できます。
DevOpsユーザー向けのコマンドラインSDKおよびツールキットである、Keeper Commanderを使用すれば、格納されたクレデンシャルやSSH鍵でリモートシステムに接続できます。
Keeper Commanderを使用した接続の確立について詳しくは、こちらをクリックしてください。
同僚やチームとパスワードを共有する
Keeperは、RSA暗号化を使用してパスワードやファイルを共有します。パスワードやファイルは、別のKeeperユーザーまたはチームと直接共有できます。内部的には、情報は受信者の公開鍵で暗号化され、秘密鍵で復号化されます。ユーザーへの許可(編集可、共有可、編集および共有可、読み取り専用)は、個々のユーザーまたはユーザーのチームに割り当てることができます。
表示、編集、共有の権限セットは、個々のユーザに適用できます。共有フォルダのアクセス権限によって、フォルダ、ユーザー、記録の管理を制御できます。
チームは、Keeper Admin Consoleで作成および管理します。また、Active Directoryブリッジソフトウェア、SCIMプロトコル、またはKeeper Commander SDKを使用して、チームを自動的にプロビジョニングすることもできます。
業務情報と個人情報の分離
Keeper Enterpriseには、管理者がエンドユーザーのボルトを休止したり、移管したりするためのメカニズムが搭載されているため、エンドユーザーは業務用のボルトと個人用のボルトを分離しておくことをお勧めします。これは、Keeperのアカウント切替機能を使用すれば、簡単に実現できます。どのプラットフォームでも、業務用ボルトと個人用ボルトを簡単に切り替えられます。
既存のIDプロバイダを使用してログインする
Keeper SSO Connect技術の採用により、エンドユーザーは既存の任意のSAML 2.0準拠IDプロバイダ(Okta、Centrify、Microsoft AD FS/Azure、G-Suite、JumpCloud、F5 BIG-IP APNなど)を使用して、Keeperボルトにシームレスにログインできます。
この機能がKeeperの管理者によって有効化されると、すべてのデバイスタイプおよびプラットフォームでシームレスにログインできます。または、最初にIDプロバイダにログインしてから、Keeperボルトを起動することもできます。
管理と展開
Keeper Enterpriseには、ウェブベースの管理者コンソールアプリケーションが搭載されています。管理者は、管理者コンソールを使用して以下の操作を実行できます。
ユーザーの登録と削除
ロールベースの強制ポリシーの適用
二要素認証の管理
組織の安全度評価点の監視
エンドユーザー体験のカスタマイズ
ユーザーの管理と登録
Keeper Admin Consoleには、組織の規模に応じてKeeperをユーザーに展開するためのソリューションがいくつか用意されています。以下のいずれかの方法でユーザーをプロビジョニングできます。
ADブリッジを使用したActive DirectoryかLDAP同期
シングルサインオン(SAML 2.0)
SCIMとAzure AD
メールアドレスで自動プロビジョニング
CSVファイルのアップロード
ウェブインターフェースからの手動入力
Keeper Commander SDKによるコマンドラインプロビジョニング
組織単位(ノード)ごとに異なる方法でプロビジョニングできます。たとえば、単一組織単位に属するエンドユーザーはActive Directoryで登録でき、別のユーザーグループはMicrosoft AzureやOktaなどのIDプラットフォームでプロビジョニングできます。
ロールベースのユーザーへの許可を強制する
Keeperのロールベースの強制ポリシーによって組織は、内部統制のニーズに合わせてソリューションをカスタマイズできる最高の柔軟性が得られます(具体例は以下)。
マスターパスワードの複雑さルール
二要素認証チャネル
物理的な場所、IPアドレス、デバイスプラットフォーム
共有とデータエクスポートのルール
デバイスの生体認証
管理上の許可は、ロールレベルでも適用されます。管理上の許可を持つロールはすべて、Keeper Admin Consoleにログインして特定のジョブ機能を実行できます。
従業員の退社時にボルトを移管する
従業員の退社時に大切なのは、重要で機密性の高いデータを保持することです。管理や経営の立場にあるユーザーの場合は特に重要です。
Keeperの安全な「アカウント移管」機能を使用すると、ユーザーのボルトをロックして組織内の別のユーザーに移管できます。このアカウント移管プロセスは完全にゼロ知識を守り、アカウント移管の実行責任は組織内のロールに基づいて制限されます。たとえば、技術者のボルトを移管できるのは、エンジニアリングマネージャのみで、マーケティングコーディネータのボルトを移管できるのは、マーケティングマネージャのみです。
Keeperのセキュリティモデルは、最小権限アクセスに基づいています。つまり、Keeperは最小権限ポリシーを実装しているため、ユーザーが複数のロールのメンバーである場合、そのユーザーに最終的に適用されるポリシーは最も限定的なものになります。グループの管理は、ジョブ機能またはその他の基準に基づいて委任および制限できます。
アカウント移管操作は、一方向です。アカウントを移管すると、元のアカウントは削除され、ボルトの記録は別のユーザーアカウントに転送されます。
企業の安全度評価点の監視
委任されたKeeperの管理者が組織の安全度の総合点を監視することにより、パスワードポリシーへの準拠を徹底できます。詳細レポートによって、是正措置が必要なユーザーが特定されます。記録のパスワードの強度、マスターパスワードの強度、および二要素認証の使用状況はすべて、セキュリティ監査タブで監視でき、組織の安全度を採点する要素になります。
イベントログの監査とフォレンジック分析の実行
高度なレポートとアラートモジュール
Keeperの高度なレポートとアラートモジュール(ARAモジュール)は、75種類以上のイベントを対象としたイベントロギングとログイベント追跡機能、イベントベースのアラート送信機能、およびイベントを外部システムに記録する機能を備えています。
管理者は、フィルタリングして各列に表示する条件を指定することで、カスタマイズしたレポートを作成できます。レポートは、イベントの種類(ポリシーの変更、共有、ログインなど)、ユーザー、および属性(ノード、デバイス、場所など)に基づいて、フィルタリングして保存できるようになりました。
アラートは、ロールポリシーの変更、特権パスワードアクセス、またはその他のセキュリティイベントなど、任意のイベント基準に基づいて発行できます。アラートはSMSやメールで送信でき、管理者コンソールインターフェースでも表示できます。
ARAモジュールは、サードパーティ製のセキュリティ情報/イベント管理(SIEM)ツールと統合され、外部にロギングできます。以下の統合例を示します。
Splunk
Sumo Logic
Amazon S3
IBM QRadar
ARAモジュールは、75種類以上のイベント(マスターパスワードの期限切れ、マスターパスワードの変更、記録の共有、二要素認証の無効化など)に対応し、Splunk、Sumo、QRadarなどの一般的なSIEM製品に自動的にプッシュ配信可能です。
最近のアクティビティ
Keeperの「最近のアクティビティ」 レポートによって、コーポレートガバナンスと監査要件に準拠するためのイベントのロギングとフォレンジック分析が可能になります。イベントは、ゼロ知識を維持しながらシステム全体で追跡されます。保存されたボルトの情報を確認できるのは、個々のボルトの記録を復号化するための共有権または所有権を持つ特権ユーザに限定されます。
Last updated