HONDA LABO

本田研究室

トップ > Keeper > Keeperのトライアルをしてみる

Keeperのトライアルをしてみる

Keeper

パスワードマネージャーのKeeperのトライアルをしてみました。Keeperを知ったきっかけは、毎度おなじみ、クラウドネイティブさんのYoutubeです。

クラウドネイティブさんのYoutubeほんとすごいです。毎度、めちゃ勉強になります。


www.youtube.com

 

パスワードマネージャーの必要性

動画の冒頭に出てくるのですが、SSOをしていればパスワードマネージャーなんて不要かというと、なかなかそうはいかないです。実際には、

  • そもそもSSOに対応していない かつ、業務で利用するサービスがある(例:Facebook、Twitter、銀行・・・)
  • SaaSを契約する際に、SSOに対応しているライセンスにしようとすると、エンタープライズライセンスが必要。高くて、お金的にムリ。。。

などがあり、完全にSSOに寄せる(パスワードを撤廃する)のは難しいのが実情です。もちろんSSOに寄せたほうが安全なのですが、パスワードはどうしても残ってしまいます。

そこで出てくるのがせめてパスワードを安全に守っていこうよという考え方です。具体的には、以下のようなポイントがあると思います

  • 複雑なパスワードを設定する
  • パスワードの使いまわしはしない
  • 外部に漏洩しないようにする(退職者の考慮を含む)
  • パスワードの共有が必要な際に、安全に共有できるような仕組みを設ける

これらのポイントを、運用に耐えられる形で実現する必要があります。そしてそれを実現してくれるのがパスワードマネージャーのKeeperです。

 

Keeperでどのようにパスワードを安全に守るのか

さて、ではKeeperが備えるパスワードを安全に守る機能について見ていきたいと思います。

1. 複雑なパスワードを設定 / 使いまわし回避

これは比較的簡単で、パスワードの自動生成機能を利用すれば良いです。サービスごとに複雑なパスワードを自動生成すれば、パスワードが簡単になることも、使いまわしされることもありません。

2. 外部への漏洩防止 / 安全なパスワード共有

KeeperはSSO連携が可能です。IDaaSからSSO連携しないと、Keeperにログインできないように設定しておけば、例えば退職者が出た際にも、Keeperにログインできなくなり、パスワードを入力することができなくなります。

さらにKeeperは、パスワードのエクスポートを禁止したり、パスワードを伏字にして共有することができたりします。これらの機能を組み合わせることで、パスワードの漏洩を防止することができます。

一点、注意するとすれば、デベロッパーツールなどでパスワードを知られてしまう点です。これは僕も冒頭の動画で知ったのですが、デベロッパーツールなどを利用することで、パスワードマネージャーが自動入力した値を知ることができるそうです。これの対策が必要な場合は、デベロッパーツールを禁止するなど別の角度からの対策が必要になります。

 

Keeperのすごい機能

1. OTPの共有

次は、Keeperの機能について書きたいと思います。2段階認証をあきらめるケースとして、アカウントは共通のサービスで、2段階認証を設定してしまうと、みんなで使えなくなるから設定できないというケースがあると思います。たとえば、銀行のサイトなどです。

Keeperの場合、アカウント作成の際などに表示されるQRコードをKeeperで読み込むことで、Authenticatorのワンタイムパスワードを共有することができます。

これを利用すれば、いままで2段階認証をあきらめていたサービスでも設定することができるかもしれません。

2. パスワードの監査も可能

これはEnterpriseプランの機能となってしまうそうなのですが、パスワード利用の監査も行うことが可能です。「いつ」「どこで」「誰が」使ったかを確認することができるとのこと。

これらの情報がKeeperに保存される期間は比較的短いらしいのですが、外部のSIEMなどに保存することも可能とのこと(連携の機能があります)。動画の後半でAzure Sentinelとの連携をしているので、ぜひご参照ください。

3. 家族アカウントもついてくる

Keeperのビジネスプランを契約した場合、家族アカウントとして、個人のKeeperアカウントを1ユーザーあたり5つまで作成することが可能です。

さらに、個人アカウントから会社アカウントへの、パスワードの共有が設定できるとのこと。動画でも出ていましたが、GithubやFacebook、Twitterなどのアカウントを業務で利用する場合に、重宝する機能です。なお、会社アカウントから個人アカウントへの共有は禁止することが可能とのこと。

 

トライアルをしてみる

さて、僕はKeeperのトライアルを以下から申し込みました。申込み後、すぐにトライアルを開始する事ができます。

https://www.keepersecurity.com/ja_JP/

これから動画で紹介されていた機能をどんどんためしていこうと思うのですが、いまいま確認できた点は、家族アカウントの招待はトライアルではできないこと。

ビジネスアカウントを契約することで、家族アカウントの招待が可能になりました。トライアル中は、以下の青枠内が表示されなかったのですが、契約後に表示されるようになりました。

いろいろ試しながら記事をアップしていきたいと思います。Docsはこちらにございましたので、読み進めながら検証していきたいと思います。

docs.keeper.io

もちろん検証を進めながら考えをまとめていきたいのですが、SSOを中心にしつつ、パスワードが必要なサービスを利用するユーザーにはKeeperを配るというのが、最終的には良いのかな・・・