Keeperのトライアルをするつもりが、つい契約までしてしまいました。最小契約数は「5」で、年間契約なので、合計25,000円かかりました。。。契約したのはBusinessです。しっかり勉強して元を取りたいと思います。
さて、本題の設定に参りたいと思います。なお、本ブログに記載した設定で発生した問題について筆者はいかなる責任を負うことはできません。あくまで自己責任、参考レベルでお願いします。
Keeperの管理者ガイド
Keeperの管理者ガイドがございます。けっこうよくまとまっている印象です。こちらを読みながら設定していきたいと思います。
ロールの作成
Keeperの主な設定は「ロール」に対して実施していくようです。ロールを作成してみます。ロール名は、管理者ガイドを参考に「General Employee Role」としました。
Keeper Administratorはデフォルトで存在しているロールです。作成したロールをクリックして「強制ポリシー」を更にクリックします。
ボルト機能
第1回目の今回は、ボルト機能について設定していきます。
「アプリ内オンボーディング」の解除をすると、ユーザーが初めてログインしたときの「クイックスタート」が表示されなくなるとのこと。有効にします。
「マスク」関連の設定が3つありますが、すべて有効にしてみました。Keeperではマスクは伏字のことです。ユーザーは、記録内で目のアイコンをクリックすることで伏字を解除できます。ソーシャルエンジニアリング対策ということで有効にしました。
「レポート&アラートおよび接続している外部ログシステムに BreachWatch のイベントを送信」は、「高度なレポート&アラートモジュール」(追加のアドオン)や、外部SIEMに転送する際に必要とのこと。今のところどちらも使っていないので無効のままとしました。
「作成されたパスワードの複雑性」には、グローバルルールとして、*を入力して、パスワードの長さや、含める文字種を指定しました。さらに、「プライバシー画面を適用」にチェックを入れました。長さや文字種は適当に入れましたが、本当はNISTなどのルールに沿った形にしておくと説明がしやすいんだろうなぁ。
ちなみにKeeperの管理者ガイドの画像では、文字列を30、文字種のところは全て5を入力していました。
ところで、このグローバルルール、設定したもののなんだか運用がうまくいかない気がしています。管理者ガイドに以下のような記載があるのです。
重複するルールは、最も制限的な結果を得るために評価されることに留意してください。 たとえば、パスワードの長さの最小値を 8 文字とするグローバルルール(*)と、最小値を 6 文字とする(*.com) ルールを作成した場合、すべてのドメインで、最も許容範囲の狭い8 文字のルールが優先されます。
ようは複数のルールに合致した場合、もっとも厳しいルールが優先されるよ。ということだと思うのですが、厳しいパスワードを設定できないサービス用にゆるゆるのルールを作成したとしても、今回作成したグローバルルールが優先されてしまう気がします・・・。
ひとまず運用してみて、問題が発生したら戻ってきたいと思います。
共有&アップロード設定
次に共有&アップロード設定です。
デフォルトでは、すべての「共有とアップロード」が許可(トグルがオフの状態)されていますが、今回はユーザーは、パスワードなどを自由に共有できないようにしたいと思います。それを前提に以下のように設定していきます。
まず、「記録とフォルダの共有を禁止」を有効にします。これにより、ユーザーがパスワードなどを共有できないようにします。
「Keeper Enterprise 以外のユーザーへの記録共有を禁止」を有効にして、組織外のユーザーと共有ができないようにします。ちなみにこちらの設定を有効にしても、個人用ユーザーの記録を組織のユーザーに共有することは可能です。個人のFacebookやTwitterのアカウントを業務でも使っている場合などにパスワードを共有できたりします。
「添付ファイルによる記録の共有を禁止」を有効にします。ファイルが添付されている記録の共有を禁止します。
「ウェブアプリならびにデスクトップアプリからの記録エクスポートを抑止」を有効にします。パスワードファイルのエクスポートを不可にします。クラウドネイティブさんの動画でも言及されていましたが、ぜひとも有効にしたい機能です。
インポートや、アップロードについては別にできてもよいかなと思うので、「ウェブアプリとデスクトップアプリからの記録インポートを禁止します」と「ユーザーのファイルアップロードを抑止」はそのままとしました。
KeeperFill設定
次にKeeperFill設定です。設定画面は以下のような感じです。
この設定では、KeeperFillブラウザ拡張のこの設定を強制したり、無効にしたりできます。いずれもセキュリティに関わる部分ではないので、デフォルト状態のままとしました。
また、KeeperFill設定では、特定のWebサイトでKeeperFillを無効化することも可能です。以下は管理者ガイドから引用した画像ですが、このように設定することができます。ドメイン単位で設定が可能です。
特段、はじめは設定せずに、運用中に必要に応じて追加で良いと思います。
一旦、Keeperの設定はここまでにしようと思います。しばらく運用してみて、必要に応じてKeeperの設定を追加したいと思います。