Keeperがデータを保護する方法とは？セキュリティと透明性

Keeper Security のゼロトラストおよびゼロ知識暗号化モデルは、最悪の状況下でも、Keeperボルト（安全なデジタル保管庫）のすべてのコンテンツが多層的なセーフガードと暗号化で保護されていることを保証します。Keeperは10年以上にわたり、クラス最高のセキュリティモデルと透明性の高い共有方法を通じて、ユーザー様の最も貴重なデータを保護することをお約束します。

Keeperが競合他社と比較して、顧客情報を保護する方法には多くの差別化要因があります。LastPassの情報流出事件では、情報流出が発生した場合、保管されているボルト情報がどのように保護されていたのかが疑問視されています。Keeperは情報漏洩を防ぐため、広範なセキュリティ保護策を講じていますが、ユーザーは万が一情報漏洩が発生した場合、Keeperがどのような保護策を講じているのかを理解したいと考えているはずです。Keeper暗号化モデルを説明する非常に詳細なドキュメントは、こちらのページでご覧いただけます。このブログ記事では、データ侵害が発生した場合にユーザーを保護するための主要な保護の概要を説明します。

ボルト(安全な保管庫)の暗号化

Keeperはユーザーが生成した暗号化キーに基づく多層暗号化システムで構築されています。256ビットAES記録レベルのキーとフォルダレベルのキーがユーザーの端末上で生成され、保存された各ボルト記録を暗号化します。ログイン、添付ファイル、TOTP コード、支払い情報、URL、カスタムフィールドを含む、ボルト内のすべてのコンテンツが暗号化されます。

暗号化キーはデバイス上でローカルに生成され、ゼロ知識を維持し、記録やフォルダ共有などの高度な機能をサポートします。ゼロ知識とは、各ユーザーがKeeperボルト内のすべての個人情報の暗号化と復号化を完全にコントロールできることを意味します。

記録キーとフォルダーキーは、256ビットのAESデータという別のキーで保護されます。

ユーザーのデバイス上では、ローカルのオフラインキャッシュを暗号化するために、もう1つの256ビットAESクライアントキーが生成されます（管理者がオフライン・アクセスを許可している場合）。 最後に、256ビットAESデータキーは、次のセクションで説明する別の鍵で暗号化されています。

データキーの保護

ユーザーのボルトを復号化するには、データキーの復号化が必要です。

マスターパスワードでログインするユーザーの場合：データキーを復号化および暗号化するためのキーが、パスワードベースの鍵導出関数（PBKDF2）を使用して、ユーザーのマスターパスワードから取得されます。デフォルトでは最大 1,000,000 回の反復が可能です。ユーザがマスターパスワードを入力すると、キーがローカルで取得され、データキーがアンラップされます。データキーが復号化されると、個々の記録キーとフォルダキーをアンラップするために使用されます。次に、記録キーが、ローカルで保存されている各記録コンテンツを復号化します。

SSOまたはパスワードレス技術でログインするユーザー向け： 端末レベルでのデータの暗号化と復号化には、楕円曲線暗号が使用されます。ローカル ECC-256 (secp256r1) 秘密鍵は、データキーの復号化に使用されます。データキーが復号された後、個々の記録キーとフォルダーキーの承認に使用されます。その後、記録キーは、保存されている各記録コンテンツを復号化します。暗号化されたデータキーは、Device Approvalと呼ばれるプッシュ・システムまたはキー交換サービスを通じて、ユーザーのデバイス間で送信されます。

キーポイント：

●   マスターパスワードを使用してログインするお客様にとっては、1,000,000回の PBKDF2反復の実施とともに、強力で他で使用されていないマスターパスワードが不可欠です。Keeper管理コンソールを使用することで、Keeper管理者は、Keeperの役割に基づく施行ポリシーにおけるエンドユーザーと反復に関するマスターパスワードの複雑性ルールを容易に守らせることができます。

●    Azure、Okta、Ping、ADFSまたは他の ID プロバイダなどのシングルサインオン製品を通じて Keeperを導入するお客様にとって、懸念すべきマスターパスワードはなく、マスターパスワードキーから派生する脅威ベクトルは存在しません。このモデルでは、データの暗号化はすべて楕円曲線キーを使用します。Keeper SSO Connect™を使用したデータの保護は、完全にドキュメント化され、特許を取得しています。この機能の概要については、こちらをご覧ください。

●    パスワード由来のキーと楕円曲線（EC）キーで暗号化されたボルトの強度の詳細な説明と数学的証明は、Keeperの暗号化モデルのドキュメントに記載されています。Bitcoinブロックチェーンが ECC-256 を使用していることは注目に値します。これにより、256ビットの楕円曲線の強度に対して、事実上 3,000億ドルの報奨金がかかっていることになります。

安全なパスワードマネージャーをユーザーに導入しようとしている企業にとって、Keeper SSO Connect™は、現在の ID スタックとのシームレスな統合に加えて、最高レベルのデータ保護を提供します。マスターパスワードを使用しないため、保存されたデータを狙う総当たり攻撃の脅威ベクトルは排除されます。

転送中の暗号化

Keeperは、Amazon Web Services (AWS)を使用して暗号化されたデータを複数の地理的地域でホストする SaaSプラットフォームです。お客様は、ご希望の主要地域で Keeperテナントをホストできます。顧客データ（保存された暗号文）とプラットフォームへのアクセスは、お客様が選択した特定の地域に分離されます。

Keeperサーバーに送信される暗号化されたペイロードはすべて、中間者攻撃から保護するために、Transport Layer Security (TLS)に加えて、256 ビット AES送信キーでラップされます。送信キーは、クライアントデバイス上で生成され、サーバーの EC 公開鍵を介して ECIES暗号化を使用してサーバーに転送されます。

この送信キー暗号化は、既にペイロードにパッケージされているデータ暗号化に加えて、さらに 256ビット暗号化のレイヤーを提供します。送信暗号化は、ユーザーのデバイスからKeeper環境のアプリケーションサーバーに直接トンネルします。

クラウド保護について

Keeperは、最高レベルのプライバシー、セキュリティ、および信頼性を実現するために構築された高度なクラウド認証とネットワーク通信モデルを開発しました。

マスターパスワードでログインするユーザーの場合：2 番目の PBKDF2キーが最大1,000,000回の反復でローカルで生成され、その後、HMAC_SHA256でハッシュされて認証トークンを生成します。

SSOまたはパスワードレステクノロジーでログインするユーザーの場合：ユーザーは、SSO IDプロバイダを介して認証し、デバイス上でボルトの暗号文をローカルに復号化できます。各デバイスは、独自の EC（楕円曲線）公開鍵と秘密鍵のペアとおよび暗号化されたデータキーを持っています。新しいデバイスにサインインするには、ユーザーは既存のデバイスを使用して承認を行う必要があります。または、権限を持つ管理者が新しいデバイスを承認することも可能です。

Keeperのクラウドボルト（AWS がホスト）は、ユーザーのデバイス上でローカルに暗号化された、暗号化された暗号文として各ユーザーのボルトを保存しています。ペイロードの暗号化と送信の暗号化に加えて、Keeperはさらに AES-256キーで保存された暗号化データキーをスーパー暗号化します。

認証とコンプライアンスについて

Keeperは世界で最も安全で、認証、テスト、監査されたパスワードセキュリティプラットフォームです。Keeper は、業界で最も長い歴史を持つ SOC 2および ISO 27001認証を取得しています。Keeperは GDPR 準拠、CCPA準拠、FedRAMP認証、StateRAMP認証、および TrustArcによるオンラインプライバシー認証を受けています。Keeperは PCI DSS認証を取得しています。Keeperのシステムインフラストラクチャの脆弱性スキャンを毎日実行するために、Tenableを導入しています。

キーポイント：

●  Keeperは、クラウドインフラストラクチャのアクセスキーなどの機密情報をソースコードに保存しません。機密情報がないか確認するために、定期的にソースコードをスキャンしています。

●  Keeperのソースコードは Github Enterpriseに非公開で保管されていますが、ユーザーのボルトにアクセスするために必要な情報は提供しません。データの暗号化はローカルデバイスレベルで実行され、このソースコードの多くは、KeeperのCommanderおよびシークレットマネージャー製品の一部として、GitHubの公開リポジトリに公開されています。

●  Keeperは 2FA のためにTwilioなどの第三者プロバイダを使用していません。Keeper のベンダーは、データ漏洩の被害を受けていません。

●  Keeperは、AWSデータセンターへの管理またはアクセスを第三者に提供することはありません。インフラストラクチャのすべての管理は、米国内に居住する米国市民であるKeeper Securityの正社員によって行われます。

●  Keeper は、業界で最も多くのセキュリティ認証を取得しています。Keeperは SOC2認証、FedRamp認証、StateRamp認証、および ISO27001認証を取得しています。

透明性に関する誓約について

Keeperは、単にセキュリティに尽力している以上に、熱意をもって取り組んでいます。そのため、私たちは暗号化モデルのあらゆる詳細を一般に公開しています。当社は、刻々と変化するサイバーセキュリティ環境において、お客様が、お客様のデータの安全性を確保するために取り組んでいるすべてのステップについて、知らされるべきだと考えています。

Keeper のゼロトラストおよびゼロ知識暗号化モデルは、最悪のシナリオにおいても、Keeper ボルトが保護されることを保証します。また、弊社は、お客様の最も貴重なデータを保護するための最良のソリューションであり続けるために、継続的にセキュリティテストを実施しています。

Keeper は四半期に一度、NCC GroupやCybertestなどのサードパーティのペネトレーションテスターを使用して、弊社のすべての製品とシステムのアプリケーションペネトレーションテストを実施しています。これには、完全なソースコードアクセスを伴う、内部および外部に公開されたシステムのレッドチームスタイルのペネトレーションテストが含まれます。

Keeperはまた、Bug Bounty と脆弱性開示プログラム（VDP）を管理するために、Bugcrowdと提携しています。Keeper SecurityVDPについては、https://bugcrowd.com/keepersecurity をご覧ください。透明性を高めるために、Keeperはすべてのプラットフォームで詳細なリリースノートを公開しています。ご質問は、security@keepersecurity.comまでメールにてお問合せください。