Wi-Fiのパスワードを安全に共有することは、ネット
Bitwarden などのセルフホスト型パスワード管理ソリューションの長所と短所について、数人のお客様から質問がありました。 このトピックに関しては豊富な経験があるので、セルフホスト型パスワードボルトではなく、Keeper のようなクラウドベースのパスワードマネージャーを使用する主な理由をいくつか共有したいと考えました。
セルフホスト型ソリューションの長所
私たちが考えるセルフホスト型パスワード管理プラットフォームの唯一の利点は、エアギャップのあるネットワーク環境においてユーザーがデスクトップコンピューターのみを使用している環境の場合です。 この状況は、大多数の個人や企業には当てはまりません。
セルフホスト型ソリューションの短所
インフラの管理
セルフホスト型ソリューションでは、コンテナのデプロイメント、サーバーでのホスティング、ロードバランシング、SSL 証明書、ルーティング、ファイアウォールに関しては顧客の責任となります。 顧客は、エンドユーザーを管理する職務から、ソフトウェアプラットフォーム全体を管理する職務に移行することとなります。 問題が発生した場合(問題は実際に発生することになりますが)、管理者が単独で全責任を負うこととなります。
以下の分野で専門知識が必要となります。
- Docker コンテナ
- 高可用性の Docker Swarm
- データベースサーバーのホスティング、メンテナンス、アップグレード、バックアップ
- ロードバランシング
- ファイアウォール/ウェブアプリケーションファイアウォール(WAF)
- Windows または Linux のサービス管理
- インスタンスのパッチ、バックアップ、復元
- ハードウェア管理 – サーバー、ネットワークインフラ(ルーター、スイッチ)、ファイアウォール/セキュリティアプライアンス、ストレージアレイ、電気機器の設置および継続的なメンテナンス。
- 施設管理 – 非常用電源のバックアップ(発電機、バッテリー)、環境、物理的セキュリティ、アクセス制御。
Keeper は、複数の地理的なデータセンターで大規模なクラウドインフラに展開されており、米国内の DevOps 担当者の専任チームが環境を管理、保護、モニタリングしています。
カスタム設定のデプロイ
セルフホスト型ソリューションでは、デプロイされたすべてのアプリは、カスタム URL エンドポイント設定を含める上で管理者と各エンドユーザーによって変更される必要があります。 ユーザーはこれを行うように求められ、ホストされたエンドポイントへのネットワーク接続が必要となります。 グループポリシーやモバイルデバイス管理(MDM)を通じてこれらの設定をプッシュすることもできますが、これはすべてのエンドポイントデバイスをすべて完全に制御していることが前提となります。 管理外のデバイスは、管理者またはユーザーによって手動で設定される必要があります。
Keeper のエンドユーザーアプリケーションは設定を必要とせず、すぐに使用できます。
重要なユースケースの欠如
パスワードボルトサービスのオンプレミスインストールでは利用できないであろうユースケースがいくつかあります。
例)
- リアルタイムで同期やプッシュを行うには、クラウドインフラの接続が必要となります。 これを解決するためにベンダーがクラウドリレーを提供することもありますが、それではセルフホスティングの意味が無くなってしまいます。
- シングルサインオン(SSO)とオンプレミスの鍵管理サービスの統合は非常に複雑です。
- API との統合には、開発/本番サーバーからターゲットとなるセルフホスト・エンドポイントまでのネットワークルーティングが必要となります
Keeper はリアルタイム同期機能を提供し、運用や SSO との統合の際にオンプレミスサービスを必要としません。 すべての API は、ゼロ知識暗号化を使用することで、直接 Keeper クラウドと通信できます。 内部ネットワークのルーティングの変更は必要ありません。
セキュリティ脆弱性
エンドユーザーがリモートシステムまたはモバイルデバイス上でボルトにアクセスできるようにするためには、ホストアプリケーションがターゲットにインバウンドネットワークアクセスを公開する必要があります。 これは、サービスが公的にアクセス可能となることを意味し、ボットや悪意のある者が攻撃できるようになってしまいます。 その結果、Cloudflare、AWS Shield などのサードパーティのフロントエンド WAF ソリューションを購入し、デプロイすることを余儀なくされます。
Keeper は、Amazon Web Services でホストされているフルマネージドでゼロ知識のソリューションです。 Amazon Shield/WAF は、Distributed Denial of Service(DDoS)攻撃 やその他のボット攻撃を制御するために導入されています。
ソフトウェアアップデート
セルフホスト型ソリューションでは、すべてのオンプレミスソフトウェアのバックアップ、パッチ適用、停止、再起動を継続的に行う必要があります。 急速に変化するボルトソリューションでは、ウェブ、デスクトップ、モバイル、ブラウザ拡張などのさまざまなプラットフォームにおいて、多くの可動コンポーネントと絶え間ない製品アップデートを必要とします。 アップデートのペースが速いため、オンプレミスの製品であれば、頻繁にソフトウェアパッチを適用する必要があります。 そして、悪いパッチやパッチの見落としによって、重大な問題が発生するリスクも常に存在します。
Keeper のソフトウェアは、すべてのプラットフォームにわたって常に最新のセキュリティアップデートを適用しています。 お客様からの介入は必要ありません。
バックアップと復旧
データベース、サーバー、構成、コンテナは必ずバックアップを取る必要があります。 復旧は、継続的にテストされ、検証されなければなりません。 データベースのオンプレミスインスタンスから毎日バックアップを行う場合、その 24 時間の間に重要で機密性の高いパスワードが失われる危険性があります。
Keeper のデータベースインフラは、マルチリージョンとマルチゾーンです。 データのバックアップは、30 日以内の任意(秒単位まで)の時点に復元することができます。 さらに、Keeper の記録履歴機能では、プラットフォームに保存されているすべてのパスワードや記録に対して、使い初めからの完全な履歴変更を確認できます。
悪意のあるインサイダー
セルフホスト型ソリューションでは、管理者はソフトウェアとストレージを完全に制御することができます。 このため、管理者がユーザーのボルト(管理者のマネージャーや経営陣のボルトも含む)を制御できる可能性もあります。
さらに踏み込むと、管理者がソースコードからサービスを構築した場合、バグ、脆弱性、特権昇格を導入する能力も持つこととなります。 経営陣や管理チームは、ほとんどの環境において管理者に特権を昇格させて、ユーザーボルトの中身にアクセスすることを許可してはいけません。
Keeper はゼロ知識およびゼロトラストのセキュリティアーキテクチャを使用して構築されています。 Keeper は簡単に設定して、制限された許可を持つ委任された管理者ロールを作成することができます。 Keeper 管理者は、自分が管理していないユーザーのボルトを復号する能力を持つことはありません。
オープンソースの危険性
オープンソースコミュニティにフロントエンドとバックエンドのソースコードリポジトリを完全に提供することは注目すべきことであり、透明性に関してもメリットがあります。 しかし、ほとんどの企業にとってセキュリティ上のメリットは限定的となります。 悪質な犯罪者からのプルリクエストが、十分なピアレビューを受けずにオープンソースプロジェクトに受け入れられた場合、脆弱性が持ちこまれる可能性があります。 ソースコードが公開されているからといって、セキュリティ研究者がそのコードを解析し、セキュリティの脆弱性をテストしているとは限りません。 多くの公開ソースコードプロジェクトには、何年も前から脆弱性が存在することが知られています。
Keeper は、業界をリードするサイバーセキュリティ研究者と契約し、Keeper ソフトウェアのターゲットに対して内部および外部の侵入テストを四半期ごとに(完全なソースコードアクセスで)実施しています。 Keeper はまた、Bugcrowd と提携し、脆弱性開示プログラム(VDP)の管理もしています。
Keeper の API と、コマンダーやシークレットマネージャーなどのソフトウェア開発キット(SDK)はパブリックソースであり、Github リポジトリで利用可能です。
クラウドベースのパスワードマネージャーを使うメリット
では、Keeperのようなクラウドベースのパスワードマネージャーを使うことによって、セルフホスト型のパスワードマネージャーの欠点を補ってくれます。
簡単にメリットとして以下のようなものがあります。
アクセスの容易さ
インターネット接続があれば、どこからでもパスワードにアクセスできます。これにより、異なるデバイスや場所での作業が容易になります。
同期とバックアップ
パスワードとログイン情報は自動的にクラウドに保存され、すべてのデバイス間で同期されます。これにより、デバイスの紛失や故障があっても情報が安全に保持されます。
セキュリティの強化
多くのクラウドベースのパスワードマネージャーは、高度な暗号化技術を使用しており、データのセキュリティを保証します。
使いやすさの向上
ユーザーフレンドリーなインターフェースと、簡単なセットアッププロセスにより、技術的な知識がないユーザーでも容易に使用できます。
自動パスワード生成と更新が簡単
セキュアなパスワードを自動的に生成し、必要に応じて更新する機能があります。
多要素認証のサポート
追加のセキュリティレイヤとして、多要素認証(MFA)をサポートしている場合が多いです。
柔軟な共有オプション
パスワードやセキュアな情報を信頼できる人々と安全に共有する機能を提供します。
まとめ:従業員の入れ替わりにもすぐ対応できるKeeperにお任せを!
必然的に、この環境をコントロールする管理者が会社を去ることがあります。 この状況は、管理、メンテナンスされずに安全ではないシステムを残す可能性があります。 また、管理者が解雇されたり、悪条件で退職した場合、悪意のある行為(ユーザーボルトのコピーの取得、脆弱性の導入、データの破壊など)の監査証跡は残らないことでしょう。
Keeper は高度なレポート&アラートモジュール (ARAM)を備えており、すべてのユーザーアクティビティの監査証跡を含んでいます。 Keeper 管理者はエンドユーザーのボルトデータに直接アクセスすることはありません。
この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。