パスワード 
Keeperでは安全なデータ共有が可能です。そのため
多くのチームが便利さからSlackで認証情報を共有していますが、この一見無害に思える習慣は、セキュリティとコンプライアンスを重大なリスクにさらします。 共有されたパスワードが不運にも不正アクセス者の目に留まれば、深刻な脆弱性が組織全体に広がる危険性があります。
この習慣から脱する良い方法があります。SlackのワークフローにKeeperを組み込むのです。アクセス権の要求と承認は、安全性の高いジャストインタイム (JIT) 方式に切り替わります。 KeeperのSlack連携アプリを使うと、従業員はレコード、共有フォルダ、リソースへのアクセス権をSlackから直接要求でき、暗号化されていないプレーンテキスト形式でパスワードやシークレットを手動で共有する必要がなくなります。
以下では、Slackでのパスワード共有により組織のセキュリティが危険にさらされる理由と、KeeperのSlack連携アプリのメリットをご紹介します。
Slackでのパスワード共有が危険な理由
Slackは便利なコラボレーションツールですが、機密情報 (特にパスワード) 向けの安全なシステムとして設計されていません。 安全面で不安があるにもかかわらず、多くのチームがSlackのチャンネルやチャットで認証情報を共有しているのは、手軽で時間がかからないためです。 Slackから機密情報を送信するこうした習慣が原因で組織がさらされるセキュリティリスクの数は増えています。 以下にその主なものをいくつか挙げます。
- アクセス制御や有効期限の欠如: Slackチャンネルで送信されるパスワードは、メッセージやチャンネルにアクセス可能なすべてのユーザーが閲覧したり使い回したりできます。有効期限を設けたり、アクセス権を取り消したり、共有後の認証情報の使用方法を制御したりできません。
- 監査可能性と可視性が限定的: Slackにはメッセージ単位の監査ログはありますが、共有された認証情報が漏洩した場合、漏洩後にいつ、どのように認証情報が使用されたかは追跡できません。つまり、認証情報単位での追跡や責任の所在の特定は不可能なため、認証情報の使用状況を監査することも不審な活動を調査することもできません。
- 検索可能なチャンネル全体で永続的に露出: Slackチャンネルやプライベートチャットで共有される認証情報は、ワークスペースのポリシーに従って保持されるのが通例です。そのため、会話にアクセス可能なユーザーなら誰でも簡単に検索できます。数か月後、場合によっては数年後に古い認証情報が発掘される可能性もあり、不正アクセスのリスクは高まります。
- パスワードのローテーションと取り消しは任意の手動手順: Slackにはパスワードローテーションを徹底する仕組みも、露出した認証情報を自動的に取り消す機能も備わっていません。共有したパスワードが侵害された場合は、誰かがチャンネルやチャットに手動でアクセスして、そのパスワードを削除してから、別の場所で認証情報をローテーションして、その後の悪用を防止するのを待つしかありません。
- コンプライアンス面への影響: 個人情報保護とセキュリティに関する数々の規制フレームワークでは、認証情報のきめ細かいアクセス制御と安全な取り扱いを義務付けています。Slackでのパスワード共有には不正アクセスに対する保護措置が講じられていないため、組織はコンプライアンス違反というリスクにさらされる恐れがあります。
KeeperのSlack連携アプリを使った認証情報の新たな共有方式
Keeperの連携アプリは、Slackチャンネルやチャットでパスワードを共有する安全な代替手段となります。 ユーザーは認証情報をメッセージに直接貼り付ける代わりに、機密リソースへのアクセス権を要求します。認証情報を見ることも扱うこともありません。 このアプリはゼロ知識暗号化と機密ワークフローの完全制御を維持したまま、Keeperのセキュリティアーキテクチャと連携します。 すべての操作はSlackから直接行われ、他のツールに切り替えずに、アクセス要求はリアルタイムに適切な承認者に転送され、アクセス権が許可または却下されます。
KeeperのSlack連携アプリでは、要求根拠やアクセス権が必要な期間など、十分なコンテキスト付きでアクセス権を要求できます。 また、ワンタイム共有リンクも生成できます。このリンクは期間限定アクセス向けに一定時間を過ぎると自動的に消滅するため、外部のベンダー、請負業者、緊急用途に最適です。 さらに、エンドポイント特権マネージャーの承認やシングルサインオン (SSO) 対応クラウドデバイスの承認などの特権アクセスをSlackから直接リアルタイムで承認できます。
KeeperのSlack連携アプリの主なメリット
KeeperのSlack連携アプリは、効率やコラボレーションを犠牲にすることなく強力なアクセス制御を維持できるため、現代組織でチームが安全にやり取りするのに役立ちます。 この他にも主に次のようなメリットがあります。
- Slackメッセージへの認証情報の保存を防止: パスワードがプレーンテキストで表示・共有されることは一切なく、不正アクセスのリスクを軽減します。 サードパーティのツールに1度だけログインする場合やフォルダを一時的に利用する場合など、Keeperは機密情報を危険にさらすことなくSlackからアクセス可能にします。
- アクセスがすばやく効率的に: Keeperの安全なアクセス手順がSlackに直接組み込まれるため、認証情報がチャットや不要なチャンネルに入り込むことがありません。 管理者はツールの切り替えも手動での調整も必要とせずにリアルタイムでアクセス要求を承認できるため、ユーザーへのアクセス付与が迅速化します。
- JITアクセスと完全な可視化を実現: アクセス権の要求と承認はすべて、社内のセキュリティポリシーとコンプライアンス基準に従って行われ、ログに記録され、時間制限とポリシーが適用されます。
KeeperのSlack連携アプリをお勧めするケース
KeeperのSlack連携アプリを導入すると、安全なアクセス手順が効率化し、危険なパスワードの共有を防ぐことができます。 中でもお勧めするのが次の用途での利用です。
- 実際のSlackの会話の流れに基づきアクセス権を要求する場合: ユーザーはSlackを離れることなく、直接Keeperにアクセス権を要求できます。 会話にアクセス権を求める理由がすでに記録されているため、承認者は要求内容と必要な理由を確認して、時間制限付きのアクセス権をリアルタイムに付与できます。
- 本番環境への認証情報に緊急でアクセスする必要がある場合: 開発者やITチームが本番システムに緊急でアクセスする必要がある場合、スラッシュコマンドを使用してSlack経由で認証情報を要求できます。 管理者は要求を受け取ったら、専用のSlackチャンネルから直接、リアルタイムに承認するため、遅延やパスワードの漏洩を防止できます。
- 請負業者や第三者が一時的にアクセスする場合: 請負業者が社内のツールやシステムに一時的にアクセスする必要がある状況はよく発生します。 KeeperのSlack連携アプリを使えば、チームは特定のレコード用のワンタイム共有リンクをSlackから直接生成できます。 このリンクは、暗号化、アクセスポリシーによる統制、自動消滅機能付きと万全の安全策が講じられているため、プレーンテキスト形式で認証情報を共有するリスクを取る必要がなくなります。
- 特権アカウントへのJITアクセスが必要な場合: Keeperでは昇格した権限を持つアカウントに対して安全性の高いJITアクセス権が適用されます。 ユーザーがコンテキスト情報と共に時間制限付きで特権アクセスを要求すると、管理者はSlackで直接その要求を承認します。このプロセスでは、ゼロスタンディング特権 (ZSP) 状態が維持され、認証情報は一切開示されません。
Keeperのアクセス権の承認ワークフローをSlackに組み込み
Slackでパスワードを共有するのは手軽な方法ですが、習慣にするといずれセキュリティリスクが発生します。現代企業にとってこうしたリスクは、Keeperなどの安全な連携ツールで簡単に回避可能なものです。 Slackはコラボレーションツールであり、特権的な認証情報などの機密情報へのアクセスを管理する目的では設計されていません。 Keeperは、Slackメッセージでの認証情報のやり取りを防止する実用的な代替手段となります。チームが生産性の維持に必要なスピードと柔軟性を失うこともありません。 Keeper連携アプリでは、Slackでの作業を継続しながら、アクセス権の要求とパスワードの共有をきめ細かく制御し、リアルタイムに承認するワークフローを実現できるうえ、監査に十分対応可能な記録も残されます。
Slack環境での認証情報の共有は危険ですので、今すぐ止めて、当社マニュアルを参考にしながらKeeperのSlack連携アプリを導入しましょう。 セキュリティ分野のエキスパートへの相談をご希望の場合は、デモをご依頼ください。
