私もさまざまなSaaSを利用していますが、以前は管理がしきれず、同じパスワードを使いまわしたり、ログインのときにパスワードを何度も間違えてロックされたり、という経験がありました。
2021年にIPA(独立行政法人情報処理推進機構)がおこなった調査でも、4人に1人がパスワード管理のルール違反をしているという実態があり、私と同じような経験をしたことがある人もいるかもしれません。
パスワード管理のルールに反した運用をしていると、SaaSに不正ログインされるリスクが高まります。簡単なパスワードを使っている場合は推測されてしまいますし、パスワードを使いまわしていると、そのパスワードが漏洩したときに他のSaaSへもログインされてしまいます。
今回は、こうしたリスクを軽減するために、私が約1年間利用しているパスワードマネージャー「Keeper」を紹介します。
パスワードから始めるサイバーセキュリティ
Keeperは、簡単かつ直感的な操作で、組織のパスワードを保護できるSaaSです。強固なパスワードを生成できるのはもちろんのこと、チームへのパスワード共有も安全におこなうことができます。また、企業の安全性を可視化することも可能です。
パスワードマネージャーは海外製品が多く、日本語未対応のツールもありますが、Keeper は日本語に対応しています。
料金プランは大きく2つ
Keeperのプランは「Business」「Enterprise」の2つ。それらにオプションを加えた「Business Plus」「Enterprise Plus」もあります。なお、私が利用しているプランは「Enterprise Plus」です。
簡単かつ直感的な操作でパスワードを管理
Keeperは、Webページ、デスクトップアプリ、ブラウザ拡張機能、スマートフォンアプリで利用できます。今回は、私が日常的に利用する機会の多いブラウザ拡張機能(KeeperFill)を使ったパスワード管理について紹介します。Keeperでユーザーがおこなう操作は、主に「パスワードの生成」、「パスワードの利用」、「パスワードの変更・履歴管理」、「ダークウェブに漏洩したパスワードのモニタリング」の3つになります。
パスワードの生成と生成したパスワードを使ったログインの方法はこちらの動画をご確認ください。
またKeeperでは、口座情報やクレジットカード情報など、パスワード以外の情報を登録できます。カスタムフィールドとして任意の項目を追加することも可能です。
脆弱なパスワードを発見し変更する
パスワードの生成と、これまで使っていたパスワードの登録が終わったら、ぜひやっていただきたいことは「脆弱なパスワードをなくす」です。KeeperのBreachWatch(ダークウェブに漏洩したパスワードのチェック)では、登録済みのパスワードのなかから、脆弱なパスワードをすぐに見つけることができます。
該当するツールを開き、パスワードを変更すると、「解決済み履歴」に自動的に移動します。
Googleアカウントのパスワードが脆弱であると判断された場合を例に、一連の流れを動画にまとめてみました。
チームでパスワードの共有が可能
ChromeやEdgeにも便利なパスワード管理機能はありますが、Keeperは「企業で使うこと」を前提としている点が大きな違いでしょう。企業で使う場合、部署やチームでパスワードを共有するということが考えられます。たとえば、オフィスのWi-Fiのパスワードや、従業員のアカウントに紐づけることができない共有アカウントのパスワードなどが挙げられます。
Keeperでは、「共有フォルダ」という機能を利用して、チームでパスワードを共有できます。
権限も柔軟に変更可能で、フォルダ単位では「ユーザーの管理」「記録(パスワード)管理」「編集許可」「共有許可」が設定できます。
ユーザーの管理:他のユーザーを追加・削除が可能
記録(パスワード)管理:パスワードの追加・削除のパスワードが可能
編集許可:登録されているパスワードの変更が可能
共有許可:登録されているパスワードを他のユーザーに共有することが可能
また、パスワード単位の権限の設定も可能になっています。
注意点として、「共有フォルダ」には所有者という概念があるため、所有者が退職する場合、事前に権限を変更しておく必要があります。
Keeper Security社によると、「共有フォルダ管理者(Shared Folder Admin)」機能を開発中のようなので、実装されたら今後さらに使いやすくなるでしょう。
Keeper engineering is in development of a new feature called "Shared Folder Admin". This feature will give administrative rights over the shared folder contents without the requirement of record owner to make changes.
企業の状況を可視化
Keeperを利用するもうひとつのメリットは、企業の状況を可視化してくれる点です。パスワードの強度、パスワードの使いまわし、2要素認証の設定の有無からアカウントごとにスコアリングされ、その平均が組織のスコアとして表示されます。
また、ログイン履歴やパスワードの利用歴、ユーザーがクリップボードにパスワードをコピーした履歴などの高度なレポートを通して、Keeper の利用状況を把握し、グラフにすることができます(グラフ化できるのは詳細レポートで利用できる一部項目に限ります)。
たとえば、Keeperの拡張機能を利用している場合、ブラウザ内のログインに関しては、ユーザーがクリップボードにパスワードをコピーする必要はありません。レポートの「ユーザーがクリップボードにパスワードをコピーした履歴」をみることで、ユーザーが意図しない挙動をしていないかモニタリングすることができます。
もしクリップボードにパスワードをコピーした回数が多ければ、Keeperをうまく使えていない、または使えない事情があるということになるため、ヒアリングして改善していく必要があります。
ユーザープロビジョニングやSSOに対応
KeeperはSCIMに対応しているため、ユーザーの作成や、チームへの割り当てを自動化することが可能です。ユーザーを削除した時は、Keeper側のアカウントは無効化されます。また、Keeperはシングルサインオン(以下、SSO)に対応していることで、Azure Active Directoryや、Google Workspaceのアカウントを利用してログインすることが可能。「法人SSOログイン」を選択することで、パスワードレスでログインすることができます。
私が以前使っていたパスワードマネージャーはSSOを利用してログインをすることはできませんでした。
そのため、パスワードを間違えてロックされたり、セッション時間が短いため、パスワードを頻繁に入力したりすることが大変でしたが、SSO対応により便利になりました。
ちなみに、SSOを利用したアカウントが不正ログインされる可能性もあるため、SSO対応がパスワードマネージャーにとって良いことなのか、悪いことなのかは賛否があります。
1分でわかるKeeperまとめ
Keeperは、直感的に操作ができるパスワードマネージャーです。パスワード以外の情報も安全に管理できる機能が備わっており、パソコン、スマートフォン問わず利用することが可能。また、共有フォルダ機能やレポート機能により、組織内で安全にパスワードを管理することができます。
プランは個人向けのプランに加え、企業向けとして「Business」と「Enterprise」、それらにオプション機能がついた「Business Plus」、「Enterprise Plus」があります。
オプション機能を使えば、ダークウェブ上に公開されたアカウント・パスワード情報を検知したり、セキュアなファイルストレージを利用したりすることができます。
企業のパスワード管理に悩んでいる人は、14日間の無料トライアルがありますので、一度試してみてはいかがでしょうか。
(文・岩澤樹)
認定NPO法人で情シス・経理の経験を経て、現在はフリーで活動中。クラウドサービスの活用を前提とした業務フローの整備や、ツール導入をおこなっています。情シスとしては、Salesforce、LINE WORKSをはじめとした全社横断のツールの導入運用管理を、経理としてはfreee会計の導入などをおこなってきました。
どのSaaSを選べばいいかわからない……。あのSaaSが気になっているけれど、検証する時間がない……。そんな方の一助になるように、私が感じた魅力をわかりやすく届けます。