[レポート] ゼロトラストのエンタープライズパスワード管理（EPM）で、サイバー脅威から組織を保護します #SecurityDaysSpring2023

最初に

東京で開催された Security Days Spring 2023 に参加してきました！視聴させていただいたセッションは下記です。
ゼロトラストのエンタープライズパスワード管理（EPM）で、サイバー脅威から組織を保護します | Security Days Spring 2023

セッション概要

Keeper Securityは究極のセキュリティ、可視性、コントロール機能でパスワードとシークレットを保護します。Keeper は、データセンターからフロントオフィスにかけて、究極の企業セキュリティとサイバー脅威の防止を実現します。ゼロトラスト、ゼロ知識アーキテクチャにより、アプリケーション、システム、シークレット、IT リソースへのアクセスを保護します。監査とコンプライアンスを簡素化し、強化します。同時に、組織全体の可視化、コントロール、イベントロギング、レポート作成を実現します。

スピーカー

Keeper Security APAC（株）　セールスエンジニア　高橋 徹 様

レポート

昨今、世界だけではなく、日本でも情報漏洩等のサイバー攻撃の被害対象となるニュースも耳にすることが多くなった。しっかり対応するためにどれだけの予算を取得したり、コストをかければいいのか頭を悩ます状況である。脅威全体を保護するだけでなく、コストを念頭に運用効率を上げるにはどうしたらいいのか、ITセキュリティの投資対効果の観点で、導入効果を最大化していくためにどんなアイデアがあるかについて、パスワード管理、クレデンシャル管理という切り口でご紹介いただきました。

市場背景としてのクレデンシャル管理の傾向と背景

クレデンシャル管理の重要性と典型的なチャレンジ

コロナによるビジネス形態、働き方、日常生活の変化を経て、多くのソリューションベンダーやセキュリティベンダーが、ハイブリットな働き方で、SaaS を先導している状況である。そして、企業は脅威に対してどう対応したらいいのか、ゼロトラストに対応するには何を導入したらいいのか、考えることは豊富にある。

• リモートワーク時代のサイバーセキュリティーに対して、グローバルなサイバーセキュリティ視点では、どんなインパクトを与えたか？

在宅勤務により、組織のコストが削減された。在宅勤務がニュースタンダードになることを期待している。リモートワーカは、オンサイトワーカより生産性が高い。在宅勤務により効率が上がった。というアンケート結果が多い。

• 一方で、機密情報や重要情報を守るためのセキュリティ対応や、そのためのコストは上がっている。
• セキュリティ面では、何が最も懸念事項かというアンケートに於いて、半数以上が在宅勤務により、物理的なセキュリティ環境の欠如という回答が多かった。

具体的には、クレデンシャルの盗難という被害が多かった。情報セキュリティの分野では、認証に用いられる ID、ユーザ名、PW、認証キー。 DevOps な環境では、SSHキー、API キー、証明書、生体パターンなどの識別情報の盗難が発生している。

では、組織がとるべき手段としては？

アンケート項目「セキュリティポリシー要件は何を対象とするか」では、パスワードの衛生管理という結果が多数得られた。衛生管理としては、パスワードなど秘匿情報が攻撃対象とならないようにする対処が求められる。

クレデンシャル管理のチャレンジ

クレデンシャル情報の管理は、企業規模によらず、様々な場所に個別に管理されている。

• 例えば
• 直接ハードウェアに保存する、プレーンテキストとして Config ファイルの保持
• AWS S3 バケット情報の保持

ハイブリットマルチクラウド環境に於いて、クレデンシャル情報の二重管理や、個別管理する状況が、組織に拡大した場合、定期更新をどうするのか？担当者の作業スコープ、工数はどうするのか？という課題が発生する。かといって、セキュリティ保護の堅牢さを下げて楽に運用するのは、不正アクセスなどの要因にもなる。

また、データ漏洩の8割は人的要因によるもので、対策をしていれば防げたケースがほとんど。対策には、オペレーションにかかる人的コストや、人材の確保が必要になるケースもある。そして、アンケートでは約 3割の人間が 11個以上のアカウントを保持、パスワードを忘れたことがある人は、9割にも上る。そのため、6割が楽な手段としてパスワードを使いまわすという現状。

• こういった状況の中、必要な対策としては
• ユーザのクレデンシャル情報をすべて可視化
• アカウント管理
• 強固なクレデンシャルの維持
• 定期的な更新

Keeper Security のアイデア紹介、提案

ゼロトラスト、ゼロ知識性を兼ね備えたアーキテクチャの製品を提供している。

• ゼロトラスト
• 侵害、トラストが何もないという前提のもと対策を講じましょうという考え方

• ゼロ知識性
• 暗号学に於いて、ゼロ知識証明といった情報伝達主張が存在します。証明者の主張が真であるならば、検証者は主張が真であること以外何も得ることが出来ない。

= 相手に秘密情報を知らせないまま、保有しているよという考え方

Keeper のプラットフォームで得られること

結論、二者択一でしかなかった効率性、安全性の二要素を取り入れて最大化することで、サイバー攻撃の脅威リスクを下げながら対策することが出来る。

• Keeper によるサイバー攻撃を削減する取り組み
• 非公開のマスターパスワードを用いる

複数のパスワードを使うのではなく、たった1個のパスワードだけを使用できる状況を作り、全データの暗号化/復号化に使用するキーの情報を知りえるのはユーザのみにする

• ユーザのローカルデバイスで暗号化復号化できる環境を構成して、そのロジックを多層化する

これにより、デバイス外のデータはすべて解読できない暗号文のみにする。ということは、第三者はユーザのデータを見ることはできないし、流出しても解読できないことにつながる。

• AES-256 による暗号化方式、鍵導出関数として PBKDF2 を採用する

　 　

• 様々な覚えにくいパスワードは覚えないようにしましょう。かわりに Keeper が覚えます。（Keeper Vault）
• パスワードの手入力もなくしましょう。（Keeper Fill）

忘れるパスワードがなくなるので、Admin、社内外のヘルプデスクにも良いインパクトが現れる

Keeper の安全性について

• 多層暗号化システムのフローについて
• ゼロトラスト、ゼロ知識性としては、すべての暗号化、復号化はローカルのユーザデバイスで行われる。

= 外部には暗号文しかない。

• FIPS のセキュリティ準拠証明も各種取得している

• 多層暗号化システムについて
• ユーザデバイスでカギを生成　→　レコードレベル（情報もろもろ）→フォルダレベル（格納先）

すべて別々のカギで管理される（1万レコードある場合は、1万種類の AES-256 レコード専用キーが存在する）
・フォルダには、プライベートフォルダやシェアフォルダもあり、個人だけが見れる範囲や、チームと共有できる範囲も設けられている。
・レコードレベルでも、編集権限など設定可能。共有できるユーザレベルの設定も可能。組織外のユーザとの共有設定も可能（期限の設定可能）
・カスタムレコード（Keeper でテンプレあるが、付帯情報として社員情報が必要なケースにも対応可能）

• レコードとフォルダは、すべて別々のキーで生成（データキー、クライアントキー）

クライアントキーはマスターパスワードでログインされると、鍵同室関数にトライブしてデータキーを複合化する。複合化が成功すると、レコードキーフォルダキーが複合化されて、レコードキーによって暗号化された情報が複合化され、ユーザが見れる状態になる。

• 生体認証のログイン時は、生体認証キーがデバイスで生成される（FaceID、TouchID、Windows Hello など様々な認証成功後にデバイス側で暗号文自体が複合化される）
• デバイス認証も搭載している。

ログインの前にデバイスの認証が必要になるので、この検証システムによりブルートフォース攻撃や、ユーザ名の列挙攻撃、TLS の送信器も暗号化されているので仲介者攻撃も防御できる。

• SSO もある（Azure、Okta、Google WorkSpace）など
• 秘密鍵はデバイス側、公開鍵はクラウドに保存される

認証が下りると、IDP に SAML のアサーションが Keeper に転送されて、Keeper でも承認されたら、暗号化キーをユーザに配信する

Keeper Fill について

• 対対応状況
• デスクトップ

Windows、Linux、Mac

• ブラウザ

Chrome、FireFox、Edge、モバイル（IOS、Android）

企業、組織は、エンドユーザ向けの保管庫、管理者向けのコンソールの両方ともログイン可能。 すべて独立しているが、情報は同期可能

現環境のインポートは？

• ブラウザの情報インポート、他社ソリューションからの乗り換えにも対応
• CSV、JSON、PDF でのインポートもサポート可能

BreachWatch

• ダークウェブに流出している自分の侵害データを検出する機能。
• 1 ~ 512 bit のハッシュで 2度行われる。

2回目は、エクスポートが不可能な HSM を使用してハッシュ値を出して BreachWatch に保存される。ユーザには、アノニマイザーを使用して、誰がアクセスしたか全くわからない状態にして、安全にハッシュ値を比較。管理者、デバイスの両方にアラートを表示する

主要コンポーネント

• Keeper Enterprise Password Manager

今回ご紹介していただいた内容
監査のコンプライアンス維持をしながら、セキュリティ、コントロール、可視化を備えたパスワードの管理、保護、検出

• Keeper Secret Manager

API キー、DB、クレデンシャル等々を管理可能

• Keeper Connection Manager

Connection管理のエージェントレスデスクトップのゲートウェイ
VPC を使用せず、リモートデスクトップ、DB、SSHキー、K8s を利用する際の安全なアクセスを提供する

その他特徴

• 多段階認証もサポートしている。生体認証も可能
• クラウド上の保管庫は様々な証明書を持ち冗長性も保たれている

さらに完全に隔離されている。= 日本のユーザは、国内のDC に保てる。テナントは、サービス展開時に選択可能（アメリカ、ヨーロッパ、オーストラリア、日本）

• ダークウェブモニタリングとした漏洩状況の定期的なモニタリング
• 管理者向けにパスワードの衛生状態を目視できる
• パスワードマスキングの設定も可能
• ユーザの権限も個別に設定可能。データをベースとした管理 or ユーザベース
• アカウントの設定項目では、背景色や言語設定、レコードの並べ替えなどのカスタマイズ性。
• 制御面では、マスターパスワード、メールアドレスリセット、ログイン状態の維持の設定や、規定回数のログイン、二要素認証の設定。
• パスワードの脆弱性も確認可能
• コンプライアンス面では、アクセスしているサイトの危険性を教授してくれる。具体的には、このサイトで情報漏洩されたというレポートが上がってますよなど
• コンプライアンスレポートを発行可能（CSV、JSON）
• アラートのロギングが必要な場合は、様々なSIEM と連携するためのテンプレートも用意している

まとめ

レポートさせていただいた範囲以外ではデモを交えてわかりやすくご説明いただけました。セキュリティ、可視性、コントロールの機能でパスワードとシークレットを保護するためのシステムにより、監査、コンプライアンスまでも簡素化して強化できるエンタープライズパスワードマネージャとして、非常に効率化と安全性を保てると思いました。