オンプレミスとクラウドベースのパスワードマネージャーの比較
本記事はKeeper Security社が公開しているブログを公開時点において翻訳したものになります。正確な内容については、本稿の末尾に記載の原文をご参照ください。
何人かのお客様から、Bitwardenのようなオンプレミス、すなわち自社でパスワード管理サービスを運用するケースの長所と短所について質問を受けました。筆者(原文:Craig Lurey)はこのテーマについて、これまで経験しているので、オンプレミスのパスワードマネージャーではなく、Keeperのようなクラウドベースのパスワードマネージャーを使用する主な理由を紹介しようと思います。
オンプレミス運用のメリット
オンプレミス型のパスワード管理プラットフォームの唯一の利点は、外部ネットワークから隔離されたされたネットワーク環境で、ユーザーがデスクトップコンピューターだけを使用している場合です。このような状況は、個人や企業の大部分には当てはまりません。
オンプレミス運用のデメリット
インフラストラクチャーの管理
オンプレミス型のソリューションでは、コンテナの導入、サーバーでのホスティング、ロードバランシング、SSL証明書、ルーティング、ファイアウォールはお客様の責任となります。顧客である皆様は、エンドユーザーのみを管理する任務から、ソフトウェア・プラットフォーム全体を管理する任務へと移行することが必要になります。運用中に何かがうまくいかなくなったとき、往々にしておこりますが、管理者は単独で全責任を負うことになります。
運用には以下のような専門知識が必要とされます。
- Dockerコンテナ
- 高可用性を実現するDocker Swarm
- データベースサーバーのホスティング、メンテナンス、アップグレード、バックアップ
- ロードバランシング
- ファイアウォール/ウェブアプリケーションファイアウォール(WAF)
- WindowsまたはLinuxのサービス管理
- インスタンスのパッチ適用、バックアップ、リカバリ
- ハードウェア管理(サーバー、ネットワークインフラ(ルーター、スイッチ))、ファイアウォール/セキュリティアプライアンス、ストレージアレイ、電気機器の設置および継続的なメンテナンス。
- 施設のメンテナンス - 非常用電源のバックアップ(発電機、バッテリー)、環境、物理的セキュリティ、アクセスコントロール。
一方で、Keeperは複数の地理的なデータセンターにある大規模なクラウドインフラに展開され、米国にいるDevOps担当者の専任チームが環境の管理、セキュリティ、監視を行っています。
カスタム設定のデプロイ
オンプレミス型のソリューションでは、管理者と各エンドユーザーは、ホストしているオンプレミスのURLをアプリに設定する必要があります。また、サーバーに接続するためのネットワーク設定も必要です。ユーザーはこれを実行するために、ホストされたエンドポイントへのネットワーク接続を持つ必要があります。グループポリシーやモバイルデバイス管理(MDM)を通じてこれらの設定をプッシュすることもできますが、この場合、すべてのエンドポイントデバイスを完全かつ完璧に制御していることが前提になります。管理外のデバイスは、管理者またはユーザーが手動で設定する必要があります。
Keeperのエンドユーザー・アプリケーションは、設定を必要とせず、すぐにご利用いただけます。
重要な利用シーンへの対応が不可能
パスワードマネージャをオンプレミスで運用することで、本来、利用したいが利用できないという利用シーンの発生します。例えば、以下のような利用シーンです。
- リアルタイム同期とクラウドインフラとの接続が必要なデータのプッシュ(送信)を行いたい場合。これを解決するためにクラウド・リレーがベンダーから提供されるかもしれませんが、それではセルフホスティングの意味がなくなってしまいます。
- パスワードを保護する秘密鍵を安全に取り扱えるシングルサインオン (SSO) 構成が非常に複雑である場合
- パスワードマネージャをAPI経由で利用するために、ネットワークの追加設定が必要になる場合
Keeperはリアルタイム同期を提供し、SSOの運用や統合のためにオンプレミスサービスを必要としません。すべてのAPIは、ゼロナレッジ暗号化を使用して、直接Keeperクラウドと通信します。内部ネットワークのルーティングの変更は必要ありません。
セキュリティ脆弱性
エンドユーザーが社外やモバイルデバイスからデータ保管庫にアクセスできるようにするには、ホストされるアプリケーションが対象の端末に対して外部からの着信接続を許可する必要があります。ボットや悪質業者に攻撃を許すことになります。その結果、Cloudflare、AWS ShieldなどのサードパーティのフロントエンドWAFソリューションを購入し、展開することを余儀なくされるでしょう。
Keeperは、Amazon Web Servicesでホストされるフルマネージド、ゼロナレッジのソリューションです。Amazon Shield/WAFは、分散型サービス拒否(DDoS)やその他のボット攻撃を制御するために導入されます。
ソフトウェアアップデート
オンプレミス型のソリューションでは、オンプレミスのソフトウェアはすべて、継続的にバックアップ、パッチ適用、停止、再起動を行う必要があります。急速に変化するパスワード管理ソリューションでは、Web、デスクトップ、モバイル、ブラウザ拡張など、さまざまなプラットフォームで多くの可動コンポーネントと絶え間ない製品アップデートが必要です。更新のペースが速いため、オンプレミスの製品であれば頻繁にソフトウェアパッチを適用する必要があります。そして、悪いパッチやパッチの見落としによって重大な問題が発生するリスクは常に存在します。
すべてのプラットフォームにおけるKeeperのソフトウェアは常に最新で、最新のセキュリティアップデートでパッチが適用されています。お客様の介入は必要ありません。
バックアップとリカバリー
データベース、サーバー、設定、コンテナはバックアップされていなければなりません。バックアップが正しく復元できるか、継続的に確かめる必要があります。データベースのオンプレミスインスタンスから日次でバックアップを行う場合、最大24時間の復元できない期間が発生し、その間に保管された重要な機密パスワードを失うことにつながります。
Keeperのデータベースインフラは、マルチリージョンとマルチゾーンです。データのバックアップは、30日以内に任意の時点(秒単位まで)にリストアすることができます。さらに、Keeperの記録履歴機能は、プラットフォームに保存されているすべてのパスワードまたは記録に対して、時間の初めからの完全な履歴の変更を提供します。
内部犯行者
オンプレミス型ソリューションでは、管理者はソフトウェアとストレージを完全に制御することができます。このため、管理者はユーザーのデータ保管庫を管理できる可能性があります。たとえ管理者の上司や経営陣のデータ保管庫であってもです。
さらに、管理者がソースコードからサービスを構築した場合、バグや脆弱性、権限昇格を引き起こす可能性があります。多くの環境では、経営陣や管理職は、管理者が特権を昇格させ、ユーザー保管庫の中身にアクセスすることを許可してはいけません。
Keeperはゼロナレッジとゼロトラストセキュリティアーキテクチャを使用して構築されています。Keeperは制限された権限を持つ委任された管理者ロールを作成するために簡単に設定することができます。Keeperの管理者は、自分が管理していないユーザーのデータ保管庫を復号化する能力を持つことはありません。
オープンソースのリスク
オープンソースコミュニティにフロントエンドとバックエンドのソースコードリポジトリを提供することは、透明性という点では注目すべきことではあります。しかし、多くの企業にとって、セキュリティ上のメリットは限定的です。 悪意のある行為者からのプルリクエストが、十分なレビューなしにオープンソースプロジェクトに受け入れられた場合、脆弱性がもたらされる可能性があります。ソースコードが公開されているからといって、セキュリティ研究者がコードを解析し、セキュリティ脆弱性をテストしているとは限りません。多くの公開ソースコードプロジェクトでは、脆弱性が何年も放置されていることが知られています。
Keeperは業界をリードするサイバーセキュリティ研究者と契約し、四半期ごとにKeeperソフトウェアのターゲットに対して、内部および外部からの完全なソースコードアクセスを伴う侵入テストを実施しています。Keeperはまた、バグクラウドと提携し、脆弱性開示プログラム(VDP)を管理しています。
Keeper の API および Keeper Commander, Keeper Secret Manager を対象とした SDK (ソフトウェア開発キット) はオープンソースで公開されており、当社のGitHubリポジトリで入手可能です。
従業員の入れ替わりによる監査上のギャップ
オンプレミスの管理担当者が退職した場合、以降の管理体制が十分にとれずにメンテナンス不足や安全対策の不備に至る可能性があります。さらに、管理者が解雇されたり、不利な条件で退職した場合、悪意のある行動(ユーザーデータ保管庫のコピー、脆弱性の導入、データの破壊など)の監査証跡が残らない可能性があります。
Keeperは、すべてのユーザーの活動の監査証跡を含む高度なレポートとアラートモジュールを備えています。Keeper管理者は、エンドユーザーのデータ保管庫のデータに直接アクセスすることはできません。
Keeper managed by ZUNDA について
ZUNDA株式会社は Keeper Security Inc 認定のMSP代理店として、パスワードマネージャーKeeperを法人・組織の皆様にお届けしております。
組織におけるパスワードの管理の効率化やセキュリティの向上を実現すべく、日本語による充実のサポートと運用管理(マネージドサービス)を日本のお客様に提供します。
詳しくはKeeper managed by ZUNDA 紹介サイトをご覧ください。
Keeper の関連記事
Related Posts
