パスワードのエクスポート - オフライン アクセス
PMPでは、安全なオフライン アクセスとパスワード情報の安全な保管のために、複数のエクスポート オプションを提供しています。
- 基本オプションは、リソース名、アカウント名、パスワードをプレーンテキストまたはスプレッドシートの形式でエクスポートする機能です。
- さらに安全なオプションとして、暗号化したHTMLファイルでのエクスポート機能があります。
- エクスポートしたHTMLファイルを、Dropboxを介してユーザーのモバイル端末に同期するオプションもあります。このオプションの使用例を次に説明します;
- 顧客の共有パスワードを管理するためにPMPを使用しているMSP(Managed Service Provider)が、顧客のネットワーク環境にあるPMPへのアクセス権がない技術者を顧客に派遣した場合
- 技術者がPMPへのアクセスを持たずにDMZの作業を行う場合
Note: 加えて、Dropbox, Box, and Amazon S3を含めたクラウドストレージサービスを通じて、暗号化HTMLファイルのモバイル端末への自動同期を行うことができます。どのようにクラウドオペレーションを使用するのかについては こちらの項目をご参照ください
上記のすべてのオプションで、リソース、アカウント、およびパスワードをオフラインアクセス用にエクスポートできます。管理者は、組織内でどのオプションを使用するかを決めることができます。また、要件に基づいて特定のユーザーまたはユーザーグループに対してエクスポートを有効または無効にすることができます。ただし、エクスポート用にユーザー固有の設定を行う前に、その機能をすべてのユーザーに対してグローバルに有効にする必要があります。
設定をグローバルに設定するには、
- 管理 >> セットアップ >> パスワードのエクスポートに移動します。
- ダイアログボックスが開き、パスワードのエクスポートに関連するさまざまなオプションが表示されます。デフォルトでは、プレーンテキストでパスワードを.xlsにエクスポートし、パスワードを暗号化されたHTMLファイルにエクスポートするという2つのオプションがすべてのユーザーと管理者に有効になります。これらのオプションを無効にするには、それぞれのチェックボックスをオフにします。3番目のオプション、つまり、Dropboxを介して暗号化されたHTMLファイルをユーザーのモバイルデバイスに自動的に同期させるには、このオプションを使用する必要があります。
- 平文パスワードを.xlsにエクスポートする設定
ユーザーと管理者にパスワードをエクスポートできる許可を与える一方で、リソースとアカウントの情報だけをエクスポートさせ、パスワード情報を.xlsファイル形式にプレインテキストで表記させないようにする選択ができます。これを行うには、チェックボックス[エクスポートするファイルにプレーンテキストのパスワードを含める]のチェックを外します。Note:管理者がPMPからのすべてのエクスポート操作に対する暗号化を許可すると、.xlsファイルは保護された状態でエクスポートされます。ユーザーは、アクセスしたいときに暗号化パスフレーズを閲覧することができます。Password Manager Proにログイン後、画面右上のマイプロフィールアイコンをクリックし、メニューからエクスポート設定を選択することでパスフレーズの閲覧とコピーが可能です。
暗号化HTMLファイルにエクスポートする設定
暗号化HTMLにパスワードをエクスポートすることで、ネットワーク接続のない環境においてもパスワードを確認することが可能になります。このオフライン オプションの安全性は非常に高いものとなります。オフライン アクセス用ファイルのコンテンツはAES-256ビット アルゴリズムと、パスワードをエクスポートする際ユーザーが入力するパスフレーズによって暗号化されます。PMPでは、このパスフレーズは保存されません。 パスフレーズは、通常使用するパスワードとは異なるものです。パスフレーズはどこにも保管されないので、ユーザーが記憶しておく必要があります。簡単なパスフレーズはセキュリティ上の観点から推奨できません。パスフレーズは、スペースを含む 32文字までの文字列です。
管理者はパスフレーズ作成の標準ポリシーを強制することができます。ポリシーはPMPの既定で設定された3つのパスワードポリシーから選択するか、カスタム ポリシーを独自に作成します。また、[暗号化パスフレーズのポリシー]で最適なポリシーを選択することができます。PMPでは、[Offline Password file]という名前のポリシーを事前に用意しており、既定ではこのポリシーが強制されます。
非アクティブなログアウトブラウザでパスワードを確認する際、自動的にユーザーがオフラインファイルからログアウトするまでの時間を分単位で指定することができます。[許可するアイドル時間]のテキスト項目に、タイムアウトの時間を入力します。
ユーザーの個別設定
パスワードのエクスポート機能の一部またはすべてを特定のユーザーが使用できないようにする、もしくは特定のユーザーにだけ許可する場合、[ユーザー] >> [その他の操作]>>[パスワードのエクスポート設定] から設定を行います。
3つのオプションのチェックボックスを操作して、有効/無効を選択します。ユーザー個別の設定は、上述した通り、グローバル管理設定の影響を受けます。つまり、グローバル設定で無効にされている機能は、ユーザー個別の設定で有効にすることはできません。逆に、グローバル設定で有効にされている機能は、ユーザー個別の設定で有効/無効を選択することができます。
ユーザー制限を強制する
パスワードのエクスポートを有効化/無効化する際、ユーザーに対して詳細な機能制限を強制することができます。
- ユーザーに平文でパスワードをエクスポートする許可を与える際に、エクスポート理由の入力が必須であるとユーザーに強制することができます。ユーザーが入力した理由は監査証跡に記録されます。加えて、リソース名、ユーザーアカウント情報のみをユーザーにエクスポート許可し、平文パスワードのエクスポートを許可しない設定にすることができます。
- パスワードを暗号化HTMLでエクスポートする際、安全上の理由により、管理者はエクスポートされたパスワードを指定時間後に自動リセットさせることができます(日単位、時間単位)。
- オフライン コピーをユーザーのモバイル端末に同期させる際、管理者はモバイル端末上のオフライン コピーを指定時間後に自動削除させることができます(日単位、時間単位)。また、ユーザーのモバイル端末からオフライン コピーが削除されると即時にパスワードを自動的にリセットする設定も可能です。
安全上の最小権限モデル
安全を確保するため、PMPでは、"最小権限モデル" を採用しています。例えば、特定のユーザーが3つのユーザー グループに属しているとします。また、そのうち1つのユーザー グループには、グループレベルの制限が適用されているとします - そのグループは、平文パスワードのエクスポートを許可されていません。上記のシナリオにおいては、たとえユーザー個別レベルで平文パスワードのエクスポートを許可されていたとしても、所属しているユーザー グループの制限が優先されます。上述している通り、上記ルールは制限のすべての種別に適用されます。
リソースのエクスポート
パスワードは、Password Manager Pro管理者によって設定された設定に従って、ユーザーおよび管理者がエクスポートできます。
リソースをエクスポートする場合は、リソース>>エクスポートに移動します
オプション 1:リソースを平文でスプレッドシートにエクスポートする
- プレーンテキストでエクスポートするには、
- [パスワードのエクスポート]ボタンの[プレーンテキスト(.xls)をエクスポート]のリンクをクリックします。
- リソースがファイルにエクスポートされ、ポップアップで表示されます。ファイルを安全な場所に保存します(.xls フォーマット)。
オプション 2:パスワードを暗号化HTMLでエクスポートする
- 暗号化HTMLファイルでエクスポートするには、
- [パスワードのエクスポート]ボタンの[暗号化HTML(.html)をエクスポート]リンクをクリックします。
- UI画面がポップアップ表示されるので、オフラインアクセス用HTMLファイルをAES-256で暗号化するためのパスフレーズを入力します。パスフレーズは、管理者が設定したパスワード ポリシーの条件を満たす必要があります。Password Manager Proでは、このパスフレーズをどこにも保管しませんが、このパスフレーズをどこかに保存したりメモしたりすることは推奨できません。パスフレーズを忘れてしまうと、コンテンツを読み取ることはできなくなるので、その場合は新しいパスフレーズを使用してオフライン ファイルを作りなおす必要があります。このファイルはどのWebブラウザでも開くことができ、同じパスフレーズを入力し、そのコンテンツ内容にアクセスします。
- パスフレーズを確認し、パスワードをエクスポートする理由を入力します。
リソースがHTMLファイルにエクスポートされます。リソースのエクスポートには時間がかかる場合があります。エクスポートが完了すると、オフライン コピーがポップアップ表示されます。ファイルを安全な場所に保存します(.html フォーマット)。