パスワードマネージャーを比較していたので、まとめてみます
情シスSlackアドベントカレンダー参加記事です。
主要所は以下のような感じですかね
- 1password (https://1password.com/jp/)
- Lastpass (https://www.lastpass.com/)
- bitwarden (https://bitwarden.com/)
- keeper (https://www.keepersecurity.com/ja_JP/)
他にもありますが、今回触ってみたのは上記4つなので、こちらの製品に焦点を当てます
要件
弊社では、AzureADを利用しているためAzureADのSSOは必須、SCIMはできたらいいな
導入するならログをきちんと出してほしいので、誰がどのサイトに対していつログイン情報を利用した。というログも取りたい
というざっくり要件です。
ほとんどの製品が、ブラウザ拡張や各プラットフォームのアプリを展開しているので今回比較対象として対応状況は入れてません
結論
keeperにしました
※結論については私の個人的意見なので利用される方の運用や組織で必要なものを確認して確定させてください
比較表
間違ってたら教えてください
| 比較項目 | 1password Business | LastPass Enterprise | Keeper Enterprise | bitwarden |
|---|---|---|---|---|
| 価格/月額/User | $7.99 | $6 | ¥542 | $5 |
| SSO | × | ○ | ○ | ○ |
| SCIM | 別途サーバが必要 | ○ | ○ | × |
| レポートの表示 | ◎ | ○(ちょっと△?) | ○ | ? |
| 共有フォルダ | ○ | ○ | ○ | ○ |
| 管理者制御 | ○ | ○ | ○ | ○ |
| 日本語対応 | ○ | × | ○ | ○ |
| 日本語サポート | ○ | × | ○ | ? |
| API有無 | CLIコマンドのみ? | あるっぽいけどドキュメントどこ? | ○(SDK) | ○ |
| SOC1 | ○ | |||
| SOC2 | ○ | ○ | ○ | ○ |
| SOC3 | ○ | ○ | ||
| ISO27001 | ○ | |||
| GDPR Compliant | ○ | ○ | ○ | |
| HIPAA Compliant | ○ | ○ | ||
| CCPA | ○ |
keeperはレポートアラートが別モジュールとなっており、\1,100/年/Userが別途必要になります。
トライアルしてみた感想
1password
1passwordは、SCIMサーバを別途自分で構築しないといけないので、利用している方にヒアリングしたり、画面をみたりして調べたのみです。
日本語に対応しています。
ログはとてもいい感じで表示してくれますね
詳細画面はこちらの説明動画がわかりやすいかと思います。
https://youtu.be/3mx8jnmMEbk
1password for Businessを会社が利用していると個人用の1passwordが無料で使えるのは福利厚生になっていいなとは思いますよね
課金しているユーザーが入社して、組織に個人利用アカウントを登録すると在籍している間は無課金になるらしいです
1passwordを家でも使えるというのはありがたい特典ですね。
Lastpass
管理画面等すべて英語です
Federated Loginを公開されている手順書通りに設定したのですが、ログインしようとすると
AADSTS500031: Cannot find signing certificate configured
と言われてしまい調査に時間がかかりました・・・
AADとの連携手順書はこちらにありますが、うまくいかず
https://assets.cdngetgo.com/7d/36/b21280274407bf4a17d7c34df639/federated-login-using-azure-ad.pdf
LastPassのコミュニティがあったのでエラーを検索したらHITしました。
AADアプリ登録を新UIでやるとエラーになるようです。古いUIを使って再登録するとFederation Loginが正常にできました
https://community.logmein.com/t5/LastPass-Enterprise/Cannot-find-signing-certificate-configured/m-p/255770
Admin ConsoleからShared Folderを作成することが可能なので、わかりやすいといえばわかりやすいですね
ログに関しては以下のように表示されます
ドメイン名でログがでるので、同じSaaS等に複数アカウントのログイン情報を登録した場合どっちが使われたんだ?
という形になりそうです。
ここは設定したName情報をログに表示して欲しいところですね。
設定でログの記録形式を変更とかできるのでしょうか?
bitwarden
管理画面等日本語に対応しています
GitHubのような使い方を想定しているような動作をするため、組織でパスワードマネージャーとして使うのは厳しいなと感じました(BYOID的な?)
まずは無料アカウントつくってもらって、そのアカウントを組織のbitwardenに紐付ける形で登録する感じでした。
SSOで呼び込んだ場合でも、招待済みとなるだけでアカウント作成、アクティベートの処理がユーザー側で必要になります
個人Vaultに会社で使うパスワードを入れないでと言っても、意図せず保存させたりそもそも退職後でも無料アカウントが残ったままになってしまうのはちょっと頂けないなと思いました。
個人で無料利用するにはとてもいいと思いますが、組織のパスワードマネージャーと言う観点では私の判断では厳しいという感覚です
副業先とかに対して情報を提供するとかの場合にはよさそうですね。
委託側も複数会社さんの情報を自分の1アカウントでまかなえるという意味ではいいのかもしれません。
SOC取得ブログ
https://bitwarden.com/blog/post/bitwarden-achieves-soc-2-certification/
keeper
管理画面等日本語に対応しています
ログインするとこんなダッシュボードが表示されます
管理コンソールはセッションタイムアウトが早く少し調べ物して戻るとログアウトされてます・・・
設定で変更は可能かと思いますが、デフォルトだとちょっと短いなという印象でした
ブラウザ拡張機能があるのですが、古いバージョンも公開されており古いバージョンだとSSOログインができません・・・
2020/12月現在ではV15というものが最新なのでV15をインストールするようにしてください。
ログはこういう形で表示されます。UIDだけ表示されてもどれ?っていう感じだったのですが、
これもどうにか紐付けとか、表示を変更できないんですかね
米国の日本語がしゃべれるエンジニアさんとMTGをこれを書いた後にしたらここから見れるよ!って教えてもらえたので解決しました!
保存した情報の詳細を開いて、informationマークをクリックするUIDがでるのでここと突合するとどの情報を利用したのかがわかります
管理者が退職時とかにはGoogle Workspaceと同じ用に権限移譲処理が必要になりそうです。
所有の移転というメニューがあります
それでもメニューで用意されているので、データは簡単に別ユーザーへ移行できそうですね
ヘルプページ
https://docs.keeper.io/jp/#16-noniborutowosuru
keeperにトライアル登録をしたらメールがきてここに日本語ドキュメントあるからよろしくな!って来てました
https://docs.keeper.io/jp/
また、ちょっと質問のやりとりをさせて頂いたのですが、日本語できちんと対応してくれるのでその点はとてもいいですね!
Keeper Securitはダークウェブで出回っているパスワード等の突合をするには別オプションが必要になります。
https://www.keepersecurity.com/ja_JP/breachwatch.html
Keeper Security Enterprise Plusというライセンスがありそちらはすべて含まれています。
その場合は1ユーザ約800円です
そんなのいらないという場合にはオプションをつけなくても利用することができます(このオプションはつけたほうがいいとは思いますが)
最低ライセンス(¥542)でも、SAML、SCIMには対応しています
ということで弊社では、Keeper Securityを利用することにし徐々に展開範囲を広げていっている真っ最中です。
すべてSAMLやSSO対応できればいいのですが、まだまだできないサービスも多くあるためパスワードマネージャーを利用して安全に利用していきたいですね
P.S.
手順書等つくるのにロゴキットを探したのですが、KEEPERは製品のスクリーンショットを用意してくれてるのでおぉってなりました
https://www.keepersecurity.com/ja_JP/press.html?t=assets