「あの資格情報、どこ?」を、組織から無くす。 CREDENTIAL SPRAWL を解決する
AWS、SharePoint、社内サーバー、SaaS、ネットワーク機器 — 組織で扱うアカウント情報は増え続けます。 Excel・付箋・個人のパスワードマネージャーに分散したクレデンシャルは、運用の足かせとなり、退職時のリスクにもなります。 CredManager は、それを「組織のもの」として正しい場所に置き直すためのツールです。
Excel・付箋・口頭伝達。「あれ、誰が知ってる?」が日常になっている状況を、組織として整理します。
特定の担当者しか知らないパスワード・MFA デバイス。CredManager は「持ち主」を明示し、引き継ぎを構造化します。
「誰がどの資格情報を見られるか」を組織のグループで制御。アクセス区分ごとに復号権限が分離されます。
いつ・誰が・どの操作をしたか。すべての変更が監査ログに残り、後から追跡できます。
現場の運用に必要な機能を、過不足なく。 FEATURES BUILT FOR DAILY OPS
資格情報の登録・検索・編集といった基本操作から、MFA 設定の記録、監査ログ、論理削除と復元まで。 運用現場で実際に必要になる機能だけを丁寧に揃えました。
グループ一覧 / 資格情報一覧 / 詳細の 3 ペイン構成。慣れたメールクライアントと同じ操作感で扱えます。
資格情報をグループでまとめ、名前・接続先・アカウント ID で絞り込み。よく使うものは ★ でお気に入り登録 (PC ローカル保存)。
各資格情報の機密区分が一目でわかるバッジ表示。区分ごとに別の暗号鍵で保護されており、権限がなければパスワードは復号されません。
TOTP・SMS・バックアップコードなど、多要素認証の登録情報を 1 つの資格情報に複数紐づけて管理。TOTP のワンタイムコード生成と QR 表示にも対応します。
MFA デバイスや設定の「持ち主」を必須項目相当で記録。退職や引き継ぎの際に誰へ確認すればよいかを構造化します。
削除は即時消去ではなく「削除済み」フラグを立てる方式。誤削除からの復元が可能で、運用上の安全余白を確保します。完全削除も任意で実行可能。
新規作成・編集・削除・復元・パスワード閲覧の各操作が、いつ・誰によって行われたかを記録。後から追跡可能です。
画面要素ごとにアプリ内ヘルプを内蔵。多言語化を前提に設計されており、新メンバーの学習コストを下げます。
登録した接続先 URL を既定ブラウザで開く動線。アカウント ID とパスワードもクリップボードへワンクリックでコピーできます。
暗号化のしくみ。 ENVELOPE ENCRYPTION ON MICROSOFT CLOUD
パスワードは「データ鍵」で暗号化し、データ鍵はさらにクラウドの「鍵管理サービス上の鍵」でラップ。 平文のパスワードはどこにも保存されず、復号に必要な鍵はクラウドの外に出ません。
パスワードや TOTP シークレットは、項目ごとに新しく生成した使い捨ての AES-256 データ鍵 (DEK) で AES-256-CBC 暗号化します。IV も項目ごとに別。
データ鍵はそのままでは保存せず、クラウドの鍵管理サービス上の RSA 鍵 (KEK) で RSA-OAEP 暗号化 (ラップ) します。鍵管理サービスの中の KEK は外に出ません。
SharePoint リストに保存されるのは「暗号文 + ラップ済みデータ鍵」のペア。SharePoint を直接開いてもパスワードは取り出せません。
復号は、ラップ済みデータ鍵を KEK でアンラップしてからデータ鍵で暗号文を AES 復号する流れ。KEK を呼び出せるのは、組織のアクセスグループに所属するサインイン中のユーザーだけです。
「平文を持たない」「区分で分離する」「すべて残す」。 SECURITY POSTURE
設計から運用まで、組織が情報資産として正しくクレデンシャルを扱うための原則を貫いています。
パスワード本体はもちろん、TOTP シークレットも同じ方式で暗号化して保管。SharePoint・PC ローカルともに、復号鍵を持たない者には平文を取り出せません。
各クレデンシャルには「アクセス区分」が設定され、区分ごとに別の鍵が使われます。組織のアクセスグループに所属しない区分は、UI 上で「閲覧権限なし」となります。
アプリ独自の認証は持たず、組織の Microsoft 365 アカウント (Entra ID) でサインインします。MFA・条件付きアクセス・退職時の即時無効化はすべて組織既存の仕組みで動きます。
新規作成・編集・削除・復元・パスワード閲覧の各操作が、操作者と時刻つきで監査ログに記録されます。後から追跡できる粒度を確保しています。
管理者の初期セットアップは、一度だけ。 SETUP FOR ADMINS, THEN JUST SIGN IN
初回だけ管理者が組織側の準備をします。それ以降、利用者は exe を起動して Microsoft 365 でサインインするだけです。
-
Microsoft Entra ID にアプリを登録
CredManager 用の Entra ID アプリを登録し、サインイン許可と SharePoint への委任アクセス許可に管理者同意を与えます。
-
SharePoint サイト・リストの準備
CredManager 用のプライベート SharePoint サイトを用意し、付属のセットアップスクリプトで暗号化保存用のリスト構造を作成します。
-
クラウド鍵管理サービスの準備
Azure Key Vault を作成 (RBAC モード)、アクセス区分の数だけ鍵を発行し、対応する Entra グループに鍵単位の利用権限を割り当てます。
-
アクセス区分のマッピング
区分名・対応する鍵名・対応する Entra グループ Object ID を
accessTiers.jsonに記入。最小構成は 1 区分から開始できます。 -
利用者は exe を起動するだけ
配布した CredManager.exe を起動し、Microsoft 365 アカウントでサインイン。以降、追加の環境設定は不要です。詳細手順は管理者ガイドを参照してください。
ダウンロード。 FREE TO TRY
現在 v0.1.0 を公開しています。動作環境は Windows 10 / 11 (x64) です。 利用には Microsoft 365 / Entra ID アカウントと、Microsoft 365 / Azure 環境への管理者セットアップが必要です。
単独 exe・install.bat・設定ファイルテンプレート (environment.json / accessTiers.json)・helpTexts.json・セットアップ用 PowerShell 2 本・SETUP-GUIDE.md・README.txt を 1 つの zip に同梱。展開して install.bat を実行すると %LOCALAPPDATA%\Programs\CredManager へインストールされます。.NET ランタイムは不要です。
- ファイル名
- CredManager-v0.1.0-d2d6ce2.zip
- サイズ
- 70,351,115 バイト (約 67 MiB)
- SHA-256
- 1021645B51AD344DC40B463D60506705BEE04731F828153E29D58E42846D0CF2
セットアップ概要: ① zip を展開し install.bat を実行 → ② 管理者が setup-sharepoint.ps1 で SharePoint サイト・リストを、setup-access-tiers.ps1 で Azure Key Vault キー・アクセス区分の Entra グループ・RBAC を構成 → ③ environment.json / accessTiers.json を自組織の値に書き換え → ④ Microsoft 365 アカウントでサインインして利用開始。詳細は zip 同梱の SETUP-GUIDE.md を参照してください。
動作環境: Windows 10 / 11 (x64)。.NET ランタイムは不要 (単独 exe)。
サインイン要件: 利用者は組織の Microsoft 365 アカウント (Entra ID)。
サーバー側要件: SharePoint Online サイト + Azure Key Vault (RBAC モード) + アクセス区分用 Entra グループ。
完全性の検証: ダウンロード後、PowerShell Get-FileHash .\CredManager-v0.1.0-d2d6ce2.zip -Algorithm SHA256 で上記 SHA-256 と一致することを確認してください。
CredManager の導入を、検討中ですか?
導入相談、評価利用、カスタマイズのご相談など、お気軽にお問い合わせください。 ITSN は ISMS 認証 (ISO/IEC 27001:2022) 取得企業として、貴社の情報資産を尊重した形でご支援します。