# 概要

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2Fml8iK5RrnBwZQltfz0KC%2FPEDM%20Overview.jpg?alt=media&#x26;token=fbd44161-930b-48b9-be1e-c5e30fde2865" alt=""><figcaption></figcaption></figure>

## エンドポイント特権マネージャー <a href="#endpoint-privilege-manager" id="endpoint-privilege-manager"></a>

### 概要 <a href="#overview-1" id="overview-1"></a>

Keeperエンドポイント特権マネージャー (KEPM) は、Windows、macOS、Linuxの各エンドポイントにおいて、特権昇格、ファイルアクセス、アプリケーション実行、コマンドライン操作をきめ細かく制御する**特権昇格および委任管理 (PEDM) ソリューション**です。

これにより、ユーザーは必要な作業を安全かつスムーズに進められ、セキュリティチームは監査の可視性とガバナンスの精度を高めたうえでポリシーを適用できます。

## ソリューション概要 <a href="#introduction-and-solution-overview" id="introduction-and-solution-overview"></a>

Keeperエンドポイント特権マネージャー (KEPM) は、恒常的な特権の排除、プロセスおよびマシンレベルでの最小特権アクセスの適用によるデータ侵害やサイバー攻撃からの保護、エンドポイント活動に対する一元ガバナンスを実現するための、モダンな**特権昇格および委任管理 (PEDM) ソリューション**です。

**Keeperエンドポイント特権マネージャーでできること**

* ユーザーが管理者として実行したり、機密ファイルやコマンドにアクセスしたりできる**タイミングと方法**を制御
* 機密操作の前に**MFA、承認、または正当な理由の入力**を必須化
* **恒常的なローカル管理者権限**の削減または撤廃
* ネットワーク設定を開く操作など**リスクの高い操作を、管理された代替操作へ誘導**
* **Windows、macOS、Linux**にわたりポリシーを一貫適用
* すべてのエンドポイントで**監査の可視性とガバナンスの精度**を高める

ポリシーは**Keeper管理コンソール**で定義され、各エンドポイントのKEPMエージェントがローカルで適用します。すべての昇格、ファイルアクセスの試行、ポリシー適合、承認ワークフローはポリシーに基づき制御され、監査可能です。

KEPMは、グローバル承認の一元化、監査可視性の拡大、リスクを意識した分析連携、コマンドレベルまで踏み込んだポリシー制御、組み込みのプラットフォームレジリエンスなどを通じて、エンタープライズのガバナンスと適用の精度を高めます。これらの機能により、WindowsおよびmacOS環境における運用の柔軟性を保ちつつ、エンドポイント上の特権管理を現行の要件に沿って強化します。

その結果、生産性を損なわずにセキュリティの強化、測定可能なコンプライアンス、運用の継続性が得られます。

本ドキュメントでは、エンドポイント特権マネージャーのセットアップ、展開、管理手順を解説します。

{% hint style="info" %}
エンドポイント特権マネージャーについて詳しくは、Keeperのカスタマーサクセスチームまでお問い合わせください。
{% endhint %}

***

### ソリューション概要 <a href="#solution-overview" id="solution-overview"></a>

主な機能は以下のとおりです。

* Windows、Linux、macOSエンドポイントへの**エージェントベースの展開**
* すべてのデスクトップおよびサーバー向けの**最小特権管理**
* すべての展開における**恒常的なローカル管理者権限の撤廃**
* きめ細かいアクセス制御のための**プロセスレベルの特権管理**
* プロセスおよびマシンレベルでの**ジャストインタイム (JIT)アクセス**
* 承認およびエスカレーションワークフローを備えた**昇格リクエスト**
* 組織のリスク許容度に応じた**柔軟なポリシー管理**
* SPIFFEおよびMQTTプロトコルを活用した**標準ベースのアーキテクチャ**
* ServiceNow、Jira、Salesforceをはじめとする**ITSMソリューションとの連携**

### ソリューション概要の機能一覧 <a href="#solution-overview-feature-list" id="solution-overview-feature-list"></a>

コンソールやエージェントを通じて、特権管理によってエンドポイントを保護する機能を以下のように整理できます。

* **一元管理コンソール:** 展開、コレクション、ポリシー、リクエスト、監査履歴を一か所で管理
* **デプロイメントグループとターゲティング:** 段階的なロールアウトと、ユーザー、マシン、アプリ、プラットフォームによるスコープ設定
* **エージェントベースのエンドポイント適用範囲:** Windows、macOS、Linuxエンドポイントにわたる制御の適用
* **最小特権の適用:** ユーザーとワークロードが必要な権限のみで動作するようにする
* **恒常的なローカル管理者権限の撤廃:** 生産性を維持しながら永続的な管理者権限をなくす
* **プロセスレベルの特権制御:** アカウント全体ではなく、承認されたアプリとプロセスのみを昇格
* **ジャストインタイム昇格:** 必要に応じてプロセスまたはマシンレベルで時間制限付きアクセスを付与
* **昇格リクエストと承認:** 正当な理由の入力、承認、エスカレーション経路を備えたユーザーからのリクエストに対応
* **アプリケーション、コマンド、データの制御:** ポリシーベースのルールと一時付与により、リスクの高い操作や機密アクセスを制限
* **監査とレポート:** 調査、コンプライアンス、運用上の可視化のための詳細な活動の記録

### 監査の可視性とガバナンスの精度の拡大 <a href="#expanded-audit-visibility-and-governance-precision" id="expanded-audit-visibility-and-governance-precision"></a>

ガバナンスと可視性はKEPMの中核的な利点です。

**Keeperエンドポイント特権マネージャーが備える主な機能**

* 特権昇格、ファイルアクセス、コマンドライン操作、ポリシー評価に関する詳細な監査イベント
* どのポリシーが適用されたか、その理由の明確な可視化
* 正当な理由の入力、MFAチャレンジ、承認判断の追跡
* コンプライアンス報告やフォレンジック調査のための完全な監査証跡
* SIEMやセキュリティ監視ツール向けのイベントストリーム連携

セキュリティチームは、プロセス、マシン、ユーザーの各レベルでガバナンスポリシーを正確に適用でき、説明責任のある統制が可能です。

### 強力なイベント駆動型システム。安全性を損なわない拡張性 <a href="#a-powerful-event-driven-system-extensible-without-compromising-security" id="a-powerful-event-driven-system-extensible-without-compromising-security"></a>

KEPMはイベント駆動型アーキテクチャを基盤としています。ユーザーが昇格をリクエストするなどの操作を契機として、**自動化ワークフロー**が開始されます。ワークフローに含まれうる処理は以下のとおりです。

* MFAチャレンジ
* 承認ルーティング
* 正当な理由の取得
* ジョブによるカスタムスクリプトまたはAPI呼び出し

以下の手段で**システムを拡張**できます。

* カスタムフィルター
* スクリプトの実行やAPI呼び出しを行うジョブ
* エンドポイントに設定を配布する構成ポリシー
* 管理された代替アプリへ誘導するリダイレクトポリシー

すべての機能は同一のポリシーおよび監査モデル下で動作します。エージェントの制御面はローカルに保たれ、信頼できるコンポーネントのみが特権操作を開始できます。

### ゼロスタンディング特権 (ZSP) <a href="#zero-standing-privilege-zsp" id="zero-standing-privilege-zsp"></a>

KEPMにより、組織はゼロスタンディング特権へ移行できます。

* ユーザーは既定ではローカル管理者ではない
* 必要な場合にのみ昇格をリクエストする
* ポリシーが許可、拒否、MFA必須、正当な理由の必須、承認の要否を判断する

これにより攻撃対象領域を大幅に縮小しつつ、運用効率を維持できます。

Keeperエンドポイント特権マネージャーの「最小特権」ポリシーでは、Windows、macOS、Linuxを含む管理対象のすべてのデバイスについて、ユーザーからローカル管理者権限を外します。**Windows**ではローカル管理者グループから、**macOS**および**Linux**では `sudo` から外します。

特権コマンドは、Keeperが管理する**一時的なアカウント**から実行されます。

### きめ細かな適用とアプリケーション制御 <a href="#granular-enforcement-and-application-control" id="granular-enforcement-and-application-control"></a>

KEPMは従来の昇格シナリオを超えて最小特権の適用を広げます。コマンドレベルまで踏み込んだ昇格により、昇格された操作を精密に制御し、過剰な権限付与のリスクを抑えます。通常実行時にはアプリケーションの許可リストおよび拒否リスト（AllowList/DenyList）ポリシーに対応し、既定拒否の方針を強化するとともに、昇格時と非昇格時の両方でアプリケーションの振る舞いを統制できます。ポリシーのターゲティング選択肢の拡大により柔軟性が高まり、管理の一元性は維持されます。KEPMはアプリケーションを意識したきめ細かな適用を実現します。

#### 特権昇格 <a href="#privilege-elevation" id="privilege-elevation"></a>

* アプリ、コマンドライン、ユーザー、グループ、またはマシンへの**対象指定**
* ポリシーごとに許可、拒否、MFA、正当な理由、承認のいずれかを適用
* アカウント全体ではなく**プロセスだけを昇格**

#### ファイルおよびデータアクセス <a href="#file-and-data-access" id="file-and-data-access"></a>

* ファイルまたはフォルダへのアクセスを許可、拒否、条件付きで許可
* 機密アクセスに正当な理由または承認を必須化

#### コマンドライン制御 <a href="#command-line-control" id="command-line-control"></a>

* コマンドまたはパターンのルールを定義
* コマンドラインからの操作にポリシーを適用

**変数**と**ワイルドカード**により、長大なルール一覧を維持せずに**スケーラブルなポリシー対象指定**が可能です。

### コマンドライン保護とkeepersudo <a href="#command-line-protection-and-keepersudo" id="command-line-protection-and-keepersudo"></a>

Keeperエンドポイント特権マネージャーは**コマンドラインポリシー**タイプによってコマンドライン上の特権利用を保護します。

macOSおよびLinuxでは、KEPMが**keepersudo**コマンドと統合され、従来の `sudo` の挙動をポリシー管理下で置き換えまたはラップします。

コマンドラインポリシーにより、以下のことが可能です。

* 特定のコマンドの制御または制限
* 実行前に正当な理由の入力を必須化
* 機密操作では `MFA` を要求
* リスクの高いコマンドを承認フローへルーティング
* 定義されたコマンドに限った一時的な昇格の付与

これにより `sudo` の利用が統制され、監査され、最小特権の原則に沿います。

### 監査と可視化 <a href="#audit-and-visibility" id="audit-and-visibility"></a>

監査の可視化により、運用やフォレンジックの場面でも状況を広く把握できます。管理者は昇格の流れ全体を確認でき、リクエストの提出から承認、実行まで追跡できます。

ポリシーの監査エントリには、昇格アカウントの利用状況、`MFA` で確認した本人、ファイルパス、コマンドライン引数など、文脈を補った情報が含まれます。セッション単位の相関識別子によりコンポーネント間の追跡がしやすくなります。さらに、統合されたリスクスコアリングのデータによりコンプライアンス報告が強化され、高度な行動分析を支えます。

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2FdXoU3SJAD2M26w8QQeXp%2Fimage.png?alt=media&#x26;token=a53b289d-69cc-485b-a14f-cfddcc27299b" alt=""><figcaption></figcaption></figure>

### プラットフォームのレジリエンスと信頼性 <a href="#platform-resilience-and-reliability" id="platform-resilience-and-reliability"></a>

KEPMは環境をまたいだ運用レジリエンスを念頭に構築されており、エンドポイント保護を継続するための仕組みを内蔵しています。

#### マルチプラットフォーム対応 <a href="#multi-platform-coverage" id="multi-platform-coverage"></a>

* Windows
* macOS
* Linux

#### サービスベースのアーキテクチャ <a href="#service-based-architecture" id="service-based-architecture"></a>

**各エンドポイントのローカルサービスは、以下を担います。**

* ポリシー評価
* バックエンドとの同期
* ログ記録
* ワークフローの適用

#### Keeper Watchdog サービス (Windows) <a href="#keeper-watchdog-service-windows" id="keeper-watchdog-service-windows"></a>

任意の**Keeper Watchdogサービス**がプライマリEPMサービスを監視し、中断または終了した場合に自動で再起動します。

#### EPM Watchdog (プラグインとジョブ) <a href="#epm-watchdog-plugins-and-jobs" id="epm-watchdog-plugins-and-jobs"></a>

任意の**KEPM Watchdog** (構成可能)がプラグインおよびジョブの実行状態を監視し、運用の信頼性と自己修復的な挙動を確保します。

#### ヘルスとステータスの監視 <a href="#health-and-status-monitoring" id="health-and-status-monitoring"></a>

* 組み込みのヘルスエンドポイント
* 自動化および監視システム向けのステータス確認
* エージェントの再インストールなしに構成可能なプラグインと展開の更新

### ダッシュボード <a href="#dashboard" id="dashboard"></a>

**Keeper管理コンソール**はEPMの一元管理コンソールです。既定のダッシュボードには、監視モードのイベントを含む最新のイベントが表示されます。ダッシュボードから、特権マネージャーの主要エリアへ移動できます。

ダッシュボードでは、管理者は以下の操作が可能です。

* EPMの有効化とライセンス管理
* デバイス全体に最小特権アクセスを適用する**ポリシー**の作成と管理
* **コレクション**を定義してポリシーの適用範囲を設定し、アプリケーション、マシン、ユーザーのグループを管理する
* **承認者**と承認ワークフローの構成
* **デプロイメントグループ**の管理
* **展開**とエンドポイントの状態の監視
* **リクエスト**と承認履歴の処理およびレビュー
* 詳細な**監査履歴**とレポートデータへのアクセス

管理者はダッシュボードで一度設定すれば、エージェントによってポリシーがすべての場所で適用されます。

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2FFdTsbc4w2qHfX1vwO2eE%2FDashboard%20-%20Full%20State.png?alt=media&#x26;token=da59bc50-1206-473b-a797-a83f7dbd08de" alt=""><figcaption><p>エンドポイント特権マネージャー</p></figcaption></figure>

### デプロイメントグループとターゲティング <a href="#deployment-groups-and-targeting" id="deployment-groups-and-targeting"></a>

デプロイメントグループにより、段階的なロールアウトときめ細かなターゲティングが可能です。

以下のことができます。

* フェーズに沿った展開 (テスト → パイロット → 部門 → エンタープライズ)
* 以下の軸でのポリシースコープ
  * ユーザーまたはグループ
  * マシン
  * アプリケーション
  * プラットフォーム
* 以下のポリシーモードの調整
  * オフ
  * 監視
  * 監視および通知
  * 適用

これにより安全なロールアウトとガバナンスの精度が確保されます。

### KeeperPAM プラットフォームにおける Keeperエンドポイント特権マネージャー <a href="#keeper-endpoint-privilege-manager-within-the-keeperpam-platform" id="keeper-endpoint-privilege-manager-within-the-keeperpam-platform"></a>

Keeperエンドポイント特権マネージャーは、より広い**KeeperPAMプラットフォーム**の一部です。**KeeperPAM**は特権アクセス管理向けの統合プラットフォームとして、相互に補完する複数のサービスを束ねます。

* **パスワード管理:** 認証情報の安全な保管とローテーション
* **シークレット管理:** アプリケーションのシークレットとAPIキーの管理
* **ゼロトラストネットワークアクセス:** 安全で検証済みのリモート接続
* **接続管理:** リモートシステムへの効率的なアクセス
* **セキュアトンネリング:** 機密リソースへの保護された経路

KEPMはローカル特権とアプリケーション実行を制御することで、ゼロトラストの原則をエンドポイントにも適用します。

KeeperPAMがインフラ、セッション、認証情報へのアクセスを保護する一方で、KEPMはエンドポイントレベルでの最小特権と委任を適用し、KeeperPAMの機能を拡張して統合されたセキュリティとガバナンスのモデルを形成します。KEPMは、ユーザーがKeeperPAMによって保護されたシステム上で作業するときに、どの特権を持つかを統制します。

たとえば、管理者がKeeperPAMの接続機能でサーバーに安全にアクセスしたあと、そのサーバー上のローカル管理者権限を特権マネージャーが制御します。同様に、特権マネージャーがエンドユーザーのワークステーションにおける日常的な昇格リクエストを扱い、恒常的なローカル管理者権限を不要にしつつ、ジャストインタイム昇格によって必要な操作を可能にします。

## エンドユーザー体験 <a href="#end-user-experience" id="end-user-experience"></a>

KEPMはセキュリティを維持しながら生産性を高めるよう設計されています。

Keeperエージェントを実行しているユーザーには、デバイスに適用されているポリシーの確認や、承認および昇格リクエストの状況監視用のUIが用意されています。KeeperエージェントのUIはWindows、macOS、Linuxで利用できます。

* 必要な場合にのみ昇格をリクエスト
* 正当な理由や `MFA` が必要な旨を**明確なダイアログ**で提示
* **承認済みの操作**はスムーズに続行
* リダイレクトは単純な拒否ではなく**安全な代替手段**を提示
* **昇格は一時的でポリシー管理下**に置かれる

体験はWindows、macOS、Linuxの各対応プラットフォームで一貫し、予測可能です。

<h4 align="right">Windows</h4>

Windowsユーザーが昇格を要するアプリの実行を試みた場合の例です。

* EPMのダイアログに正当な理由や `MFA` の要件が表示される
* 必要に応じて承認ワークフローが起動する
* 昇格は時間制限付きでポリシー管理下に置かれる

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2FiaL417JxbGkCzlS5LJfc%2Fimage.png?alt=media&#x26;token=b93a5fa2-c05e-4d2d-bd5d-40affcb1194b" alt=""><figcaption></figcaption></figure>

<h3 align="right">macOS</h3>

macOSでは昇格とファイルアクセスの制御が同一のポリシーモデルで動作します。

* 正当な理由や `MFA` についてはネイティブに近いダイアログが表示される
* ポリシーはGUIアプリとコマンドラインツールの双方を統制する

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2FOIxGb9AzAtTXCSGUObMU%2FScreenshot%202025-10-25%20at%202.55.03%E2%80%AFPM.png?alt=media&#x26;token=74c21863-056d-4719-a046-13cb8d31213e" alt=""><figcaption></figcaption></figure>

<h4 align="right">Linux (GNOME)</h4>

LinuxではEPMが管理された昇格フローを通じてポリシーを適用します。

* CLIの操作は `keepersudo` によって統制される
* 特権実行の前にポリシーが評価される

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2FhAfO68mUcIHW8IAyJCBP%2FScreenshot%202025-10-25%20at%202.12.17%E2%80%AFPM.png?alt=media&#x26;token=1581d9f1-82ba-4bd7-bb1f-0569c0861fe1" alt="GNOMEを実行しているLinuxデバイス"><figcaption><p>GNOMEを実行しているLinuxデバイス</p></figcaption></figure>

***

### コマンドライン体験 <a href="#command-line-experience" id="command-line-experience"></a>

macOSおよびLinuxのエンドポイントでは、Keeperはコマンドラインポリシーのタイプを通じて `sudo` による昇格を保護します。以下のスクリーンショットのとおり、昇格リクエストには `keepersudo` コマンドが用いられます。

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2FkZy1Rhh10ZLQxsTrzONW%2FScreenshot%202025-10-25%20at%202.45.52%E2%80%AFPM.png?alt=media&#x26;token=ef8e28c8-ef1a-459c-8c79-66f0b7863568" alt=""><figcaption><p>GNOMEを実行しているLinuxデスクトップ</p></figcaption></figure>

以下の例では、ユーザーが `root` への昇格をリクエストし、管理者によってアクセスが承認されます。

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2FbiH7Mb2tCsTKzJlqKTn7%2FScreenshot%202025-10-25%20at%202.50.19%E2%80%AFPM.png?alt=media&#x26;token=80ee4161-3e1f-45d8-a604-727e8c33bbe4" alt=""><figcaption><p>昇格リクエスト中のLinuxのSSHセッション</p></figcaption></figure>

### 昇格の承認 <a href="#elevation-approvals" id="elevation-approvals"></a>

管理者による昇格の承認は、**Keeper管理コンソール**、コマンダーCLI、またはその他の連携アプリケーションで実施します。

#### 特権昇格 <a href="#privilege-elevation-1" id="privilege-elevation-1"></a>

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2FrH7q2bjW37pWsNyN66hH%2Fimage.png?alt=media&#x26;token=973f2174-6396-4821-ad5d-939e0910e246" alt=""><figcaption><p>Windowsでの特権昇格リクエストの承認</p></figcaption></figure>

#### コマンドライン (sudo) の承認 <a href="#command-line-sudo-approval" id="command-line-sudo-approval"></a>

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2FOe44vkdv7lxRQqYFkAGR%2FScreenshot%202025-10-25%20at%203.02.16%E2%80%AFPM.png?alt=media&#x26;token=84299e16-0bfb-4a9a-9554-c20e3b4e1990" alt=""><figcaption><p>コマンドラインでの昇格リクエストの承認</p></figcaption></figure>

### 運用の柔軟性 <a href="#operational-flexibility" id="operational-flexibility"></a>

KEPMにおける運用の柔軟性は、動的な構成、効率化された展開ワークフロー、管理側のリアルタイムな可視化によって実現されます。安全なロールアウトのためのポリシーモード、プラグインとジョブ管理のための構成ポリシー、変数とワイルドカードによるスケーラブルなターゲティング、エアギャップ環境向けのオフライン登録オプションなどを備えており、セキュリティチームは生産性を損なわずにガバナンスを調整し、適用の精度を維持できます。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/jp/keeperpam/endpoint-privilege-manager/overview.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.