search
Ctrlk

概要

特権昇格および委任管理 (PEDM) ソリューション

hashtag
エンドポイント特権マネージャー

hashtag
概要

Keeperエンドポイント特権マネージャー (KEPM) は、Windows、macOS、Linuxの各エンドポイントにおいて、特権昇格、ファイルアクセス、アプリケーション実行、コマンドライン操作をきめ細かく制御する特権昇格および委任管理 (PEDM) ソリューションです。

これにより、ユーザーは必要な作業を安全かつスムーズに進められ、セキュリティチームは監査の可視性とガバナンスの精度を高めたうえでポリシーを適用できます。

hashtag
ソリューション概要

Keeperエンドポイント特権マネージャー (KEPM) は、恒常的な特権の排除、プロセスおよびマシンレベルでの最小特権アクセスの適用によるデータ侵害やサイバー攻撃からの保護、エンドポイント活動に対する一元ガバナンスを実現するための、モダンな特権昇格および委任管理 (PEDM) ソリューションです。

Keeperエンドポイント特権マネージャーでできること

  • ユーザーが管理者として実行したり、機密ファイルやコマンドにアクセスしたりできるタイミングと方法を制御

  • 機密操作の前にMFA、承認、または正当な理由の入力を必須化

  • 恒常的なローカル管理者権限の削減または撤廃

  • ネットワーク設定を開く操作などリスクの高い操作を、管理された代替操作へ誘導

  • Windows、macOS、Linuxにわたりポリシーを一貫適用

  • すべてのエンドポイントで監査の可視性とガバナンスの精度を高める

ポリシーはKeeper管理コンソールで定義され、各エンドポイントのKEPMエージェントがローカルで適用します。すべての昇格、ファイルアクセスの試行、ポリシー適合、承認ワークフローはポリシーに基づき制御され、監査可能です。

KEPMは、グローバル承認の一元化、監査可視性の拡大、リスクを意識した分析連携、コマンドレベルまで踏み込んだポリシー制御、組み込みのプラットフォームレジリエンスなどを通じて、エンタープライズのガバナンスと適用の精度を高めます。これらの機能により、WindowsおよびmacOS環境における運用の柔軟性を保ちつつ、エンドポイント上の特権管理を現行の要件に沿って強化します。

その結果、生産性を損なわずにセキュリティの強化、測定可能なコンプライアンス、運用の継続性が得られます。

本ドキュメントでは、エンドポイント特権マネージャーのセットアップ、展開、管理手順を解説します。

circle-info

エンドポイント特権マネージャーについて詳しくは、Keeperのカスタマーサクセスチームまでお問い合わせください。

hashtag
ソリューション概要

主な機能は以下のとおりです。

  • Windows、Linux、macOSエンドポイントへのエージェントベースの展開

  • すべてのデスクトップおよびサーバー向けの最小特権管理

  • すべての展開における恒常的なローカル管理者権限の撤廃

  • きめ細かいアクセス制御のためのプロセスレベルの特権管理

  • プロセスおよびマシンレベルでのジャストインタイム (JIT)アクセス

  • 承認およびエスカレーションワークフローを備えた昇格リクエスト

  • 組織のリスク許容度に応じた柔軟なポリシー管理

  • SPIFFEおよびMQTTプロトコルを活用した標準ベースのアーキテクチャ

  • ServiceNow、Jira、SalesforceをはじめとするITSMソリューションとの連携

hashtag
ソリューション概要の機能一覧

コンソールやエージェントを通じて、特権管理によってエンドポイントを保護する機能を以下のように整理できます。

  • 一元管理コンソール: 展開、コレクション、ポリシー、リクエスト、監査履歴を一か所で管理

  • デプロイメントグループとターゲティング: 段階的なロールアウトと、ユーザー、マシン、アプリ、プラットフォームによるスコープ設定

  • エージェントベースのエンドポイント適用範囲: Windows、macOS、Linuxエンドポイントにわたる制御の適用

  • 最小特権の適用: ユーザーとワークロードが必要な権限のみで動作するようにする

  • 恒常的なローカル管理者権限の撤廃: 生産性を維持しながら永続的な管理者権限をなくす

  • プロセスレベルの特権制御: アカウント全体ではなく、承認されたアプリとプロセスのみを昇格

  • ジャストインタイム昇格: 必要に応じてプロセスまたはマシンレベルで時間制限付きアクセスを付与

  • 昇格リクエストと承認: 正当な理由の入力、承認、エスカレーション経路を備えたユーザーからのリクエストに対応

  • アプリケーション、コマンド、データの制御: ポリシーベースのルールと一時付与により、リスクの高い操作や機密アクセスを制限

  • 監査とレポート: 調査、コンプライアンス、運用上の可視化のための詳細な活動の記録

hashtag
監査の可視性とガバナンスの精度の拡大

ガバナンスと可視性はKEPMの中核的な利点です。

Keeperエンドポイント特権マネージャーが備える主な機能

  • 特権昇格、ファイルアクセス、コマンドライン操作、ポリシー評価に関する詳細な監査イベント

  • どのポリシーが適用されたか、その理由の明確な可視化

  • 正当な理由の入力、MFAチャレンジ、承認判断の追跡

  • コンプライアンス報告やフォレンジック調査のための完全な監査証跡

  • SIEMやセキュリティ監視ツール向けのイベントストリーム連携

セキュリティチームは、プロセス、マシン、ユーザーの各レベルでガバナンスポリシーを正確に適用でき、説明責任のある統制が可能です。

hashtag
強力なイベント駆動型システム。安全性を損なわない拡張性

KEPMはイベント駆動型アーキテクチャを基盤としています。ユーザーが昇格をリクエストするなどの操作を契機として、自動化ワークフローが開始されます。ワークフローに含まれうる処理は以下のとおりです。

  • MFAチャレンジ

  • 承認ルーティング

  • 正当な理由の取得

  • ジョブによるカスタムスクリプトまたはAPI呼び出し

以下の手段でシステムを拡張できます。

  • カスタムフィルター

  • スクリプトの実行やAPI呼び出しを行うジョブ

  • エンドポイントに設定を配布する構成ポリシー

  • 管理された代替アプリへ誘導するリダイレクトポリシー

すべての機能は同一のポリシーおよび監査モデル下で動作します。エージェントの制御面はローカルに保たれ、信頼できるコンポーネントのみが特権操作を開始できます。

hashtag
ゼロスタンディング特権 (ZSP)

KEPMにより、組織はゼロスタンディング特権へ移行できます。

  • ユーザーは既定ではローカル管理者ではない

  • 必要な場合にのみ昇格をリクエストする

  • ポリシーが許可、拒否、MFA必須、正当な理由の必須、承認の要否を判断する

これにより攻撃対象領域を大幅に縮小しつつ、運用効率を維持できます。

Keeperエンドポイント特権マネージャーの「最小特権」ポリシーでは、Windows、macOS、Linuxを含む管理対象のすべてのデバイスについて、ユーザーからローカル管理者権限を外します。Windowsではローカル管理者グループから、macOSおよびLinuxでは sudo から外します。

特権コマンドは、Keeperが管理する一時的なアカウントから実行されます。

hashtag
きめ細かな適用とアプリケーション制御

KEPMは従来の昇格シナリオを超えて最小特権の適用を広げます。コマンドレベルまで踏み込んだ昇格により、昇格された操作を精密に制御し、過剰な権限付与のリスクを抑えます。通常実行時にはアプリケーションの許可リストおよび拒否リスト(AllowList/DenyList)ポリシーに対応し、既定拒否の方針を強化するとともに、昇格時と非昇格時の両方でアプリケーションの振る舞いを統制できます。ポリシーのターゲティング選択肢の拡大により柔軟性が高まり、管理の一元性は維持されます。KEPMはアプリケーションを意識したきめ細かな適用を実現します。

hashtag
特権昇格

  • アプリ、コマンドライン、ユーザー、グループ、またはマシンへの対象指定

  • ポリシーごとに許可、拒否、MFA、正当な理由、承認のいずれかを適用

  • アカウント全体ではなくプロセスだけを昇格

hashtag
ファイルおよびデータアクセス

  • ファイルまたはフォルダへのアクセスを許可、拒否、条件付きで許可

  • 機密アクセスに正当な理由または承認を必須化

hashtag
コマンドライン制御

  • コマンドまたはパターンのルールを定義

  • コマンドラインからの操作にポリシーを適用

変数ワイルドカードにより、長大なルール一覧を維持せずにスケーラブルなポリシー対象指定が可能です。

hashtag
コマンドライン保護とkeepersudo

Keeperエンドポイント特権マネージャーはコマンドラインポリシータイプによってコマンドライン上の特権利用を保護します。

macOSおよびLinuxでは、KEPMがkeepersudoコマンドと統合され、従来の sudo の挙動をポリシー管理下で置き換えまたはラップします。

コマンドラインポリシーにより、以下のことが可能です。

  • 特定のコマンドの制御または制限

  • 実行前に正当な理由の入力を必須化

  • 機密操作では MFA を要求

  • リスクの高いコマンドを承認フローへルーティング

  • 定義されたコマンドに限った一時的な昇格の付与

これにより sudo の利用が統制され、監査され、最小特権の原則に沿います。

hashtag
監査と可視化

監査の可視化により、運用やフォレンジックの場面でも状況を広く把握できます。管理者は昇格の流れ全体を確認でき、リクエストの提出から承認、実行まで追跡できます。

ポリシーの監査エントリには、昇格アカウントの利用状況、MFA で確認した本人、ファイルパス、コマンドライン引数など、文脈を補った情報が含まれます。セッション単位の相関識別子によりコンポーネント間の追跡がしやすくなります。さらに、統合されたリスクスコアリングのデータによりコンプライアンス報告が強化され、高度な行動分析を支えます。

hashtag
プラットフォームのレジリエンスと信頼性

KEPMは環境をまたいだ運用レジリエンスを念頭に構築されており、エンドポイント保護を継続するための仕組みを内蔵しています。

hashtag
マルチプラットフォーム対応

  • Windows

  • macOS

  • Linux

hashtag
サービスベースのアーキテクチャ

各エンドポイントのローカルサービスは、以下を担います。

  • ポリシー評価

  • バックエンドとの同期

  • ログ記録

  • ワークフローの適用

hashtag
Keeper Watchdog サービス (Windows)

任意のKeeper WatchdogサービスがプライマリEPMサービスを監視し、中断または終了した場合に自動で再起動します。

hashtag
EPM Watchdog (プラグインとジョブ)

任意のKEPM Watchdog (構成可能)がプラグインおよびジョブの実行状態を監視し、運用の信頼性と自己修復的な挙動を確保します。

hashtag
ヘルスとステータスの監視

  • 組み込みのヘルスエンドポイント

  • 自動化および監視システム向けのステータス確認

  • エージェントの再インストールなしに構成可能なプラグインと展開の更新

hashtag
ダッシュボード

Keeper管理コンソールはEPMの一元管理コンソールです。既定のダッシュボードには、監視モードのイベントを含む最新のイベントが表示されます。ダッシュボードから、特権マネージャーの主要エリアへ移動できます。

ダッシュボードでは、管理者は以下の操作が可能です。

  • EPMの有効化とライセンス管理

  • デバイス全体に最小特権アクセスを適用するポリシーの作成と管理

  • コレクションを定義してポリシーの適用範囲を設定し、アプリケーション、マシン、ユーザーのグループを管理する

  • 承認者と承認ワークフローの構成

  • デプロイメントグループの管理

  • 展開とエンドポイントの状態の監視

  • リクエストと承認履歴の処理およびレビュー

  • 詳細な監査履歴とレポートデータへのアクセス

管理者はダッシュボードで一度設定すれば、エージェントによってポリシーがすべての場所で適用されます。

エンドポイント特権マネージャー

hashtag
デプロイメントグループとターゲティング

デプロイメントグループにより、段階的なロールアウトときめ細かなターゲティングが可能です。

以下のことができます。

  • フェーズに沿った展開 (テスト → パイロット → 部門 → エンタープライズ)

  • 以下の軸でのポリシースコープ

    • ユーザーまたはグループ

    • マシン

    • アプリケーション

    • プラットフォーム

  • 以下のポリシーモードの調整

    • オフ

    • 監視

    • 監視および通知

    • 適用

これにより安全なロールアウトとガバナンスの精度が確保されます。

hashtag
KeeperPAM プラットフォームにおける Keeperエンドポイント特権マネージャー

Keeperエンドポイント特権マネージャーは、より広いKeeperPAMプラットフォームの一部です。KeeperPAMは特権アクセス管理向けの統合プラットフォームとして、相互に補完する複数のサービスを束ねます。

  • パスワード管理: 認証情報の安全な保管とローテーション

  • シークレット管理: アプリケーションのシークレットとAPIキーの管理

  • ゼロトラストネットワークアクセス: 安全で検証済みのリモート接続

  • 接続管理: リモートシステムへの効率的なアクセス

  • セキュアトンネリング: 機密リソースへの保護された経路

KEPMはローカル特権とアプリケーション実行を制御することで、ゼロトラストの原則をエンドポイントにも適用します。

KeeperPAMがインフラ、セッション、認証情報へのアクセスを保護する一方で、KEPMはエンドポイントレベルでの最小特権と委任を適用し、KeeperPAMの機能を拡張して統合されたセキュリティとガバナンスのモデルを形成します。KEPMは、ユーザーがKeeperPAMによって保護されたシステム上で作業するときに、どの特権を持つかを統制します。

たとえば、管理者がKeeperPAMの接続機能でサーバーに安全にアクセスしたあと、そのサーバー上のローカル管理者権限を特権マネージャーが制御します。同様に、特権マネージャーがエンドユーザーのワークステーションにおける日常的な昇格リクエストを扱い、恒常的なローカル管理者権限を不要にしつつ、ジャストインタイム昇格によって必要な操作を可能にします。

hashtag
エンドユーザー体験

KEPMはセキュリティを維持しながら生産性を高めるよう設計されています。

Keeperエージェントを実行しているユーザーには、デバイスに適用されているポリシーの確認や、承認および昇格リクエストの状況監視用のUIが用意されています。KeeperエージェントのUIはWindows、macOS、Linuxで利用できます。

  • 必要な場合にのみ昇格をリクエスト

  • 正当な理由や MFA が必要な旨を明確なダイアログで提示

  • 承認済みの操作はスムーズに続行

  • リダイレクトは単純な拒否ではなく安全な代替手段を提示

  • 昇格は一時的でポリシー管理下に置かれる

体験はWindows、macOS、Linuxの各対応プラットフォームで一貫し、予測可能です。

hashtag
Windows

Windowsユーザーが昇格を要するアプリの実行を試みた場合の例です。

  • EPMのダイアログに正当な理由や MFA の要件が表示される

  • 必要に応じて承認ワークフローが起動する

  • 昇格は時間制限付きでポリシー管理下に置かれる

hashtag
macOS

macOSでは昇格とファイルアクセスの制御が同一のポリシーモデルで動作します。

  • 正当な理由や MFA についてはネイティブに近いダイアログが表示される

  • ポリシーはGUIアプリとコマンドラインツールの双方を統制する

hashtag
Linux (GNOME)

LinuxではEPMが管理された昇格フローを通じてポリシーを適用します。

  • CLIの操作は keepersudo によって統制される

  • 特権実行の前にポリシーが評価される

GNOMEを実行しているLinuxデバイス
GNOMEを実行しているLinuxデバイス

hashtag
コマンドライン体験

macOSおよびLinuxのエンドポイントでは、Keeperはコマンドラインポリシーのタイプを通じて sudo による昇格を保護します。以下のスクリーンショットのとおり、昇格リクエストには keepersudo コマンドが用いられます。

GNOMEを実行しているLinuxデスクトップ

以下の例では、ユーザーが root への昇格をリクエストし、管理者によってアクセスが承認されます。

昇格リクエスト中のLinuxのSSHセッション

hashtag
昇格の承認

管理者による昇格の承認は、Keeper管理コンソール、コマンダーCLI、またはその他の連携アプリケーションで実施します。

hashtag
特権昇格

Windowsでの特権昇格リクエストの承認

hashtag
コマンドライン (sudo) の承認

コマンドラインでの昇格リクエストの承認

hashtag
運用の柔軟性

KEPMにおける運用の柔軟性は、動的な構成、効率化された展開ワークフロー、管理側のリアルタイムな可視化によって実現されます。安全なロールアウトのためのポリシーモード、プラグインとジョブ管理のための構成ポリシー、変数とワイルドカードによるスケーラブルなターゲティング、エアギャップ環境向けのオフライン登録オプションなどを備えており、セキュリティチームは生産性を損なわずにガバナンスを調整し、適用の精度を維持できます。

前へプレビュー版へのアクセス方法次へはじめに

最終更新

役に立ちましたか?