よくある質問

Keeper特権マネージャーに関するよくある質問

エンドポイント特権マネージャーはどのように機能しますか?

Windowsの場合

Keeperエンドポイント特権マネージャーは、システム権限のエージェントとしてインストールされ、サービスとして実行されます。このエージェントは、ユーザーセッション内で作成されるすべてのプロセスをフック(監視)し、各プロセス作成をインターセプトします。なお、システムプロセスや他のセキュリティ製品にはフックを行いません

アプリケーション実行ファイルが起動されると、Keeperは各サブプロセスのリクエストをポリシーに基づいて個別に評価します。これにより、以下のような制御が可能になります:

  • MFA (多要素認証) の要求

  • 実行理由の入力要求

  • 拒否

  • 承認リクエストの送信

サブプロセスが実行される際は、一時的に作成されるエフェメラルアカウントの下で動作し、処理後このアカウントは破棄されます。

macOSの場合

Keeperは、Appleが承認したシステム機能拡張として動作します。 macOSのシステム拡張は、カーネル空間ではなくユーザー空間で動作するため、セキュリティと安定性が向上します。

Linuxの場合

KeeperはPluggable Authentication Module (PAM) を使用しており、プロセスの権限昇格を制御します。

Keeperエージェントはどのようにバックエンドサービスと通信しますか?

Keeperエージェントは、ゼロ知識暗号化メッセージングプロトコルを使用して、Keeperのバックエンドインフラストラクチャと通信します。

お客様の環境でSPIFFEサーバーを利用している場合は、KeeperはSPIFFEに対応したプラグインをサポートしており、署名付きペイロードを使ってお客様のSPIFFEエージェントと通信するように登録できます。

Keeperにエンドポイントへのアクセスはありますか?

いいえ、Keeperはゼロ知識プラットフォームです。Keeperエージェントが収集したすべての情報は、ユーザーのデバイス上で暗号化され、管理コンソールのKeeper管理者のみが復号化できます。

Keeperのサーバーは従業員が何のプログラムを実行しているか知り得ますか?

いいえ、Keeperはゼロ知識プラットフォームです。Keeperエージェントが収集したすべての情報は、ユーザーのデバイス上で暗号化され、管理コンソールのKeeper管理者のみが復号化できます。

承認が必要な際にはどのようにしてジャストインタイムアクセスが付与されますか?

承認が必要な場合、リクエストはKeeper管理者に送信され、管理コンソールまたはコマンダーCLIを通じて処理されます。

承認が必要ない際にはどのようにしてジャストインタイムアクセスが付与されますか?

デバイスに適用されたポリシーが特定のイベントに対して承認を必要としない場合、Keeperエージェントは追加の承認手続きなしで昇格を許可します。多要素認証が必要な場合、ユーザーは認証トークンの提示を求められます。

ユーザーがオフラインでインターネット接続がない場合にはどのようにして昇格を許可しますか?

Keeperのエージェントは、オフライン時に暗号化されたポリシー情報をキャッシュします。ユーザーがオフラインの間も、ポリシーはユーザーに対して適用されます。ユーザーがオンラインに戻ると、イベントログはKeeperクラウドに送信されます。

KeeperPAM、エンドポイント特権マネージャーとMicrosoft LAPSの併用に関して

KeeperPAMとエンドポイント特権マネージャーは、LAPSの導入を既に行っている組織とシームレスに連携できます。この補完的な構成では、LAPSはドメイン参加コンピュータのローカル管理者パスワードのローテーションを引き続き管理し、KeeperPAMはドメインアカウント、サービスアカウント、LAPSの範囲外の他の特権認証情報を管理します。この統合により、既存のLAPSを維持しながら、より多くのシステムとアカウントタイプに対して特権アクセス保護が拡張されます。

エンドポイント特権マネージャーは、エンドポイントで最小特権を適用することにより、このセキュリティエコシステムを強化します。LAPSは既存の管理者アカウントの認証情報を保護することに焦点を当てていますが、特権マネージャーは、特定のタスクのために一時的な特権昇格を可能にすることにより、これらのアカウントを使用する必要性を最小限に抑えます。つまり、LAPSはローカル管理者パスワードを保護し、KeeperPAMはそれらの認証情報とその他の特権アカウントへのアクセスを管理・制御し、特権マネージャーはユーザーが必要かつ承認された場合のみ昇格した特権が付与されるようにします。

どのようにしてLAPSを置き換えることができますか?

Keeperを使用すると、Microsoft LAPSよりも包括的に特権アクセス管理にアプローチできます。LAPSはドメイン参加済みコンピューターのローカル管理者パスワードのみを管理しますが、Keeperでは以下の2つの補完的なコンポーネントを通じて完全なソリューションが実現します。

  1. KeeperPAMはドメインおよびローカルアカウントの認証情報の管理とローテーションを実行。

  2. エンドポイント特権マネージャーは最小特権ポリシーとジャストインタイム昇格を実施。

組織は、KeeperのソリューションでLAPSを完全に置き換えるか、移行期間中に両方を併用することができます。

KeeperPAMはエンドユーザーのマシンでどのように認証情報を管理しますか?

KeeperPAMはKeeperゲートウェイを通じて、以下の認証情報のローテーションを行います。

  • Active Directory内の任意のドメインユーザーアカウント

  • 個別のマシン上のローカル管理者アカウント (WindowsではWinRM、Linux/macOSではSSHによるアクセスが必要)

これにより、KeeperPAMは、環境全体で集中管理されたドメイン認証情報と分散管理されたローカル管理者認証情報の両方を管理できます。

エンドポイント特権マネージャーは管理者アクセスのセキュリティをどのように確保しますか?

エンドポイント特権マネージャーは認証情報管理ではなく、特権昇格に焦点を当てています。

  • ユーザーをローカル管理者グループから削除

  • 管理権限が必要な場合、ユーザーが昇格をリクエストする

  • デフォルトの管理者アカウントが昇格リクエストを承認または実行するポリシーを設定可能

  • 管理者認証情報を晒すことなく、ジャストインタイムでアクセスを付与

KeeperソリューションをMicrosoft LAPSと併用する方法について

オプション1: LAPSをKeeperPAMで置き換える

  • KeeperPAMはドメインおよびローカル管理者の認証情報を管理・ローテーション

  • LAPSよりも包括的な認証情報管理を実現供

  • ボルト、多要素認証、きめ細かなアクセス制御を通じてセキュリティを強化

オプション2: LAPSをKeeperソリューションで補完する

  • LAPSはローカル管理者パスワードの管理を継続

  • KeeperPAMはドメイン管理者およびサービスアカウントの認証情報を管理

  • エンドポイント特権マネージャーは最小特権ポリシーとジャストインタイム昇格を実施

オプション3: Keeperソリューション (最も安全)

  • KeeperPAMはすべての管理者認証情報 (ドメインおよびローカル) を管理

  • エンドポイント特権マネージャーは最小特権ポリシーを実施

  • ユーザーは管理者認証情報に直接アクセスする必要がない

  • 管理者認証情報は緊急時にのみ使用

最大のセキュリティを確保するために推奨されるアプローチは?

Keeperソリューション (オプション3) は、KeeperPAMによる認証情報管理とエンドポイント特権マネージャーによる特権管理の両方に対応する最も包括的なアプローチとなります。これにより、従来のLAPSは不要となり、優れたセキュリティ制御を達成し、詳細な監査証跡が取得できます。

Keeperはシェルエスケープやサブプロセスの起動を防止しますか?

はい。アプリケーションが起動する際、Keeperは実行前に各サブプロセスのリクエストをポリシーに基づいて評価します。これにより、許可されていないシェルエスケープをブロックし、サブプロセスを経由した権限昇格を防止することができます。これにより、権限昇格の経路に対して厳格な制御が実現されます。

Keeperはsudoポリシーを一元管理できますか?

はい。Keeperの「コマンドライン」ポリシーには、「sudo」の使用を保護する機能が含まれています。管理者は、sudoコマンドの実行に対して、理由の入力、MFA (多要素認証)、または承認が必要かどうかを指定できます。このポリシーは、ユーザー、グループ、マシンのコレクションに適用することができます。

前へベストプラクティス次へ概要

最終更新