ジャストインタイムアクセス (JIT)

ジャストインタイムアクセスとゼロスタンディング特権

はじめに

KeeperPAMは、組織全体のITインフラおよびエンドポイントにおいて、ゼロスタンディング特権 (ZSP: Zero Standing Privilege) を実現するための包括的なジャストインタイムアクセス (JIT: Just-In-Time Access) 機能が備わっています。JITアクセス制御を導入することで、必要なときに必要な時間だけ特権アクセスを付与することが可能になり、攻撃対象領域を大幅に削減できます。これにより、不正アクセスや権限の悪用リスクを最小限に抑えることができます。

JITとZSPの理解

ジャストインタイム (JIT) アクセス ユーザーに対して、必要なときに、限られた時間だけ特権アクセスを付与する仕組みです。多くの場合、承認フローを伴ってアクセスが付与されます。

ゼロスタンディング特権 (ZSP) ユーザーがシステムに対する永続的な特権アクセスを持たないというセキュリティアプローチです。これにより、特権アカウントが侵害された場合のリスクを根本的に排除できます。

活用事例

KeeperPAMでは、さまざまな状況に対応したジャストインタイム (JIT) アクセス機能をお使いになれます。

インフラへのジャストインタイム昇格アクセス

Keeperのゼロトラスト特権セッションでは、ウェブボルトからワンクリックで任意の対象に接続できます。JIT構成が有効な場合、昇格された特権はセッション中のみ付与され、セッション終了と同時に自動的に取り消されます。

対応接続プロトコル

• RDP (リモートデスクトッププロトコル)

• SSH (セキュアシェル)

• VNC (仮想ネットワークコンピューティング)

• HTTP / HTTPS

• データベース接続 (MySQL、PostgreSQL、SQL Server、Oracleなど)

構成方法

1. KeeperPAMリソースの構成画面で「JIT」タブに移動します。

2. 対象リソースに対してジャストインタイム昇格アクセスを有効にします。

3. 昇格方法を設定します (一時アカウント または グループ/ロールベースの昇格)。

4. 構成を更新します。

この構成により、必要なときにだけ安全に特権アクセスを付与でき、最小権限の原則とゼロトラストセキュリティを実現します。

一時アカウントの作成

KeeperPAMでは、特権セッションの間だけ存在する、一時的な特権アカウントを作成することが可能です。

主な機能

• セッション開始時に自動で一時的な特権アカウントを作成

• アクセス要件に基づいてその都度権限を割り当て

• セッション終了時にアカウントを完全に削除

• 永続的な特権アカウントが存在しないため、侵害リスクを排除

• アカウントの作成・削除のすべての操作を詳細に記録

主な利点

• 永続する特権アカウントに起因する攻撃経路を排除

• 侵害された認証情報を使った水平移動を防止

• 各セッションを一時アカウントに関連付ける明確な監査記録を生成

• 特権アカウントの管理にかかる運用負荷を軽減

選択したアカウントタイプに基づき、Keeperゲートウェイが対象リソース上に一時アカウントを作成します。

以下のような割り当てられたターゲットリソース上に一時アカウントを作成することができます。

• Active Directory / LDAPユーザー

• Windowsユーザー

• Linuxユーザー

• MySQLユーザー

• PostgreSQLユーザー

• Microsoft SQL Serverユーザー

グループおよびロールの昇格

ロールの昇格は、グループまたはロール単位で設定することができます。たとえば、AWSのグループやロールを、セッション中のみ接続ユーザーアカウントに割り当てることも可能です。

入力フィールドには、以下のように接続時に昇格させるグループまたはロールの識別子を指定します。

• Windowsの場合は「Administrators」などを指定します。

• AWSの場合はフルARN (例: arn:aws:iam::12345:role/Admin) などを指定します。

PEDMを活用したエンドポイントでのジャストインタイム昇格アクセス

エンドポイント特権マネージャーで、エンドユーザーのデバイスに対してもJIT (ジャストインタイム) アクセス機能を拡張し、特定のプロセスやアプリケーション、タスクに対してのみ正確に特権を付与できるようにします。これにより、完全な管理者権限を与えることなく、必要な操作だけを許可することが可能です。

主な機能

• Windows、macOS、Linux全体でのプロセスレベルの権限管理

• ポリシーに基づく詳細な昇格ルール

• 承認ワークフロー付きのユーザー発信型の昇格リクエスト

• 昇格操作の監査・レポート機能を完備

動作の仕組み

• ユーザーは通常、非特権アカウントで操作します

• 管理者権限が必要な場合、特定のタスクに対して昇格をリクエスト

• ポリシーに基づき、リクエストは自動承認または手動承認へルーティングされます

• 昇格された権限は、指定されたプロセスまたは時間枠内のみに限定されます

• すべての昇格アクティビティは完全に記録され、監査証跡として残されます

この仕組みにより、最小権限アクセスを維持しつつ、安全かつ柔軟な特権管理が可能になります。

• エンドポイント特権マネージャーについて、詳しくはこちらのページをご参照ください。

自動ローテーション付きの時間制限アクセス

KeeperPAMは、リソースへの時間制限付きアクセスを付与し、アクセス期間の終了後に認証情報を自動でローテーションする機能を備えています。

主な機能

• オンデマンドまたはスケジュールに基づく自動認証情報ローテーション

• 権限を持つユーザーに対する時間制限付きアクセス

• パスワードローテーションポリシーとの連携

• 認証格情報の変更に関する完全な監査ログ

セキュリティ上の利点

• 認証情報が将来のセッションで再利用されることを防止

• アクセス期間中の認証情報の盗難リスクを低減

• 暗号学的に検証可能なアクセス境界を構築

• 認証情報のローテーション要件に対応し、コンプライアンスを維持

設定方法

リソースに時間制限付きアクセスを付与するには、ボルトから該当リソースを開き、[共有] を選択します。共有先のユーザーを追加し、アクセスの有効期限を選択してください。

詳しくは以下のページをご参照ください。

• 時間制限付きアクセス

• パスワードローテーション

ワークフローと承認リクエスト

KeeperPAMの柔軟な承認ワークフローによるJITアクセス管理

KeeperPAMは、JIT (ジャストインタイム) アクセスリクエストに対して柔軟な承認ワークフローを搭載しており、特権アクセスに対する適切な管理と可視性を確保します。

主な機能

• 複数段階の承認フローに対応

• 時間ベースの自動承認または自動却下設定

• 承認権限の委任

• メールおよびモバイル通知による即時対応

• 詳細な利用目的 (理由) の入力を必須に

• 単一ユーザーモード (チェックイン・チェックアウト)

• アクセス時の多要素認証 (MFA) の適用

構成オプション

• リソースの機密度に応じた承認者の指定

• 承認タイムアウトおよびエスカレーションの設定

• 勤務時間外のアクセス制限

• セッションの最大利用時間の制限

• ユーザーごとの個別承認要件

この仕組みにより、必要なときにだけアクセスを許可し、不正利用や権限の濫用を防ぐゼロトラストアクセス管理が実現します。

実装のベストプラクティス

KeeperPAMでJITアクセスとZSP (ゼロスタンディング特権) を導入する際は、以下のベストプラクティスを参考にしてください。

• 重要システムから開始する 最も機密性の高いシステムやインフラから段階的に導入を始めましょう。

• 明確なポリシーを定義する JITアクセスが必要となる条件や、誰が承認できるのかなどのガイドラインを明確にします。

• ユーザー教育を行う 必要なときに昇格アクセスをリクエストする方法をユーザーが理解しているようにします。

• 継続的なモニタリングと調整 アクセスログを定期的に確認し、実際の利用状況に応じてポリシーを見直しましょう。

• 緊急時の対応を計画する 通常の承認フローでは対応が間に合わない緊急時のために、緊急アクセス手順をあらかじめ策定しておきましょう。

結論

KeeperPAMのJITアクセスとZSP機能を活用することで、特権アクセスを必要なときだけに限定し、常設のアクセス権限を排除できます。これにより、セキュリティリスクを最小限に抑えながら、適切な承認と完全な監査のもとでアクセスを管理することが可能になります。

JITの具体的な活用事例や導入に関する詳細については、Keeper Securityのアカウントマネージャーまでご連絡いただくか、pam@keepersecurity.comまでメールにてお問い合わせください。