# ジャストインタイムアクセス (JIT)
## ジャストインタイムアクセスとゼロスタンディング特権
KeeperPAMは、組織全体のITインフラおよびエンドポイントにわたりゼロスタンディング特権 (ZSP) を実現するための包括的なジャストインタイム (JIT) アクセス機能を備えています。永続的な特権アクセスを維持するのではなく、JITでは必要なときに限り、定められた期間、かつ適切な承認のもとで昇格した権限のみをユーザーに付与し、最小権限の原則を徹底しつつ、特権操作をすべて監査可能な状態に保ちます。
常設アクセスをなくすことで、特権アクセスは必要なとき、必要な期間、適切な承認のもとでのみ付与されるようになり、攻撃対象領域を大幅に縮小できます。
#### **JITとZSPの理解**
**ジャストインタイム (JIT) アクセス**: 必要なタイミングに限り、限られた期間だけ、多くの場合は承認ワークフローを経て特権アクセスを付与します。
**ゼロスタンディング特権 (ZSP)**: ユーザーがシステムに対する恒久的な特権アクセスを持たないセキュリティアプローチであり、侵害された特権アカウントに伴うリスクを排除します。
#### JITを導入する理由
従来の特権アクセスモデルでは、使用の有無にかかわらず恒久的な認証情報がユーザーに付与されます。この常設特権は不要なリスクを生み、認証情報が侵害された場合、攻撃者は追加のチェックなしにすぐアクセスできます。
JITアクセスは、特権アクセスを以下のようにすることでこのリスクを排除します。
* **一時的** — 必要な期間だけ付与され、終了後は自動的に取り消されます
* **承認済み** — アクセス付与前に定義された承認ワークフローを経ます
* **範囲限定** — タスクに必要な最小限の権限のみが付与されます
* **監査可能** — アクセス要求、承認、セッションがすべてログに記録され、コンプライアンスとフォレンジック調査に利用できます
このアプローチは攻撃対象領域を抑え、侵害アカウントの影響範囲を限定し、特権アクセスが必要なとき、必要な期間、適切な承認のもとでのみ付与される状態を実現します。
## ジャストインタイムの機能
* [時間制限付きアクセス](/jp/enterprise-guide/sharing/time-limited-access.md)
* [パスワードローテーション](/jp/keeperpam/privileged-access-manager/password-rotation.md)
* [**ワークフロー**](/jp/keeperpam/privileged-access-manager/just-in-time-access-jit/workflow.md)
* **多段階承認** — 複数承認者による承認や、承認権限の委任を組み合わせたワークフローにできます
* **単一ユーザーモード (チェックイン / チェックアウト)** — 同時にアクセスできるユーザーは1人だけです。利用前にリソースをチェックアウトし、終了後にチェックインする必要があります。手動で戻さない場合でも、時間制限に達するとアクセスは自動的に取り消されます。
* **MFA要件** — アクセス付与前に多要素認証の完了が必要です。
* **アクセス時間の上限** — 定められた期間だけアクセスが付与され、時間枠の満了とともに自動的に取り消されます。
* **リアルタイム通知** — 承認者はデスクトップ、ウェブ、モバイルを含むすべてのKeeperクライアントで通知を受け取ります。
* [**一時アカウントと特権昇格**](/jp/keeperpam/privileged-access-manager/just-in-time-access-jit/ephemeral-accounts-and-privilege-elevation.md)
* **一時アカウント** — アクセス承認時に一時アカウントが作成され、セッション終了とともに自動削除されます。
* **特権昇格** — グループまたはロールのメンバーシップなど、昇格した権限がセッション期間中だけユーザーに一時的に付与され、セッション終了時に削除されます。
* [**自動認証情報ローテーション**](/jp/keeperpam/privileged-access-manager/just-in-time-access-jit/time-limited-access-with-automated-credential-rotation.md) — アクセス期限後に認証情報が自動ローテーションされ、再利用できないようにします。認証情報の変更はすべて監査証跡に記録されます。
* [**PEDM を用いたエンドポイントでのジャストインタイム昇格アクセス**](/jp/keeperpam/privileged-access-manager/just-in-time-access-jit/elevated-access-on-endpoints.md)
## はじめに
KeeperPAMのJITおよびZSPの機能を活用すると、特権アクセスの攻撃対象領域を大幅に縮小できます。インフラ全体にこれらを実装することで、特権アクセスを厳格に管理し、適切に承認し、十分に監査できます。
JITアクセスを構成するには、以下のページをご参照ください。
* [ワークフロー](/jp/keeperpam/privileged-access-manager/just-in-time-access-jit/workflow.md)
* [一時アカウントと特権昇格](/jp/keeperpam/privileged-access-manager/just-in-time-access-jit/ephemeral-accounts-and-privilege-elevation.md)
* [時間制限付きアクセスと自動認証情報ローテーション](/jp/keeperpam/privileged-access-manager/just-in-time-access-jit/time-limited-access-with-automated-credential-rotation.md)
* [PEDMを用いたエンドポイントでのジャストインタイム昇格アクセス](/jp/keeperpam/privileged-access-manager/just-in-time-access-jit/elevated-access-on-endpoints.md)
#### 実装のベストプラクティス
KeeperPAMでJITアクセスとZSPを実装する際は、例として以下を検討してください。
1. **重要システムから始める**: 最も機密性の高いシステムとインフラから導入を始めます
2. **明確なポリシーを定義する**: JITアクセスが必要となる条件と、承認できる者の指針を明確にします
3. **ユーザーを教育する**: 必要に応じて昇格アクセスを要求する方法をユーザーが理解しているようにします
4. **監視と調整**: ログを定期的に確認し、実際の利用パターンに基づいてポリシーを調整します
5. **緊急時の計画**: 通常の承認ワークフローでは遅すぎる状況向けに、ブレイクグラス手順を用意します
### まとめ
KeeperPAMのJITおよびZSPの機能を活用すると、特権アクセスの攻撃対象領域を大幅に縮小できます。インフラ全体にこれらを実装することで、特権アクセスを厳格に管理し、適切に承認し、十分に監査できます。
特定のJITユースケースや実装に関する詳細は、Keeper Securityのアカウントマネージャーまでお問い合わせいただくか、までメールでご連絡ください。
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/jp/keeperpam/privileged-access-manager/just-in-time-access-jit.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
