KeeperAI

KeeperPAMの特権セッションに対応したAIベースの脅威検出

概要

KeeperAIは、ユーザーセッションを自動で監視・分析して不審または悪意のある動作を検出する、エージェンティックAIによる脅威検出システムです。Sovereign AIフレームワークを基盤とし、ゲートウェイレベルで動作することで、セッション記録からリアルタイムでリスク分析を行い、セキュリティチームが迅速に脅威を検出できるよう支援します。

主な機能

  • 自動セッション分析: セッションメタデータ、キーストロークログ、コマンド実行ログを分析し、異常な挙動を検出

  • セッションの検索機能: セッション全体を対象に、特定のキーワードや操作を検索

  • 脅威分類: 検出した脅威を自動的にカテゴリ分けし、リスクレベルを割り当て

  • 柔軟なデプロイ: サードパーティ、クラウド環境、オンプレミスでのLLM推論に対応

  • 設定のカスタマイズ: 環境に合わせてリスクパラメータや検出ルールを調整可能

対応プロトコル

現在対応済み

  • SSH

  • Telnet

近日対応予定

  • データベースプロトコル (MySQL/PostgreSQL)

  • RDP

  • VNC

  • RBI

はじめに

要件

  • PAMゲートウェイバージョン1.7.0以上

  • LLM推論サービスへのアクセス (対応プロバイダについては下記参照)

KeeperAIの有効化

PAMゲートウェイ構成ででKeeperAI機能を有効にする手順

  1. 管理者としてボルトにログイン

  2. シークレットマネージャー画面でPAM構成を選択

  3. KeeperAI機能を有効にしたいゲートウェイを選択

  4. 「許可されているKeeperAI機能」の箇所でオプションを有効化

  5. 変更を保存

KeeperAI PAMゲートウェイ構成

リソースでKeeperAIを有効化する手順

  1. 管理者としてボルトにログイン

  2. リソース管理セクションへ移動

  3. 保護したいSSHベースのリソースを選択

  4. 「KeeperAI」セクションを見つけ、スイッチを「オン」に切り替える

  5. 変更を保存

未対応のプロトコルについては、UI上に「これらのプロトコルに対するKeeperAI機能はまもなく対応予定である」旨表示されます。

リソースでの脅威検知の有効化

  1. [KeeperAIを有効化] にチェックを入れると、脅威検知のリスクレベルに関する設定項目が表示されます。

  2. KeeperAIはデフォルトで、コマンドをできる限り適切なリスクレベルに分類しようとします。

    1. 特定のリスクレベルに分類されたコマンドが実行された際に、セッションを終了させたい場合は、該当するリスクレベルに対して [セッション終了] を有効にしてください。

    2. 特定のキーワードに基づいてリスク分類やポリシーをカスタマイズしたい場合は、[例外] ポップアップを開いて設定を編集できます。

      1. ドロップダウンに表示される例から選択するか、独自のキーワード (プレーンテキストまたは正規表現) を入力することができます。

      2. 特定のコマンドを明確にブロックしたい場合は、そのポリシーを [セッション終了] に設定することで、該当するコマンドが検出された際にセッションを強制終了させることができます。

      3. 特定のコマンドを許可したい場合は、[監視] を選択することで、検出されてもセッション終了を回避できます。

  3. 最後に、[保存] をクリックして変更内容を保存してください。

リスク分類

KeeperAIでは、脅威検知のためにコマンドが以下のリスクレベルに分類されています。

  • 重大: 即時対応が必要な重大なセキュリティ脅威

  • : 早急な対処が望まれる重要なセキュリティ上の懸念

  • : 監視が必要な可能性のあるセキュリティリスク

  • : 監視の必要がない通常または無害な動作

PAM設定のKeeperAIタブ
例外のカスタマイズ

LLM連携

概要

KeeperAIでは、大規模言語モデル (LLM) を活用して脅威検出機能を強化しています。PAM Gatewayは、任意のLLMと連携してセッションデータを分析し、高度なセキュリティ分析結果を生成します。この統合は、KeeperAIが不審なパターンを検出し、詳細なセッション要約を作成するための重要な基盤となっています。

免責事項

AIによる予測は本質的に確率的なものであり、常に正確であるとは限りません。使用するLLMプロバイダおよびモデルの選択はユーザーの裁量によるものであり、KeeperAIはAIがタスクを完全に理解し、正しく解釈することを保証するものではありません。

ユーザーは、AIの出力結果を鵜呑みにせず、意思決定プロセスの一環として慎重に確認・検証することを推奨します。

対応LLMプロバイダ

KeeperAIは複数のLLMプロバイダに対応しており、柔軟な導入が可能です。

OpenAI-Compatible API

OpenAIの/chat/completionsエンドポイント形式に準拠したリクエスト/レスポンス形式を実装しているあらゆるAPIプロバイダに対応しています。

利用できるプロバイダの例 (一部抜粋)

推論プロバイダ
資料

Azure AI Foundry

Azure AI Foundry

Cerebras

Cerebras

Groq

Groq

Hugging Face

Hugging Face

Keywords AI

Keywords AI

LitelLLM

LiteLLM

LM Studio

LM Studio

Ollama

Ollama

OpenRouter

OpenRouter

Tinfoil

Tinfoil

TogetherAI

TogetherAI

Unify AI

Unify AI

vLLM

vLLM

構成

  1. ゲートウェイにLLMサービスへアクセスするための権限があることを確認します。

  2. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "openai-generic"
  KEEPER_GATEWAY_AI_BASE_URL: "<your-base-url>"
  KEEPER_GATEWAY_AI_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
AWS Bedrock

AWSのツールを使用すれば、インフラ管理の必要なく、すぐに利用を開始でき、自社データで基盤モデルをプライベートにカスタマイズし、アプリケーションに簡単かつ安全に統合・展開することができます。

構成

  1. ゲートウェイに割り当てられたIAMロールに、AmazonBedrockFullAccessポリシーが付与されていることを確認します。

  2. AWSコンソールから、Amazon Bedrockの基盤モデルへのアクセスをリクエストします。

  3. サポートされているモデル一覧から使用するモデルを選び、対応するモデルIDを控えておいてください。

  4. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "aws-bedrock"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
Anthropic

構成

開始する前に、AnthropicコンソールでAPIキーを作成します

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "anthropic"
  KEEPER_GATEWAY_AI_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
Google AI: Gemini

構成

開始する前に、Google AIダッシュボードでAPIキーを作成します

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "google-ai"
  KEEPER_GATEWAY_AI_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
Google: Vertex

Vertexの利用が許可されているProjectIDを持つアカウントを使用する必要があります。Google Cloudアカウントを管理する際は、Vertexを有効化し、gcloud authで認証する際にプロジェクトのIDを指定するようにしてください。

gcloud auth application-default login --project MY_PROJECT_ID

  • Google Cloudのアプリケーションデフォルト認証情報を使用していれば、特別な設定をしなくてもそのまま認証が機能します。

  • options.credentials を設定すると、その指定が優先され、vertex-aiは指定されたファイルパスからサービスアカウント認証情報を読み込むようになります。

構成

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "vertex-ai"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
  KEEPER_GATEWAY_AI_LOCATION: "<your-location>"
OpenAI

構成

開始する前に、Open AI PlatformのダッシュボードでAPIキーを作成してください

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "openai"
  KEEPER_GATEWAY_AI_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
Azure OpenAI

構成

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "azure-openai"
  KEEPER_GATEWAY_AI_RESOURCE_NAME: "<your-resource-name>"
  KEEPER_GATEWAY_AI_DEPLOYMENT_ID: "<your-deployment-id>"
  KEEPER_GATEWAY_AI_API_VERSION: "<your-api-version>"
  KEEPER_GATEWAY_AI_API_KEY: "<your-model-id>"

セッション要約の確認

セッションレコーディングへのアクセス

分析された各セッションにはAIによる要約が付与されます。

  1. ボルトUIのセッション録画セクションへ移動します。

    1. レコードを右クリックするかオプションアイコンをクリックして [セッションアクティビティ] を選択します。

  2. KeeperAIによる分析が行われたセッションの行をクリックすると、[セッション分析] ポップアップが開き、セッション中に実行された各コマンドの詳細を確認できます。

  3. [再生] ボタンをクリックすると、セッション録画の再生が始まり、セッションの様子をリアルタイムで確認できます。

  4. [ダウンロード] ボタンをクリックすると、セッション録画ファイルをローカルに保存できます。

セッション録画ファイルをローカルにダウンロードする際は、これらのファイルが暗号化されておらず、機密情報を含んでいる可能性がある点にご注意ください。

ファイルは、組織のデータ保護ポリシーに従って、安全に保管・取り扱うようにしてください。

セッションアクティビティ画面
セッション分析画面

ARAMイベントとの統合

KeeperAIは、検出された脅威ごとに自動的にARAMイベントを生成し、既存のセキュリティワークフローとの統合が可能です。

トラブルシューティング

よくある問題と対処方法

検知漏れ

  • リスクレベル設定で感度のしきい値を調整するか、例外画面でカスタムキーワードパターンを追加してください。

誤検知

  • パターンマッチングルールを見直すか、特定のコマンドに対してリスクレベルのしきい値を引き下げるカスタム例外ルールを追加してください。

パフォーマンスの問題

  • オンプレミスでLLMを使用している場合は、リソースの割り当て状況を確認してください。また、クラウドLLMプロバイダーを利用している場合は、ネットワーク接続が正常であるかを確認してください。

セッション分析が表示されない

  • PAMゲートウェイの構成および対象リソースの両方でKeeperAIが有効になっているかを確認してください。

    • セッション録画ファイルをダウンロードし、summary.jsonが含まれているかを確認してください。

      • summary.jsonが存在しない場合、そのセッションではKeeperAIが有効になっていなかったことを意味します。

      • summary.jsonが破損または不完全な場合、処理の最終段階でエラーが発生した可能性があります。サポートまでご連絡ください。

    • KeeperAI有効化前に記録されたセッションについては分析データは含まれません。

LLM接続エラー

  • ゲートウェイ設定で、LLMプロバイダーの認証情報およびエンドポイント構成が正しいか確認してください。

サポート

KeeperAIについてのお問い合わせは、pam@keepersecurity.comまでメールにてお寄せください。

よくある質問

Q: KeeperAIで自分のLLMモデルを使用できますか? A: はい。KeeperAIでは、OpenAIの/chat/completionsAPIエンドポイントに準拠している任意のプロバイダーに対応しています。

Q: KeeperAIはリアルタイムで動作しますか? A: はい。KeeperAIはユーザーの入力ごとにリアルタイムでセッションを解析し、完了したセッションの録画と分析結果を暗号化されたファイルに保存します。

Q: KeeperAIは機密情報をどのように扱いますか? A: PAMゲートウェイバージョン1.7.0では、セッション録画および分析データを暗号化ファイルとして保存します。今後のリリースでは、機微な個人情報 (PII) の検出機能が強化され、PIIをLLMに送信する前に削除するオプションや、LLMの応答からPIIを除去する機能が追加される予定です。

Q: KeeperAIはインターネットに接続されていない環境 (エアギャップ環境) でも使用できますか? A: はい。オンプレミスのLLMを使用すれば、インターネットや外部サービスに接続せず、ローカルサービスとのみ連携させることが可能です。

Q: セッション分析1回あたりの想定コストはどれくらいですか? A: コスト計算の参考として、各コマンドに使用されるリスク分析プロンプトは約550トークン、すべてのコマンドを要約する最終プロンプトは約400トークンです (ユーザー入力のコンテキストを除く)。入力コマンドの長さや内容によって追加トークンが発生する可能性があります。

Q: サードパーティのLLMプロバイダーに送信されるデータと、その保護方法は? A: コマンドのテキストは、暗号化されたHTTPS通信を通じて設定されたLLMプロバイダーに送信されます。LLMの応答も暗号化され、S3に保存されます。すべての通信はゲートウェイから直接LLMプロバイダーに送られ、Keeper側に送信されることはありません。ゼロ知識およびゼロトラストを維持するため、通信内容はユーザーの秘密鍵で暗号化されてからでなければKeeperには送信されません。

Q: コンプライアンス報告用に脅威検知データをエクスポートできますか? A: はい。セッション分析画面から分析データをJSON形式でエクスポートできます。

前へボルトを使用した検出次へオンプレミス用コネクションマネージャー

最終更新