# ベンダー特権アクセス管理

## KeeperPAMによるVPAMの提供 KeeperPAMは、ゼロトラストアーキテクチャを通じて、社内リソースへの安全なサードパーティアクセスを実現します。本ページでは、KeeperPAMが契約業者、技術者、ベンダーなどの外部ユーザーに対して、安全で監査可能かつ時間制限付きのアクセスをどのように提供するかを説明します。VPNや資格情報の開示は不要です。 *** ## 概要 KeeperPAMは、ベンダー、パートナー、外部技術者といった外部ユーザーによるリモート特権アクセスをネイティブにサポートします。すべてのアクセスは、ブラウザベースのインターフェースを通じて行われ、完全な制御、監査、セッション録画を実現。ローカルエージェントやVPNは不要です。 *** ## 主な機能 **ジャストインタイム (JIT) アクセス** 必要なときにのみ、特定のシステムへの時間制限付きアクセスをベンダーに付与します。アクセスには、承認ワークフロー、有効期限、セッション録画の条件を設定できます。 **認証情報のインジェクション (ゼロエクスポージャー)** ベンダーはパスワードを一切見ることも操作することもありません。Keeperは、Keeperゲートウェイを介してRDP、SSH、データベース、ウェブセッションへ認証情報を直接注入します。 **エージェントレス・VPN不要のアクセス** すべてのアクセスは、ウェブブラウザまたはデスクトップアプリを通じて行われ、クライアントソフトウェアやVPNのセットアップは不要です。これにより迅速なオンボーディングと安全な接続が可能になります。 **セッションレコーディングと監視** すべてのベンダーセッションは、画面操作、キーストローク、コマンドログを含めて完全に記録されます。セッションはボルトUIで閲覧でき、SIEMにストリーミングすることも可能です。 **リアルタイム脅威検出 (KeeperAI)** KeeperAIはベンダーセッションを監視し、異常なアクティビティを検出した場合、リスクしきい値やパターン検出に基づいて接続を自動で終了させることができます。 **ロール単位のアクセス制御 (RBAC)** 管理者は、ベンダーの役割、プロジェクト、部門に応じてアクセスルールを定義できます。セッションは分離でき、時間制限やプロトコル単位での制限も可能です。 **コンプライアンス対応** すべてのサードパーティアクセスは監査可能であり、GDPR、HIPAA、PCI-DSS、SOX、NISTなどの規格に準拠します。詳細なログは保持され、外部SIEMツールに転送可能です。 *** ## 動作の仕組み **ベンダーアクセスの構成** * KeeperボルトUIで、ベンダーが必要とするリソース (例: SSH、RDP) のレコードを作成 * 時間ベースの権限を設定した共有フォルダに配置 * 必要に応じてRBACポリシーを適用 **ベンダー認証** * SSOか、メール/パスワード/多要素認証で、ベンダーをKeeperテナントに招待 * ベンダーをロールに割り当て * 多要素認証などのアクセス制御ポリシーを適用 * ベンダーはウェブボルトまたはデスクトップアプリからログイン * 対象リソースに多要素認証がなくとも、Keeperで多要素認証を強制 **セッションの開始** * ベンダーがリソースを選択し接続を開始 * Keepergゲートウェイが認証情報を注入しセッションを仲介 * 認証情報はベンダーに表示・コピーされない **セッションの監視** * Keeperが画面操作、キーストローク、コマンドログを記録 * KeeperAIがセッション内の異常を検出し、リスクが高い場合に自動で終了 **アクセスの終了** * セッションはスケジュールされた終了時刻で自動的に切断 * 共有フォルダの権限もポリシーに従って失効 *** ## 活用事例 * MSPまたはハードウェアベンダーがリモートでサーバーをトラブルシューティング * コンプライアンス監査人がシステムログを確認 * データベースコンサルタントが本番環境に短期間アクセス *** ## 利用開始手順ベンダーPAMは、KeeperPAMの標準ライセンスモデルに含まれており、追加ライセンスは不要です。 * [KeeperPAMを有効化](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/keeperpam-preview)します。 * IdPを通じて[ベンダーをプロビジョニング](https://docs.keeper.io/enterprise-guide/user-and-team-provisioning)します。 * [ロールポリシー](https://docs.keeper.io/enterprise-guide/roles)をベンダーに割り当てます。 * [Keeperゲートウェイ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/gateways)を展開します。 * Keeperボルトで[PAMリソースレコード](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/pam-resources)を作成します。 * [接続](https://docs.keeper.io/keeperpam/privileged-access-manager/connections)、[トンネル](https://docs.keeper.io/keeperpam/privileged-access-manager/tunnels)、[セッションレコーディング](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/session-recording-and-playback)などのPAM設定を有効化します。 * 認証情報を共有せず、時間制限付きでリソースへの[アクセスを共有](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/sharing-and-access-control)します。 *** ## スクリーンショット以下のスクリーンショットは、外部ベンダーまたは契約業者にリソースをプロビジョニングする基本的な手順を示しています。 IdP、AD、SSO、SCIM接続を使用してベンダーを招待します。または、別ディレクトリに関連付けられたノードをKeeperテナントに作成します。

ベンダーは、AD/LDAP、SSO、SCIMを通して、または手動でプロビジョニングできます。

ロールポリシーを介してベンダーにRBACを適用します。

ロールポリシーからFIDO2セキュリティキー、TOTPなどを使用した多要素認証をログイン毎に適用できます。

通常、ベンダーはレコードやフォルダの作成権限がなく、以下の例では共有アイテムの受信のみ可能です。

PAM関連ポリシーから、接続やトンネルの起動のみに制限できます。

ボルトからベンダーを共有フォルダ (権限なし) や個別リソースに割り当てられます。

各リソース内で、セッションレコーディング、JITなどの機能を構成できます。

ベンダーは多要素認証でボルトにログインし、セッションを開始できるようになります。認証情報が晒されることはありません。以下の例ではMySQLデータベースにアクセスしています。

ベンダーはワンクリックでリソース (この場合はデータベース) への接続を開始します。すべてのセッションアクティビティは記録されログされます。

管理コンソールでは、セッション開始に関するイベントログが生成されます。

*** ## 追加情報ベンダー特権アクセス管理 (VPAM) はすべてのKeeperPAM環境にデフォルトで含まれており、**別途ライセンスは不要です。**外部ベンダーアカウントはライセンス上、内部ユーザーと同等に扱われます。組織のポリシーに応じて、ベンダーは以下の追加機能も利用できます。 * [Keeperトンネル](https://docs.keeper.io/keeperpam/privileged-access-manager/tunnels)を使用して、**ベンダー自身のデバイスから対象システムにアクセス** * ベンダーのIDプロバイダと[SSO連携](https://docs.keeper.io/enterprise-guide/sso-saml-integration)を可能にする**フェデレーテッドアイデンティティ対応** * 特定のノードに対して限定的な[管理権限を委任](https://docs.keeper.io/enterprise-guide/delegated-administration)する**管理者権限の委譲** * カスタムインターフェース、セッション参加、[高度な統合機能](https://docs.keeper.io/kcm-linux-rpm-method/using-keeper-connection-manager/launching-connections)に対応したセルフホスト型の**Keeperコネクションマネージャーを導入**してリモートアクセスを実現 ***