ベンダー特権アクセス管理

KeeperPAMによるベンダー特権アクセス (VPAM) の提供

KeeperPAMによるVPAMの提供

KeeperPAMは、ゼロトラストアーキテクチャを通じて、社内リソースへの安全なサードパーティアクセスを実現します。本ページでは、KeeperPAMが契約業者、技術者、ベンダーなどの外部ユーザーに対して、安全で監査可能かつ時間制限付きのアクセスをどのように提供するかを説明します。VPNや資格情報の開示は不要です。

概要

KeeperPAMは、ベンダー、パートナー、外部技術者といった外部ユーザーによるリモート特権アクセスをネイティブにサポートします。すべてのアクセスは、ブラウザベースのインターフェースを通じて行われ、完全な制御、監査、セッション録画を実現。ローカルエージェントやVPNは不要です。

主な機能

ジャストインタイム (JIT) アクセス

必要なときにのみ、特定のシステムへの時間制限付きアクセスをベンダーに付与します。アクセスには、承認ワークフロー、有効期限、セッション録画の条件を設定できます。

認証情報のインジェクション (ゼロエクスポージャー)

ベンダーはパスワードを一切見ることも操作することもありません。Keeperは、Keeperゲートウェイを介してRDP、SSH、データベース、ウェブセッションへ認証情報を直接注入します。

エージェントレス・VPN不要のアクセス

すべてのアクセスは、ウェブブラウザまたはデスクトップアプリを通じて行われ、クライアントソフトウェアやVPNのセットアップは不要です。これにより迅速なオンボーディングと安全な接続が可能になります。

セッションレコーディングと監視

すべてのベンダーセッションは、画面操作、キーストローク、コマンドログを含めて完全に記録されます。セッションはボルトUIで閲覧でき、SIEMにストリーミングすることも可能です。

リアルタイム脅威検出 (KeeperAI)

KeeperAIはベンダーセッションを監視し、異常なアクティビティを検出した場合、リスクしきい値やパターン検出に基づいて接続を自動で終了させることができます。

ロール単位のアクセス制御 (RBAC)

管理者は、ベンダーの役割、プロジェクト、部門に応じてアクセスルールを定義できます。セッションは分離でき、時間制限やプロトコル単位での制限も可能です。

コンプライアンス対応

すべてのサードパーティアクセスは監査可能であり、GDPR、HIPAA、PCI-DSS、SOX、NISTなどの規格に準拠します。詳細なログは保持され、外部SIEMツールに転送可能です。

動作の仕組み

ベンダーアクセスの構成

  • KeeperボルトUIで、ベンダーが必要とするリソース (例: SSH、RDP) のレコードを作成

  • 時間ベースの権限を設定した共有フォルダに配置

  • 必要に応じてRBACポリシーを適用

ベンダー認証

  • SSOか、メール/パスワード/多要素認証で、ベンダーをKeeperテナントに招待

  • ベンダーをロールに割り当て

  • 多要素認証などのアクセス制御ポリシーを適用

  • ベンダーはウェブボルトまたはデスクトップアプリからログイン

  • 対象リソースに多要素認証がなくとも、Keeperで多要素認証を強制

セッションの開始

  • ベンダーがリソースを選択し接続を開始

  • Keepergゲートウェイが認証情報を注入しセッションを仲介

  • 認証情報はベンダーに表示・コピーされない

セッションの監視

  • Keeperが画面操作、キーストローク、コマンドログを記録

  • KeeperAIがセッション内の異常を検出し、リスクが高い場合に自動で終了

アクセスの終了

  • セッションはスケジュールされた終了時刻で自動的に切断

  • 共有フォルダの権限もポリシーに従って失効

活用事例

  • MSPまたはハードウェアベンダーがリモートでサーバーをトラブルシューティング

  • コンプライアンス監査人がシステムログを確認

  • データベースコンサルタントが本番環境に短期間アクセス

利用開始手順

ベンダーPAMは、KeeperPAMの標準ライセンスモデルに含まれており、追加ライセンスは不要です。

スクリーンショット

以下のスクリーンショットは、外部ベンダーまたは契約業者にリソースをプロビジョニングする基本的な手順を示しています。

IdP、AD、SSO、SCIM接続を使用してベンダーを招待します。または、別ディレクトリに関連付けられたノードをKeeperテナントに作成します。

ベンダー用ノードの作成

ベンダーは、AD/LDAP、SSO、SCIMを通して、または手動でプロビジョニングできます。

プロビジョニング方式

ロールポリシーを介してベンダーにRBACを適用します。

ベンダーロールを追加

ロールポリシーからFIDO2セキュリティキー、TOTPなどを使用した多要素認証をログイン毎に適用できます。

多要素認証の適用

通常、ベンダーはレコードやフォルダの作成権限がなく、以下の例では共有アイテムの受信のみ可能です。

共有ポリシー

PAM関連ポリシーから、接続やトンネルの起動のみに制限できます。

PAM関連ポリシー

ボルトからベンダーを共有フォルダ (権限なし) や個別リソースに割り当てられます。

共有フォルダ

各リソース内で、セッションレコーディング、JITなどの機能を構成できます。

PAM設定

ベンダーは多要素認証でボルトにログインし、セッションを開始できるようになります。認証情報が晒されることはありません。以下の例ではMySQLデータベースにアクセスしています。

多要素認証を経てKeeperボルトへアクセス

ベンダーはワンクリックでリソース (この場合はデータベース) への接続を開始します。すべてのセッションアクティビティは記録されログされます。

接続を開始

管理コンソールでは、セッション開始に関するイベントログが生成されます。

イベントログ

追加情報

ベンダー特権アクセス管理 (VPAM) はすべてのKeeperPAM環境にデフォルトで含まれており、別途ライセンスは不要です。外部ベンダーアカウントはライセンス上、内部ユーザーと同等に扱われます。

組織のポリシーに応じて、ベンダーは以下の追加機能も利用できます。

  • Keeperトンネルを使用して、ベンダー自身のデバイスから対象システムにアクセス

  • ベンダーのIDプロバイダとSSO連携を可能にするフェデレーテッドアイデンティティ対応

  • 特定のノードに対して限定的な管理権限を委任する管理者権限の委譲

  • カスタムインターフェース、セッション参加、高度な統合機能に対応したセルフホスト型のKeeperコネクションマネージャーを導入してリモートアクセスを実現

前へITSMとの統合次へCommander SDK

最終更新