編集

KeeperAI

KeeperPAMの特権セッションに対応したAIベースの脅威検出

概要

KeeperAIは、エージェント型AIによる脅威検知システムで、KeeperPAMの特権セッションを自動的に監視・分析し、不審または悪意のある行動を特定します。このシステムはソブリンAIフレームワークを基盤として構築されており、すべての分析をゲートウェイレベルで実行します。入力される各コマンドをリアルタイムで解析し、後で確認できるよう暗号化されたセッション要約を生成します。これにより、セキュリティチームはアクティブな特権セッション中に潜在的な脅威を迅速に検知できます。

KeeperAI製品ページはこちら

主な機能

  • 自動セッション分析: セッションメタデータ、キーストロークログ、コマンド実行ログを分析し、異常な挙動を検出

  • セッションの検索機能: セッション全体を対象に、特定のキーワードや操作を検索

  • 脅威分類: 検出した脅威を自動的にカテゴリ分けし、リスクレベルを割り当て

  • 柔軟なデプロイ: サードパーティ、クラウド環境、オンプレミスでのLLM推論に対応

  • 構成のカスタマイズ: 環境に合わせてリスクパラメータや検出ルールを調整可能

対応プロトコル

現在対応済み

  • SSH

近日対応予定

  • データベースプロトコル (MySQL/PostgreSQL)

  • RDP

  • VNC

  • RBI

セットアップ手順

  • Keeperゲートウェイの最新バージョン (1.7.0以降) をインストールします。

  • LLM推論サービス (クラウドまたはセルフホスト) へのアクセスを確保します。

  • Keeperゲートウェイのデプロイ環境でLLMプロバイダを有効化します。

  • KeeperAIを利用できるようにPAM構成を設定します。

  • 対象リソースでKeeperAIを有効化します。

以下に記載の手順に従って、使用するLLMプロバイダーに合わせてKeeperゲートウェイをセットアップします。

PAM構成の設定

  1. [Keeperシークレットマネージャー] タブの [PAM構成] に移動します。

  2. 対象のリソースを選択し、KeeperAI機能セクションまでスクロールします。

  3. 設定を切り替えて有効化します。

リソースでの脅威検知の有効化

  1. 選択したリソースのPAM設定を編集します。

  2. [接続] タブに移動します。

  3. セッション録画のすべてのオプションを有効化します。

  1. [KeeperAI] タブへ移動し、[KeeperAIを有効にする] のトグルボタンをオンにします。

デフォルトでは、KeeperAIによりコマンドは自動的に分類され、適切なリスクレベルカテゴリに割り当てられます。

より強力な制御を行うには、特定のリスクレベルに対して [セッションを終了] を有効化できます。有効化すると、そのレベルに分類されたコマンドが実行された時点でセッションが即座に終了します。

KeeperAIの例外設定とカスタムルール

[例外] ポップアップを使用して、特定のキーワードやパターンの分類方法をカスタマイズできます。ドロップダウン例から追加するか、プレーンテキストまたは正規表現 (regex) を入力して設定できます。

セッション要約の確認

各セッション記録にはKeeperAIによるAI生成の要約が付与され、セキュリティチームがユーザーの操作内容を効率的に確認・把握できます。要約を確認するには、監視対象リソースのオプションメニューを開き、[セッションアクティビティ] を選択します。

  • 分析を開く: セッション行をクリックすると [セッション分析] ポップアップが開き、実行された各コマンドの詳細な要約が表示されます。

  • 再生: [再生] ボタンをクリックすると、セッション全体の記録をリアルタイムで閲覧できます。

  • ダウンロード: [ダウンロード] ボタンを使用すると、セッション記録ファイルをローカルに保存し、オフラインで確認できます。

セッション記録ファイルをローカルにダウンロードする場合、これらのファイルは暗号化されておらず、機密情報を含んでいる可能性がありますのでご留意ください。組織のデータ保護ポリシーに従って、安全に保管・取り扱うようにしてください。

注意事項

  • デフォルトでは、AIがコマンドをできる限り適切なリスクレベルカテゴリに分類します。

  • 特定のリスクレベルで分類されたコマンドをトリガーにセッションを終了させたい場合は、そのリスクレベルに対して [セッションを終了] を有効化してください。

  • 特定のパターンマッチングキーワードがある場合は、[例外] ポップアップを開いて、リスクレベルの分類や検知ポリシーをカスタマイズできます。

リスク分類

KeeperAIでは脅威検知のためにコマンドは以下のリスクレベルに分類されます。

  • 重大: 即時対応が必要な深刻なセキュリティ脅威

  • 高: 速やかに対処すべき重要なセキュリティ上の懸念

  • 中: 監視が必要となる潜在的なセキュリティ問題

  • 低: 監視不要の通常または無害な動作

LLM連携

概要

KeeperAIでは、大規模言語モデル (LLM) を活用して脅威検出機能を強化しています。PAM Gatewayは、任意のLLMと連携してセッションデータを分析し、高度なセキュリティ分析結果を生成します。この統合は、KeeperAIが不審なパターンを検出し、詳細なセッション要約を作成するための重要な基盤となっています。

免責事項

AIによる予測は本質的に確率的なものであり、常に正確であるとは限りません。使用するLLMプロバイダおよびモデルの選択はユーザーの裁量によるものであり、KeeperAIはAIがタスクを完全に理解し、正しく解釈することを保証するものではありません。

ユーザーは、AIの出力結果を鵜呑みにせず、意思決定プロセスの一環として慎重に確認・検証することを推奨します。

LLMプロバイダのセットアップ

KeeperAIは複数のLLMプロバイダーと連携できるよう設計されており、柔軟なデプロイが可能です。セルフホスト型およびクラウド型のLLMの両方に対応しています。LLMプロバイダーに関してご不明点や詳細情報をご希望でしたら、[email protected] へお問い合わせください。

Dockerインストール方法

OpenAI-Compatible API

OpenAIの /chat/completions エンドポイント形式に準拠したリクエスト/レスポンス形式を実装しているあらゆるAPIプロバイダに対応しています。

構成

  1. まず、ゲートウェイにLLMサービスへアクセスするための適切な権限が付与されていることを確認してください。

  2. 次に、Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を設定します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "openai-generic"
  KEEPER_GATEWAY_AI_BASE_URL: "<your-base-url>"
  KEEPER_GATEWAY_AI_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"

利用できるプロバイダの例 (一部抜粋)

推論プロバイダ
資料

Ask Sage

Ask Sage

Saasセルフホスト

Azure AI Foundry

Azure AI Foundry

Saas

Cohere

Cohere

Saasセルフホスト

Cerebras

Cerebras

Saas

Fireworks AI

Fireworks AI

Saas

Featherless AI

Featherless AI

Saas

Groq

Groq

Saas

Grok

Grok

Saas

Hyperbolic

Hyperbolic

Saas

Hugging Face

Hugging Face

Saas

Keywords AI

Keywords AI

Saasセルフホスト

LitelLLM

LiteLLM

Saasセルフホスト

LM Studio

LM Studio

セルフホスト

Nebius

Nebius

Saas

Novita

Novita

Saas

NScale

NScale

Saas

Ollama

Ollama

Saasセルフホスト

OpenRouter

OpenRouter

Saas

SambaNova

SambaNova

Saas

Tinfoil

Tinfoil

Saas

TogetherAI

TogetherAI

Saas

Unify AI

Unify AI

Saasセルフホスト

Vercel AI Gateway

Vercel AI Gateway

Saas

vLLM

vLLM

セルフホスト
AWS Bedrock

AWSのツールを使用すれば、インフラ管理の必要なく、すぐに利用を開始でき、自社データで基盤モデルをプライベートにカスタマイズし、アプリケーションに簡単かつ安全に統合・展開することができます。

構成

  1. ゲートウェイに割り当てられたIAMロールに、AmazonBedrockFullAccess ポリシーが付与されていることを確認します。

  2. AWSコンソールから、Amazon Bedrockの基盤モデルへのアクセスをリクエストします。

  3. サポートされているモデル一覧から使用するモデルを選び、対応するモデルIDを控えておいてください。

  4. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "aws-bedrock"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
  AWS_REGION: "<your-aws-region>"
Anthropic

構成

開始する前に、AnthropicコンソールでAPIキーを作成します

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "anthropic"
  KEEPER_GATEWAY_AI_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
Google AI: Gemini

構成

開始する前に、Google AIダッシュボードでAPIキーを作成します

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "google-ai"
  KEEPER_GATEWAY_AI_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
Google: Vertex

Vertexの利用が許可されている ProjectID を持つアカウントを使用する必要があります。Google Cloudアカウントを管理する際は、Vertexを有効化し、gcloud auth で認証する際にプロジェクトのIDを指定するようにしてください。

gcloud auth application-default login --project MY_PROJECT_ID

  • Google Cloudのアプリケーションデフォルト認証情報を使用していれば、特別な設定をしなくてもそのまま認証が機能します。

  • options.credentials を設定すると、その指定が優先され、vertex-ai は指定されたファイルパスからサービスアカウント認証情報を読み込むようになります。

構成

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "vertex-ai"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
  KEEPER_GATEWAY_AI_LOCATION: "<your-location>"
OpenAI

構成

開始する前に、Open AI PlatformのダッシュボードでAPIキーを作成してください

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "openai"
  KEEPER_GATEWAY_AI_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_AI_MODEL: "<your-model-id>"
Azure OpenAI

構成

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_AI_LLM_PROVIDER: "azure-openai"
  KEEPER_GATEWAY_AI_RESOURCE_NAME: "<your-resource-name>"
  KEEPER_GATEWAY_AI_DEPLOYMENT_ID: "<your-deployment-id>"
  KEEPER_GATEWAY_AI_API_VERSION: "<your-api-version>"
  KEEPER_GATEWAY_AI_API_KEY: "<your-api-key>"

ネイティブインストール方法

Windowsインストール手順

WindowsでのKeeperゲートウェイサービス用環境変数の構成

以下は、Windows環境でKeeperゲートウェイサービスの環境変数を構成する手順となります。

  1. PowerShellを管理者として起動します。

  2. マシンスコープで変数を設定します。

setx KEEPER_GATEWAY_AI_LLM_PROVIDER "<your_provider_name>" /M
setx KEEPER_GATEWAY_AI_BASE_URL "<your-base-url>" /M
setx KEEPER_GATEWAY_AI_API_KEY "<your-api-key>" /M
setx KEEPER_GATEWAY_AI_MODEL "<your-model-id>" /M

ゲートウェイサービスを再起動して新しい環境が反映されるようにします。

Restart-Service -DisplayName "Keeper Gateway Service"
Linuxインストール手順

LinuxでのKeeperゲートウェイサービス用環境変数の構成

Linux環境でKeeperゲートウェイサービスの環境変数を構成するには、以下の手順に従ってください。

  1. systemd サービスファイルを編集します。

    sudo vi /etc/systemd/system/keeper-gateway.service

  2. Environment= 行を拡張し、サポートされているLLMプロバイダに基づいて必要な環境変数を追加します。

    Environment=KEEPER_GATEWAY_AI_LLM_PROVIDER="<your_provider_name>"
Environment=KEEPER_GATEWAY_AI_BASE_URL="<your-base-url>"
Environment=KEEPER_GATEWAY_AI_API_KEY="<your-api-key>"
Environment=KEEPER_GATEWAY_AI_MODEL="<your-model-id>"

  3. デーモンをリロードし、ゲートウェイサービスを再起動します。

    # デーモンをリロード
sudo systemctl daemon-reload

# 環境変数が正しく構成されているかを確認 (任意)
sudo systemctl show keeper-gateway.service | grep Environment=

# Keeper Gatewayサービスを再起動
sudo systemctl restart keeper-gateway.service

セッション要約の確認

セッションレコーディングへのアクセス

分析された各セッションにはAIによる要約が付与されます。

  1. ボルトUIのセッション録画セクションへ移動します。

    1. レコードを右クリックするかオプションアイコンをクリックして [セッションアクティビティ] を選択します。

  2. KeeperAIによる分析が行われたセッションの行をクリックすると、[セッション分析] ポップアップが開き、セッション中に実行された各コマンドの詳細を確認できます。

  3. [再生] ボタンをクリックすると、セッション録画の再生が始まり、セッションの様子をリアルタイムで確認できます。

  4. [ダウンロード] ボタンをクリックすると、セッション録画ファイルをローカルに保存できます。

セッション録画ファイルをローカルにダウンロードする際は、これらのファイルが暗号化されておらず、機密情報を含んでいる可能性がある点にご注意ください。

ファイルは、組織のデータ保護ポリシーに従って、安全に保管・取り扱うようにしてください。

セッションアクティビティ画面
セッション分析画面

ARAMイベントとの統合

KeeperAIは、検出された脅威ごとに自動的にARAMイベントを生成し、既存のセキュリティワークフローとの統合が可能です。

トラブルシューティング

よくある問題と対処方法

検知漏れ

  • リスクレベル設定で感度のしきい値を調整するか、例外画面でカスタムキーワードパターンを追加してください。

誤検知

  • パターンマッチングルールを見直すか、特定のコマンドに対してリスクレベルのしきい値を引き下げるカスタム例外ルールを追加してください。

パフォーマンスの問題

  • オンプレミスでLLMを使用している場合は、リソースの割り当て状況を確認してください。また、クラウドLLMプロバイダーを利用している場合は、ネットワーク接続が正常であるかを確認してください。

セッション分析が表示されない

  • PAMゲートウェイの構成および対象リソースの両方でKeeperAIが有効になっているかを確認してください。

    • セッション録画ファイルをダウンロードし、summary.jsonが含まれているかを確認してください。

      • summary.json が存在しない場合、そのセッションではKeeperAIが有効になっていなかったことを意味します。

      • summary.json が破損または不完全な場合、処理の最終段階でエラーが発生した可能性があります。サポートまでご連絡ください。

    • KeeperAI有効化前に記録されたセッションについては分析データは含まれません。

LLM接続エラー

  • ゲートウェイ設定で、LLMプロバイダーの認証情報およびエンドポイント構成が正しいか確認してください。

サポート

KeeperAIについてのお問い合わせは、[email protected] までメールにてお寄せください。

よくある質問

Q: KeeperAIで自分のLLMモデルを使用できますか? A: はい。KeeperAIでは、OpenAIの/chat/completionsAPIエンドポイントに準拠している任意のプロバイダーに対応しています。

Q: KeeperAIはリアルタイムで動作しますか? A: はい。KeeperAIはユーザーの入力ごとにリアルタイムでセッションを解析し、完了したセッションの録画と分析結果を暗号化されたファイルに保存します。

Q: KeeperAIは機密情報をどのように扱いますか? A: PAMゲートウェイバージョン1.7.0では、セッション録画および分析データを暗号化ファイルとして保存します。今後のリリースでは、機微な個人情報 (PII) の検出機能が強化され、PIIをLLMに送信する前に削除するオプションや、LLMの応答からPIIを除去する機能が追加される予定です。

Q: ゲートウェイ、LLMプロバイダ、Keeperのシステム間でデータはどのように流れますか? A: KeeperAIでは、データのプライバシーとセキュリティを確保するために、安全な多段階の通信フローを採用しています。

  1. ゲートウェイ ↔ LLMプロバイダ: PAMゲートウェイが、構成済みのLLMプロバイダと暗号化されたHTTPS経由で直接通信し、セッションコマンドをリアルタイムに分析します。

  2. ゲートウェイ → Keeper: LLMの分析結果を受信した後、ゲートウェイはすべてのセッションデータと分析結果を固有のレコードキーで暗号化し、Keeperのエンドポイントに送信して保存します。

Q: KeeperAIはインターネットに接続されていない環境 (エアギャップ環境) でも使用できますか? A: はい。オンプレミスのLLMを使用すれば、インターネットや外部サービスに接続せず、ローカルサービスとのみ連携させることが可能です。

Q: セッション分析1回あたりの想定コストはどれくらいですか? A: コスト計算の参考として、各コマンドに使用されるリスク分析プロンプトは約550トークン、すべてのコマンドを要約する最終プロンプトは約400トークンです (ユーザー入力のコンテキストを除く)。入力コマンドの長さや内容によって追加トークンが発生する可能性があります。

Q: サードパーティのLLMプロバイダーに送信されるデータと、その保護方法は? A: コマンドのテキストは、暗号化されたHTTPS通信を通じて設定されたLLMプロバイダーに送信されます。LLMの応答も暗号化され、S3に保存されます。すべての通信はゲートウェイから直接LLMプロバイダーに送られ、Keeper側に送信されることはありません。ゼロ知識およびゼロトラストを維持するため、通信内容はユーザーの秘密鍵で暗号化されてからでなければKeeperには送信されません。

Q: コンプライアンス報告用に脅威検知データをエクスポートできますか? A: はい。セッション分析画面から分析データをJSON形式でエクスポートできます。

前へボルトを使用した検出次へオンプレミス用コネクションマネージャー

最終更新