# ボルトリリース 17.3 ## PAM関連の新機能と向上点 ### 概要 Keeperバージョン17.3では、DevOps、ITセキュリティ、開発チームに向けたPAM機能が強化され、IT環境全体における可視性、制御、連携体制がさらに向上しました。 * [**検出**](#disukabar)機能のアップデートにより、Active Directory環境でのドメインコントローラー構成が可能になりました。 * [**接続**](#shii)機能では、新たに「起動用認証情報」、「個人用認証情報」、「一時的アカウント」がサポートされました。常設特権を排除し、セッション単位でのジャストインタイム認証を実現する、柔軟かつ安全なアクセス手段が提供されます。 * **シークレットマネージャー**では、他のKeeperユーザーと[アプリケーションやゲートウェイを共有](#shkurettomanjapurikshontogtoweino)できるようになり、組織全体での安全で協調的なシークレット管理が可能になりました。 * **ワンタイム共有 (OTS)** 機能により、Keeperアカウントを持たない外部ユーザーとも一時的に[コンテンツを双方向で共有](#wantaimu-ots-nonoappudto)できるようになりました。コンプライアンスや制御性を損なうことなく、安全な情報共有体制を実現します。 *** ### 検出 (ディスカバリー) Keeperの**検出**機能を使用すると、DevOps、ITセキュリティ、開発チームがローカル環境、AWS、Azureに存在する特権アカウントやIT資産を把握できます。Keeperゲートウェイを通じて統合され、未管理のアカウントや設定ミス、セキュリティリスクを特定するのに役立ちます。資産の検出を自動化し、実用的なインサイトを提供することで、検出機能はセキュリティの強化、運用の効率化、そして複雑なインフラ環境におけるコンプライアンス対応を支援します。バージョン17.3では、この検出プロセスに新機能が追加されました。 #### **詳細情報** 新しいジョブを作成するには、**\[ディスカバリー]** タブを開き、**\[検出ジョブの作成]** をクリックします。次に、スキャンを実行するアクティブな**Keeperゲートウェイ**を選択します。このゲートウェイは**PAM構成**に紐づいており、スキャン対象となる環境の種類が定義されています。 PAM構成にCIDR範囲やクラウド認証情報などの必要な情報が不足している場合は、ジョブの実行前にその入力を求められます。

ジョブが**完了**すると、そのジョブをクリックして、検出結果を確認・処理することができます。複数の項目をまとめて選択することも、1件ずつ確認して進めることも可能で、最終的な結果を確定する前にキューに追加しておくことができます。

検出結果を確認する際、それぞれのリソースを保存するボルト内での保管場所を選択し、適切な管理者認証情報を割り当てることができます。この管理者認証情報には、以下の重要な機能があります。 * **ユーザーアカウントの検出**\ 今後の検出ジョブで、そのリソースへリモートアクセスしてローカルユーザーアカウントを識別するために使用されます。 * **パスワードローテーション**\ 検出されたアカウントに対し、オンデマンドまたはスケジュールに基づいたパスワードの自動変更を可能にします。

さらに、検出によって特定されたPAMユーザーには、**自動パスワードローテーション**の設定を行うことができます。

検出ジョブのパネルでは、過去に実行されたすべてのジョブと、そのステータス (完了、実行中、失敗など) を確認できます。

*** ## 新しい接続方法 Keeperの**接続**機能は、対象システムへの安全なアクセスを実現するために、複数の認証方法を提供します。 * **起動用認証情報**\ PAMマシン、データベース、またはディレクトリレコードに直接設定された認証情報を使用してセッションを開始できます。ユーザーは認証情報自体にアクセスすることなく、接続を確立できます。 * **個人用認証情報**\ ユーザーは自分のKeeperボルトに安全に保存された自身の認証情報を使用して認証を行うことができ、柔軟性と個人の管理性を確保できます。 * **一時的アカウント**\ この機能を有効にすると、セッション専用の一時的な特権アカウントが自動的に作成され、セッション終了後に削除されます。これにより、常設特権を排除したジャストインタイムアクセスを実現します。 ### 接続テンプレート **PAMマシン**、**PAMデータベース**、**PAMディレクトリ**の各レコードタイプは、**接続テンプレート**として設定できるようになりました。これにより、事前にホスト名や認証情報を定義しておくことなく、対象システムへのセッションを開始できます。各テンプレートには、**Keeperゲートウェイ**および使用する**接続プロトコル設定**が必要です。一度作成されたテンプレートは、他のユーザーと共有することも可能です。テンプレートからセッションを起動する際、ユーザーは次の情報を求められます。 * 接続先ホスト名の入力 * 認証に使用するKeeperボルト内の認証情報の選択

**\[接続]** タブでは、ユーザーが認証情報を公開することなく、サーバー、データベース、ウェブアプリ、ワークロードなどのインフラ資産へ、Keeperボルトから直接、安全かつ即座にアクセスすることができます。これにより、ゼロトラストかつゼロ知識のセキュリティモデルが実現します。接続は、**PAMマシン、PAMデータベース、PAMディレクトリ、PAMリモートブラウザ**の各レコードタイプに対して構成され、これらのレコードから直接セッションを開始することができます。 **\[接続]** タブでは、ユーザーが自分のボルトから使用する認証情報を選択できるように設定でき、さらにセッション終了時に起動用認証情報を自動的にローテーションするよう構成することもできます。

PAM設定内に、新たに **\[ローテーション]** タブと **\[JIT]** の設定タブを各リソースごとに追加しました。

#### **ジャストインタイムアクセス (JIT) と一時的アカウント、ロール昇格による特権セッション** Keeperウェブボルトからインフラ資産へ、ワンクリックで安全に特権セッションを開始できる**ジャストインタイム (JIT) アクセス**を実現しました。この機能により、ユーザーにはセッションの間のみ昇格権限が付与され、常設の特権アカウントによるリスクを大幅に軽減します。セッション終了とともに、昇格権限は自動的に解除されます。 **一時的アカウントの作成** **Keeperゲートウェイ**は、セッション開始時に対象システム上で一時的な特権アカウントを自動生成し、セッション終了後に削除します。これにより、永続的なアカウントが存在せず、不正利用のリスクを防止します。 **ロール・グループ昇格** 一時的なアカウントの作成に代えて、KeeperPAMは**ロールやグループ単位での昇格**もサポートします。例えば、Windowsの「Administrators」グループやAWS IAMロールをセッションユーザーに一時的に付与し、セッション終了時に自動解除します。このように、一時的アカウントまたはロール昇格を用いた柔軟なJITアクセスは、ゼロトラストセキュリティモデルを実現しつつ、インフラ全体の特権アクセス管理を簡素化します。

*** ## シークレットマネージャーアプリケーションとゲートウェイの共有 **Keeperシークレットマネージャー (KSM)** は、DevOps、ITセキュリティ、開発チーム向けに設計された、完全クラウドベースかつゼロ知識型のプラットフォームです。APIキー、データベースのパスワード、アクセストークン、証明書などのインフラシークレットを安全に管理できます。 **KSMアプリケーション**を作成すると、組織内の他のユーザーと安全に共有することが可能になります。共有されたユーザーは、関連付けられたKeeperゲートウェイを通じて、シークレットの閲覧、デバイスやゲートウェイの管理、PAMレコードタイプの設定などのアプリケーション機能にアクセスできます。この共有機能により、厳格なアクセス制御を維持しながら、安全なチーム連携を実現します。すべてはKeeperのゼロ知識セキュリティモデルに基づいて保護されています。

## ドメインコントローラー構成 **KeeperPAM**は新たに**ドメインコントローラー構成**に対応し、ドメイン参加済みリソースの検出と管理をスムーズに行えるようになりました。**検出**機能と組み合わせることで、組織内のドメイン接続されたアセットを自動的に特定し、共有されたKSMアプリケーション、PAMレコードタイプ、Keeperゲートウェイを通じて、安全にアクセスを管理することが可能です。すべてはKeeperのゼロ知識アーキテクチャのもとで保護されています。

*** ## ワンタイム共有 (OTS) の双方向機能のアップデート **Keeperワンタイム共有 (OTS)** 機能を使用すると、Keeperアカウントを持たない相手とも、レコードを安全かつ期限付きで共有することができます。メール、SMS、メッセージアプリなどを介した情報共有に伴うリスクを排除し、友人、家族、同僚などとの機密情報の共有に最適です。 {% embed url="" %} Keeperの双方向ワンタイム共有機能のご紹介 (英語) {% endembed %} 各共有リンクには以下の特長があります。 * 設定した有効期限に達すると**自動的に無効化。** * **単一デバイスでのみアクセス可能** (デバイスロックによる追加セキュリティ) * リンクが傍受されたり、メールアカウントが侵害された場合でも**不正アクセスを防止** * **双方向通信に対応**しており、共有セッション中は双方が内容の閲覧、編集、アップロードを安全に行うことが可能

受信者が共有リンクを開くと、レコードはウェブブラウザ上で表示され、そのデバイスに紐づけられます。アクセスは指定された有効期限を過ぎると自動的に失効し、リンクは無効化されます。これにより、たとえ元の承認済みデバイスであっても、レコードを再び閲覧することはできなくなります。

Keeperのワンタイム共有 (OTS) 機能に新たに追加された双方向機能により、Keeperユーザーと非Keeperユーザーの間で、安全かつ時間制限付きのセッション内で実現する真の双方向コラボレーションが可能になりました。受信者が共有されたレコードをブラウザで開くと、情報を閲覧できるだけでなく、以下の操作も行えます。 * レコード内の**既存フィールド** (メモ、認証情報、カスタムフィールドなど) **の編集** * 文書、画像、証明書などの**ファイルのアップロードと添付**

すべての変更は、同じセキュアかつデバイスに紐づけられたセッション内で行われます。受信者が **\[保存]** をクリックすると、更新内容はリアルタイムで送信者のボルトに反映されます。

これにより、機密性の高いオンボーディング情報の収集、認証情報の受け渡し、レコードの更新などを、受信者がKeeperアカウントを作成したり、ゼロ知識環境を離れたりすることなく、安全かつ効率的に行うことができます。セッションの有効期限が切れると、すべてのアクセス権が自動的に失効し、共有された情報は厳格に管理され続けます。 {% hint style="info" %} Keeperのワンタイム共有機能について詳しくは、[こちら](https://docs.keeper.io/user-guides/one-time-share)のページをご参照ください。 {% endhint %} #### **編集可能なワンタイム共有の有効化** この権限は、エンタープライズ環境ではデフォルトで無効になっています。有効にするには、管理コンソールの **\[ロール] > \[強制適用ポリシー] > \[作成と共有の権限設定]** に移動し、**\[編集可能フィールドとファイルのアップロード機能を備えたリンクを作成]** のチェックボックスをオンにしてください。

PAM機能の詳細については、[こちらのページ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started)をご覧ください。また、KeeperPAMの無料トライアルやデモのお申し込みについては、[こちらのページ](https://www.keepersecurity.com/ja_JP/privileged-access-management/)をご参照ください。 ## 機能強化 * **VAUL-7283:** 管理者により柔軟なリソースレコードを作成できるようになりました。管理用と起動用で異なる認証情報を設定したり、ユーザーが認証情報を入力する形式にしたり、ホスト情報や認証情報をカスタマイズできるテンプレートを使用したりすることが可能です。 * **VAUL-7285:** JITアクセスを有効にすることで、一時的な管理権限の付与、セッション後の自動アカウント削除、認証情報のローテーションが可能になりました。これらはすべて、PAM設定内で安全に管理できます。 * **VAUL-5995, VAUL-7333, VAUL-7235:** KSMアプリケーションの共有が可能になり、ロール単位のアクセス制御や、フォルダ、デバイス、ゲートウェイ、アクティビティログの管理機能を強化。 * **DR-646:** 検出機能を拡張し、複雑な環境でも特権アカウントやIT資産を可視化できるようになりました。これにより、設定ミスやセキュリティの抜け穴を防ぐことができます。 * **VAUL-6904, VAUL-6167, VAUL-7499:** ファイル、メモ、レコードの内容を、編集可能な状態で双方向に共有できる機能を追加し、スムーズな共同作業が実現。 ## その他のアップデート * **VAUL-7488:** Dashlaneの.dashファイルをKeeperにインポートする際の処理を改善。 * **VAUL-7138:** レポートとアラート機能において、削除済みアイテムにUIDを表示するよう更新。 * **VAUL-7370:** セッション録画の再生画面の表示に関する不具合を修正。 * **VAUL-7432:** ローテーションが可能であるというポリシーが適用されており、KSMアプリに編集権限がある場合、PAMユーザーレコードの認証情報をローテーションできるよう更新。 * **VAUL-7480:** 有効期限切れアカウントに表示されるポップアップのデザインを最新のUIに更新。 * **VAUL-7195:** 検出機能が、ドメインコントローラー (DC) 環境でのアセット検出に対応。 * **VAUL-7217:** DAGに新しいルーターAPIを実装。 * **VAUL-6363:** プレビューモードで利用しているユーザーに対し、ベータ機能の制限を明示する警告ラベルとバナーを追加。 * **VAUL-6055:** パスワードの長さに関する要件を、ロールポリシーで適用するよう改善。 ## バグ修正 * **VAUL-6440:** 2FAにSMSを設定しているユーザーにおいて、2FAの有効期間設定が正しく反映されず、ログインのたびに2FAが要求される不具合を修正。 * **VAUL-7325:** プライバシー画面が有効になっているにも関わらず、所有者でないユーザーがレコードの編集画面で手動でパスワードを入力できてしまう不具合を修正。 * **VAUL-6069, VAUL-6070:** 検索結果を示すドロップダウンにおける表示の不具合を修正。 * **VAUL-5979:** ログイン画面で、SSOドロップダウンから「マスターパスワード」を選択した際、カーソルがメールアドレス入力欄に自動で移動するよう修正。 * **VAUL-6123:** 検索結果内のレコードをクリックした際に、正しいレコードに移動するよう修正。 * **VAUL-7075:** PAMにおいて、リソース設定の更新時にレコードのローテーション設定が正しく確認されない不具合を修正。 * **VAUL-7172:** PAMスクリプトのドキュメントを更新。 * **VAUL-7121:** PAMレコードを新規作成する際の、モーダル内の表示に関する不具合を修正。 * **VAUL-6141:** レコードの復元でパスワードの強度が低下したにも関わらず、BreachWatchによって正しく検知されなかった不具合を修正。 * **VAUL-7427:** セキュリティ監査ページにおけるデザインの不具合を修正。 * **VAUL-7215:** 有効期限切れのアカウントを持つユーザーが、ファミリープランの招待を受けた際に生じるログインにおける不具合を修正。 * **VAUL-7462:** JSONファイルのインポート時にエラーが表示され、フォルダの権限が正しくインポートされない不具合を修正。 * **VAUL-7472:** ボルト内でパスワードの再利用が発生した際のレポートとアラート機能に関する不具合を修正。 * **VAUL-7244:** SCIMでプロビジョニングされ、オートメーターで承認されたチームが、ボルトに表示されない不具合を修正。 * **VAUL-7490:** PAM機能におけるアイコンの色を一部修正し、デザインガイドラインと統一。 * **VAUL-7491:** PAMユーザーレコード設定において、ラベル表記の不備を変更。