デプロイメント (展開)

概要

エンドポイント特権マネージャーのデプロイは非常に簡単です。管理者は、エンドポイントのコレクションに関連付けられたカスタムデプロイメントパッケージを作成し、Keeperエージェントをそれらのエンドポイントに配布します。エージェントの起動時にKeeperテナントへ自動登録され、実行ファイルやローカルユーザーアカウントなど、エンドポイントに関する基本情報の収集が開始されます。デフォルトでは、Keeperエージェントは「監視」モードで動作し、実際の操作は行われません。

大きく分けて以下の2点です。

1. Keeper管理コンソールでデプロイメントパッケージを作成する

2. エンドポイントにエージェントをインストールして登録する

これが完了すると、デバイスはポリシーを受け取り、アクティビティを報告できるようになります。

コアとなるデプロイの流れ

すべてのデプロイ方法で、手順は同じです。

1. デプロイメントパッケージを作成する

2. エージェントをインストールする

3. エンドポイントを登録する

4. コレクションに割り当てる

5. デプロイを検証する

要件

• macOS: Sequoia、Sonoma

• Linux: Ubuntu 22.04以上

• Windows: Windows 11、Windows Server 2022および2025 (Intel x64のみ)

暗号化

KeeperエージェントとKeeper管理コンソール間のすべての通信は、エンドツーエンドの暗号化とゼロ知識アーキテクチャを使用しており、Keeperのサーバーや従業員によってエンドポイントに関する情報を復号化することはできません。管理コンソールにログインしたKeeper管理者のみがエンドポイントコレクションと関連メタデータを復号化できます。

デプロイメントパッケージ

[エンドポイント特権マネージャー] > [展開] 画面から [新しい展開パッケージ] を選択します。Keeperエージェントは、Windows、macOS、Linuxの各エンドポイントへ展開できます。インストールにはローカル管理者権限が必要です。リモート管理ソリューションやグループポリシーによる自動導入では、提供されたコマンドライン文字列を使い、インストーラーをサイレントモードで配布します。

デプロイメントコレクション

デプロイメントパッケージを作成する際に、割り当てられたコレクション名は、特権マネージャー内でポリシーを適用する際に参照されます。コレクション名は、通常、共通のプラットフォームや用途を共有するユーザーのグループを指します。

エージェントのデプロイ

管理コンソールのUIからインストーラーのZIPファイルをコピーし、ローカルマシンにダウンロードします。ZIPファイルを解凍し、各プラットフォーム用のパッケージを展開します。インストーラーコマンドで使用するデプロイトークンをコピーします。有効なデプロイトークンがないと、Keeperエージェントをテナントに登録できません。

構成および使用方法の詳細については、コマンドラインポリシーをご参照ください。

• ユーザーが新しいログインセッションを開始すると、Keeperエージェントが起動します。ログアウトおよび再ログインが必要になる場合があります。

• sudo ポリシー制御の詳細は、コマンドラインポリシーをご参照ください。

• パッケージ (.pkg) およびディスクイメージ (.dmg) のインストールでは、ユーザーがKeeperエージェントのUIから明示的にリクエストを開く必要があります。

プラットフォームごとのインストール手順は以下をご参照ください。

• Windows でのデプロイ

• Linux でのデプロイ

• macOS でのデプロイ

インベントリデータの検出

インベントリ収集スケジュール

Basic (inventory-basic / InventoryBasic): 7200分ごと(5日)に実行。AgentRegistered および Startup 時にも実行 User (user-inventory / UserInventory): 7200分ごと(5日)に実行。AgentRegistered および Startup 時にも実行 Application (file-inventory / FileInventory): 7200分ごと(5日)に実行。Startup 時のみ追加実行(AgentRegistered トリガーなし)

詳細

スケジュール: いずれも同じ間隔 intervalMinutes: 7200(120時間＝5日)。 BasicおよびUserは以下のタイミングでも実行します。 AgentRegistered – エージェントがバックエンドに登録されたとき Startup – エージェントが起動したとき Application (ファイルインベントリ) は同じ5日間隔およびStartup時のみ実行し、AgentRegisteredトリガーはありません。User、Application、Basicはいずれも5日 (7200分) スケジュールで実行されます。BasicとUserは、エージェントの登録および起動時にも追加で実行されます。

エージェントがエンドポイントにインストールされ展開されると、エンドポイント上で以下の3種類の検出が実行されます。

• 基本インベントリ: オペレーティングシステム、バージョン、種類

• アカウントインベントリ: ローカルユーザーおよびグループ

• ファイルインベントリ: システム上のすべての実行ファイル

Keeper管理コンソールへは、検出されたインベントリが暗号化されたテレメトリデータとして送られます。これには、以下のようなエンドポイント情報が含まれます。

• コンピュータ名およびタイプ

• OS情報 (Windows、macOS、Linux) およびバージョン

• ローカルユーザーアカウント情報

• ローカルグループアカウント情報

• インストールされたアプリケーション

[展開] 画面では、コレクションごとに整理されたエンドポイントの統計情報が表示されます。

コレクションはダッシュボードから有効または無効にできます。コレクションが無効化されると、そのデバイスへのポリシー適用が行われなくなります。

個々のエンドポイントも無効化でき、エージェントによるポリシー適用を防ぐことができます。

コマンダーを使用した自動化処理

Keeperコマンダーでは、コマンドラインインターフェイス、サービスモード REST API、および Python SDK によるデプロイの自動化が可能です。エンドポイント特権マネージャーのコマンドの詳細は、エンドポイント特権マネージャーコマンドをご参照ください。

エージェント管理

epm agent コマンドで、エンドポイント上の個々のエージェントを管理できます。

デプロイメント

epm deployment コマンドで、エージェントのデプロイメントを管理できます。

レポート

epm report コマンドで、イベントログおよびイベントレポートを取得できます。

アンチウイルス / EDR 除外要件

サードパーティのアンチウイルスまたは EDR と Keeperエンドポイント特権マネージャーを併用して展開する場合、エンドポイント特権マネージャーのインストールディレクトリをリアルタイムスキャンから除外してください。これにより性能の低下を防ぎ、ポリシー評価、プロセスのインターセプト、特権昇格のワークフローへの干渉を避けられます。

必須の除外パス

製品別の手順

Microsoft Defender 管理者権限の PowerShell で実行します。

CrowdStrike Falcon Falcon Console → Endpoint Security → Configure → Exclusions → Add folder path (include subfolders) SentinelOne Management Console → Sentinels → Exclusions → Add Path Exclusion Mode: Interoperability – Extended (include subfolders) Sophos Central Global Settings → Global Exclusions → Add Exclusion → File or Folder (Windows) Apply to real‑time and scheduled scanning

エンドポイントで CallerCheck アラートが発生する場合は、イベント固有のサムプリントを指定して除外できます。 Global Settings → Global Exclusions → Add Exclusion → Detected Exploits (Windows/Mac) → <thumbprint> (マシン間では同一だが、Sophos アカウントごとに固有)。 Symantec/Broadcom SEP SEPM Console → Policies → Exceptions → Add Windows Exception → Folder (include subfolders) Trend Micro Apex One Apex Central またはローカルコンソール → Scan Exclusion List → Add directory

GPO による展開 (Microsoft Defender)

追加: C:\Program Files\Keeper Security\Endpoint Privilege Manager を登録し、値は 0 とします。

推奨デプロイフェーズ

特権昇格および委任管理 (PEDM) を成功させるには、運用の継続性とセキュリティのバランスを取った段階的なアプローチが必要です。本ガイドでは、組織全体で Keeper のエンドポイント特権マネージャーを導入するうえでの推奨戦略をまとめています。

フェーズ 1: 本番に近いテスト環境での検証

KEPM を広く展開する前に、本番のエンドポイントに近い少数のテストマシン (同一の OS バージョン、デバイス種別、セキュリティベースライン、インストール済みアプリケーション) にデプロイします。このパイロットで、KEPM が問題なくインストールできること、ポリシー適用が想定どおりであること、既存のセキュリティまたは管理ツールとの競合がないこと (EDR/XDR、ウイルス対策、アプリケーション制御、DLP、VPN クライアント、デバイス管理ユーティリティなど) を確認します。

多くの環境では、KEPM コンポーネントが正常に動作するよう、他のセキュリティツール側に除外設定や許可リスト (フォルダ、プロセス、ネットワーク、スクリプト実行の除外など) が必要になります。このフェーズで必要な除外を特定して文書化し、既存のセキュリティ管理プラットフォーム経由で標準化してから、KEPM を追加のエンドポイントへ広げる前に展開してください。

フェーズ 2: 基盤と検出

監視モードから開始する

すべてのポリシーを 監視 モードに設定してデプロイを開始します。ユーザー業務を妨げずに、特権利用のベースラインを把握できます。

• パイロット対象として、環境の 10〜20% 程度のエンドポイントに Keeper エージェントを展開する

• 初期ポリシーはすべて「監視」モードにし、特権昇格のパターンを観察する

• データ収集には 1〜2 週間を確保する

• 開発者ワークステーション、標準ユーザーマシン、サーバーなど、多様なエンドポイントを対象にする

特権利用パターンの分析

監視フェーズでは、ダッシュボードで以下の点を確認します。

• 頻繁な昇格要求: 管理者権限を定期的に必要とするアプリケーションやプロセス

• ユーザー行動のパターン: どのユーザーがいつ昇格アクセスを必要としているか

• 正当な業務プロセス: 業務上正当な理由で管理者権限が必要な操作

• 異常なアクティビティ: セキュリティリスクを示唆する特権要求

コレクションと組織構成の整理

調査結果に基づき、意味のあるコレクションを作成します。

• ユーザーグループ: 役割別 (開発者、IT スタッフ、標準ユーザー、経営層など)

• マシンコレクション: 機能別 (開発ワークステーション、サーバー、キオスクなど)

• アプリケーションコレクション: 業務クリティカルなツールと管理ツールの区分

• カスタムコレクション: 組織固有のニーズに応じたグループ

フェーズ 3: ポリシーの段階的な適用

監視と通知へ移行する

重要なポリシーを監視から 監視&通知 に切り替えます。

• 重要度の低いアプリケーションとユーザーグループから始める

• 監視中に一貫したパターンが見られたポリシーを優先する

• 適用の前にユーザーが通知に慣れる時間を確保する

• 変更は事前に関係ユーザーへ連絡する

基本的なコントロールを導入する

ユーザー負荷を抑えつつ基盤となる対策を追加します。

• 正当な理由の要件: 標準的な昇格要求にはシンプルな正当な理由ポリシーから適用する

• 時間帯に基づく制限: 業務時間外はより厳しいポリシーを適用する

• アプリケーション別ポリシー: リスクが高い、または不要な管理ツールへのアクセスを制御する

承認ワークフローを試す

機密性の高い操作には承認ベースのポリシーを導入します。

• 信頼できる承認者の少数グループから開始する

• 最初は重要度の低いアプリケーションで承認フローを検証する

• エスカレーション手順と所要時間を明確にする

• 業務クリティカルな承認では 24 時間体制を確保する

フェーズ 4: 適用と最小権限

最小権限を段階的に適用する

最小権限モデルをフェーズに分けて展開します。

• パイロットグループ: IT またはセキュリティチームから志望者 10〜20 名程度から開始する

• 低リスクユーザー: 管理者権限の必要性が低いユーザーへ広げる

• 標準ユーザー: 一般社員からローカル管理者権限を外す

• パワーユーザー: 開発者や IT スタッフと連携し、要件を調整する

MFA 要件の展開

機密性の高い操作に多要素認証を追加します。

• リスクの高いアプリケーションやシステム変更に MFA を優先する

• ユーザーが適切な 2FA 方式で Keeper ボルトに登録されていることを確認する

• セットアップ手順とサポート体制を明示する

• オフピークや緊急時を想定して MFA フローを検証する

高度なポリシーコントロールを構築する

複数のポリシーを組み合わせます。

• レイヤードポリシー: 同一リソースに複数ポリシーを適用し多層防御とする

• 条件付きアクセス: 日時ウィンドウでセキュリティレベルを変える

• アプリケーション別コントロール: アプリの挙動に応じてポリシーを調整する

• ファイルアクセスのコントロール: 機密性の高い実行ファイルやシステムファイルを保護する

フェーズ 5: 最適化と本番展開

環境全体へスケールする

すべてのエンドポイント群へ展開します。

• 週あたり 100〜200 台程度のバッチでデプロイする

• システム性能とユーザーのフィードバックを監視する

• 運用上の要件に応じてポリシーを調整する

• 緊急時のバイパス手順を維持する

継続的な監視と改善

運用上の定例を確立します。

• 週次レビュー: 昇格要求とポリシーの有効性を分析する

• 月次評価: 業務変化に応じてポリシーを見直す

• 四半期監査: 特権管理の効果を総合的に評価する

• 年次ポリシー見直し: 組織の変化をポリシーに反映する

成功の鍵となる要素

コミュニケーションとトレーニング

• 新しいプロセスと期待事項を文書で明示する

• 新しい特権モデルについてエンドユーザー向け研修を実施する

• 特権関連の問い合わせ向けにヘルプデスク手順を用意する

• よくある昇格要求向けにセルフサービス資料を用意する

技術面の考慮事項

• エージェント通信のネットワーク接続を確保する

• オフライン時のポリシー評価に備える

• セキュリティイベントのログとアラートを適切に実装する

• 重要システムへのアクセスのバックアップ手順を用意する

ポリシー設計のベストプラクティス

• 制限を優先: 複数ポリシーが競合する場合は最も制限の厳しいものを適用する

• 粒度の細かいコントロール: 広いポリシーよりアプリやユーザー単位のターゲティングを使う

• 業務との整合: 実際の業務プロセスと許容リスクにポリシーを合わせる

• 定期的な更新: 業務ニーズと脅威の変化に合わせてポリシーを更新する

緊急時の手順

• 重要システムへのアクセス向けに緊急時のブレイクグラス手順を維持する

• 緊急の特権要求向けにエスカレーション経路を文書化する

• 一時的なポリシー停止の基準を明確にする

• 緊急承認の連絡先を 24 時間体制で用意する

よくある落とし穴

• 実装の急進: 適用の前に利用パターンを十分に把握する

• 過度な設計: まずシンプルに始め、複雑さは徐々に追加する

• コミュニケーション不足: デプロイ全体を通じてユーザーへ情報を共有する

• 業務影響の軽視: ポリシー設計では運用要件を考慮する

• 監視の欠如: 実運用に基づき継続的に監視し調整する

成果の測定

デプロイの効果は以下の指標で評価できます。

• 恒常的な管理者権限の削減: ローカル管理者グループから外したユーザーの割合

• ポリシー遵守: 定めた特権管理ポリシーへの適合度

• ユーザー満足度: プロセスの効率と使い勝手に関するフィードバック

• セキュリティインシデント: 特権関連イベントの減少

• 運用効率: 正当な特権要求の解決までの時間

この段階的アプローチに従うことで、運用の継続性とユーザー満足度を維持したままエンドポイント特権マネージャーを展開できます。徐々に進め、継続的に監視し、実運用のパターンとフィードバックに応じて調整することが重要です。