# よくある質問 ### エンドポイント特権マネージャーの今後の予定機能 今後のロードマップには多くの機能拡張が計画されています。2026年末までに、以下の主要な機能が追加される予定です。 * リアルタイム/即時更新 * モバイルプッシュによる承認機能 * 管理者およびエンドユーザー向けの操作性向上 * FIDO2キーなどを含む追加のMFA制御オプション ### エンドポイント特権マネージャーはどのように機能しますか? #### Windowsの場合 Keeperエンドポイント特権マネージャーは、**システム権限のエージェント**としてインストールされ、サービスとして実行されます。このエージェントは、ユーザーセッション内で作成されるすべてのプロセスをフック(監視)し、各プロセス作成をインターセプトします。なお、**システムプロセスや他のセキュリティ製品にはフックを行いません**。 アプリケーション実行ファイルが起動されると、Keeperは各サブプロセスのリクエストを**ポリシーに基づいて個別に評価**します。これにより、以下のような制御が可能になります。 * MFA (多要素認証) の要求 * 実行理由の入力要求 * 拒否 * 承認リクエストの送信 サブプロセスが実行される際は、**一時的に作成されるエフェメラルアカウント**の下で動作し、処理後このアカウントは破棄されます。 #### macOSの場合 Keeperは、Appleが承認したシステム機能拡張として動作します。\ macOSのシステム拡張は、カーネル空間ではなくユーザー空間で動作するため、**セキュリティと安定性が向上**します。 #### Linuxの場合 KeeperはPluggable Authentication Module (PAM) を使用しており、プロセスの権限昇格を制御します。 ### Keeperエージェントはどのようにバックエンドサービスと通信しますか? デフォルトでは、Keeperエージェントは**ゼロ知識暗号化メッセージングプロトコル**を用いて、Keeperのバックエンドインフラストラクチャと通信します。 お客様の環境に**SPIFFEサーバー**がある場合は、SPIFFEに対応したプラグインを利用し、**署名付きペイロード**でお客様のSPIFFEエージェントと通信するよう登録できます。 ### Keeperにエンドポイントへのアクセスはありますか? いいえ、Keeperはゼロ知識プラットフォームです。Keeperエージェントが収集したすべての情報は、ユーザーのデバイス上で暗号化され、管理コンソールのKeeper管理者のみが復号化できます。 ### Keeperのサーバーは従業員が何のプログラムを実行しているか知り得ますか? いいえ、Keeperはゼロ知識プラットフォームです。Keeperエージェントが収集したすべての情報は、ユーザーのデバイス上で暗号化され、管理コンソールのKeeper管理者のみが復号化できます。 ### 承認が必要な際にはどのようにしてジャストインタイムアクセスが付与されますか? 承認が必要な場合、リクエストはKeeper管理者に送信され、管理コンソールまたはコマンダーCLIを通じて処理されます。 ### 承認が必要ない際にはどのようにしてジャストインタイムアクセスが付与されますか? デバイスに適用されたポリシーが特定のイベントに対して承認を必要としない場合、Keeperエージェントは追加の承認手続きなしで昇格を許可します。多要素認証が必要な場合、ユーザーは認証トークンの提示を求められます。 ### ユーザーがオフラインでインターネット接続がない場合にはどのようにして昇格を許可しますか? Keeperのエージェントは、オフライン時に暗号化されたポリシー情報をキャッシュします。ユーザーがオフラインの間も、ポリシーはユーザーに対して適用されます。ユーザーがオンラインに戻ると、イベントログはKeeperクラウドに送信されます。 ### KeeperPAM、エンドポイント特権マネージャーとMicrosoft LAPSの併用に関して KeeperPAMとエンドポイント特権マネージャーは、LAPSの導入を既に行っている組織とシームレスに連携できます。この補完的な構成では、LAPSはドメイン参加コンピュータのローカル管理者パスワードのローテーションを引き続き管理し、KeeperPAMはドメインアカウント、サービスアカウント、LAPSの範囲外の他の特権認証情報を管理します。この統合により、既存のLAPSを維持しながら、より多くのシステムとアカウントタイプに対して特権アクセス保護が拡張されます。 エンドポイント特権マネージャーは、エンドポイントで最小特権を適用することにより、このセキュリティエコシステムを強化します。LAPSは既存の管理者アカウントの認証情報を保護することに焦点を当てていますが、特権マネージャーは、特定のタスクのために一時的な特権昇格を可能にすることにより、これらのアカウントを使用する必要性を最小限に抑えます。つまり、LAPSはローカル管理者パスワードを保護し、KeeperPAMはそれらの認証情報とその他の特権アカウントへのアクセスを管理・制御し、特権マネージャーはユーザーが必要かつ承認された場合のみ昇格した特権が付与されるようにします。 ### どのようにしてLAPSを置き換えることができますか? Keeperを使用すると、Microsoft LAPSよりも包括的に特権アクセス管理にアプローチできます。LAPSはドメイン参加済みコンピューターのローカル管理者パスワードのみを管理しますが、Keeperでは以下の2つの補完的なコンポーネントを通じて完全なソリューションが実現します。 1. KeeperPAMはドメインおよびローカルアカウントの認証情報の管理とローテーションを実行。 2. エンドポイント特権マネージャーは最小特権ポリシーとジャストインタイム昇格を実施。 組織は、KeeperのソリューションでLAPSを完全に置き換えるか、移行期間中に両方を併用することができます。 ### KeeperPAMはエンドユーザーのマシンでどのように認証情報を管理しますか? KeeperPAMはKeeperゲートウェイを通じて、以下の認証情報のローテーションを行います。 * Active Directory内の任意のドメインユーザーアカウント * 個別のマシン上のローカル管理者アカウント (WindowsではWinRM、Linux/macOSではSSHによるアクセスが必要) これにより、KeeperPAMは、環境全体で集中管理されたドメイン認証情報と分散管理されたローカル管理者認証情報の両方を管理できます。 ### エンドポイント特権マネージャーは管理者アクセスのセキュリティをどのように確保しますか? エンドポイント特権マネージャーは認証情報管理ではなく、特権昇格に焦点を当てています。 * ユーザーをローカル管理者グループから削除 * 管理権限が必要な場合、ユーザーが昇格をリクエストする * デフォルトの管理者アカウントが昇格リクエストを承認または実行するポリシーを設定可能 * 管理者認証情報を晒すことなく、ジャストインタイムでアクセスを付与 ### Microsoft LAPSの有無に応じたKeeperソリューションの利用オプション オプション1: LAPSをKeeperPAMで置き換える * KeeperPAMはドメインおよびローカル管理者の認証情報を管理・ローテーション * LAPSよりも包括的な認証情報管理を実現 * ボルト、多要素認証、きめ細かなアクセス制御を通じてセキュリティを強化 オプション2: LAPSをKeeperソリューションで補完する * LAPSはローカル管理者パスワードの管理を継続 * KeeperPAMはドメイン管理者およびサービスアカウントの認証情報を管理 * エンドポイント特権マネージャーは最小特権ポリシーとジャストインタイム昇格を実施 オプション3: Keeperソリューション (最も安全) * KeeperPAMはすべての管理者認証情報 (ドメインおよびローカル) を管理 * エンドポイント特権マネージャーは最小特権ポリシーを実施 * ユーザーは管理者認証情報に直接アクセスする必要がない * 管理者認証情報は緊急時にのみ使用 ### 最大のセキュリティを確保するために推奨されるアプローチは? Keeperソリューション (オプション3) は、KeeperPAMによる認証情報管理とエンドポイント特権マネージャーによる特権管理の両方に対応する最も包括的なアプローチとなります。これにより、従来のLAPSは不要となり、優れたセキュリティ制御を達成し、詳細な監査証跡が取得できます。 ### Keeperはシェルエスケープやサブプロセスの起動を防止しますか? はい。アプリケーションが起動する際、Keeperは実行前に各サブプロセスのリクエストをポリシーに基づいて評価します。これにより、許可されていないシェルエスケープをブロックし、サブプロセスを経由した権限昇格を防止することができます。これにより、権限昇格の経路に対して厳格な制御が実現されます。 ### Keeperはsudoポリシーを一元管理できますか? はい。Keeperの「コマンドライン」ポリシーには、「sudo」の使用を保護する機能が含まれています。管理者は、`sudo`コマンドの実行に対して、理由の入力、MFA (多要素認証)、または承認が必要かどうかを指定できます。このポリシーは、ユーザー、グループ、マシンのコレクションに適用することができます。 ### 昇格リクエストが拒否されたのはなぜですか? 多くの場合、**明示的に許可するポリシーがない**ことが原因です。ユーザーがローカル管理者であり、「管理者に対するポリシーの適用」がオンになっている場合などでは、エージェントが**デフォルトで拒否**するように構成されていることがあります。該当するアプリ、コマンド、またはシナリオに一致する**特権昇格**ポリシーを追加し、制御を**許可** (または MFA、正当な理由の入力、承認など、運用に合わせた設定) にしてください。ポリシーのフィルター (ユーザー、マシン、アプリケーション) がリクエストに一致しているかどうかも確認してください。 ### 「今すぐ同期」(時刻同期) やローカルユーザーとグループを許可したい場合は? これらはいずれも昇格が伴う操作です。時刻の同期や MMC のローカルユーザーとグループなど、特定の実行ファイルまたはコマンドを**許可**する特権昇格ポリシーを作成してください。環境によっては、既知の安全なコマンド用の **AllowCommands** (またはこれに類する) リストを使用している場合があります。その場合は該当コマンドをリストに追加してください。その他の管理ツールを許可する場合も同様です。 ### 監視と適用の違いは何ですか? **監視**では、ポリシーは評価されログに残りますが、実行に対する制限はかかりません。**適用**では、許可、拒否、MFA、承認など、ポリシーで指定した制御が実行に反映されます。動作確認の段階では監視を、ブロックや追加手順の要求を本番で行う段階では適用を使用してください。 ### ポリシーは管理者にも適用されますか? **ローカル管理者**が、**どのポリシーにも一致しない**場合に特権昇格ポリシーの適用対象となるかどうかを構成できます。「管理者に対するポリシーの適用」が**オフ** (デフォルト) の場合、一致するポリシーがなくても管理者は昇格できます。**オン**の場合、許可するポリシーがないリクエストは拒否されます。この挙動は、ダッシュボードまたは構成ポリシーから変更できるプラグイン設定 (KeeperPolicy) で制御します。 ### 独自の承認システム (ServiceNow、Jira など) を利用できますか? Keeperでは、カスタム承認フローを利用できます。外部のチケット発行または承認システムと連携し、リクエストをそこに起票して結果をエージェントへ反映できます。具体的な構成は、Keeperの導入形態とコンソールで利用できる連携オプションによって異なります。アカウント担当者またはコンソール向けの連携ドキュメントをご参照ください。 ### エージェントはどのポートを使用しますか? デフォルトでは、エージェントはローカルマシン上で HTTP 6888、HTTPS 6889、MQTT 8675 を使用します。これらは構成で変更できます。エージェントは localhost にバインドするため、設定を変更しない限りネットワーク上には公開されません。 ### 「ポリシーが一致しなかった」や予期しない拒否を調べるには? 以下の点を確認してください。 * ポリシーが適用になっていること (オフではないこと) * フィルター (ユーザー、マシン、アプリケーション) がリクエストに一致していること。必要に応じて変数やワイルドカードを利用 * 優先度の高い別のポリシーによる拒否がないこと * 当該リクエストのログおよび監査イベントの確認 (どのポリシーが評価され、一致したか/しなかったかの理由) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/faqs.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.