> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/overview.md).

# 概要

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2Fml8iK5RrnBwZQltfz0KC%2FPEDM%20Overview.jpg?alt=media&#x26;token=fbd44161-930b-48b9-be1e-c5e30fde2865" alt=""><figcaption></figcaption></figure>

## 概要 <a href="#overview-1" id="overview-1"></a>

Keeperエンドポイント特権マネージャー (KEPM) は、**特権昇格および委任管理 (PEDM) ソリューション**です。Windows、macOS、Linuxにわたり、特権昇格、ファイルアクセス、アプリケーション実行、コマンドライン操作、エージェンティックAIの活動、外向きネットワークアクセスを制御します。

KEPMを導入すると、ユーザーは恒常的な管理者権限なしで作業でき、セキュリティチームはポリシー制御、監査の可視性、一貫した適用を維持できます。

<figure><img src="/files/1fPKwFh2HHvZElR1s8AY" alt=""><figcaption></figcaption></figure>

### KEPMの機能 <a href="#what-kepm-does" id="what-kepm-does"></a>

KEPMでは以下が可能です。

* 昇格、ファイルアクセス、コマンド、AIエージェント、DNSアクセスの制御
* 恒常的なローカル管理者権限の撤廃
* 機密操作の前にMFA、承認、正当な理由の入力を必須化
* Windows、macOS、Linuxにわたるポリシーの一貫適用
* すべての判断とワークフロー結果の監査

<figure><img src="/files/2gauAKICkZrAGQG2yduw" alt=""><figcaption><p>エンドポイントの検出とガバナンス</p></figcaption></figure>

ポリシーは**Keeper管理コンソール**で定義され、エンドポイントエージェントがローカルで適用します。昇格の試み、ファイルアクセス、コマンド、AIエージェントの操作、ポリシー一致、承認はすべて監査可能です。

<figure><img src="/files/xDiUHWsfoSAJL2Wm7tvN" alt=""><figcaption></figcaption></figure>

KEPMは、一元化された承認、詳細な監査証跡、きめ細かなポリシー制御、AIエージェントのガバナンス、組み込みのレジリエンスによってガバナンスを強化します。

### 主な機能 <a href="#core-capabilities" id="core-capabilities"></a>

* Windows、macOS、Linuxにわたる**エージェントベースの展開**
* ユーザーとワークロード向けの**最小特権の適用**
* プロセスまたはマシンレベルでの**ジャストインタイム昇格**
* MFAと正当な理由の入力を備えた**承認ワークフロー**
* **エージェンティックAIの検出とガバナンス**
* **DNSベースのゼロトラスト制御**
* **詳細な監査とレポート**
* ITSMおよびセキュリティワークフローとの**連携**

### ガバナンスと監査 <a href="#governance-and-audit" id="governance-and-audit"></a>

セキュリティチームは、KEPMを通じて分かりやすく実用的な可視性を確保できます。

* 昇格、ファイルアクセス、コマンド、AI活動、ポリシー評価に関する監査イベント
* どのポリシーが一致したか、その理由の可視化
* 正当な理由の入力、MFA、承認の追跡
* SIEMおよびセキュリティ監視ツール向けのイベントストリーム

同一のポリシーモデルは、MFAチャレンジ、承認ルーティング、正当な理由の取得、リダイレクト、カスタムフィルター、ジョブなどのワークフローにも対応します。

### ゼロスタンディング特権 <a href="#zero-standing-privilege" id="zero-standing-privilege"></a>

KEPMを使うと、組織はゼロスタンディング特権へ移行できます。

* ユーザーは既定ではローカル管理者ではない
* 必要な場合にのみ昇格をリクエストする
* ポリシーが許可、拒否、MFA必須、正当な理由の必須、承認の要否を判断する

**最小特権**ポリシーは、管理対象デバイスからローカル管理者権限を外します。**Windows**ではローカル管理者グループから、**macOS**および**Linux**では `sudo` から外します。

特権操作は、Keeperが管理する**一時アカウント**から実行されます。

{% hint style="info" %}
ロールアウトのガイダンスは、[ポリシー: 段階的ロールアウトの計画](/keeperpam/jp/endpoint-privilege-manager/policies/policy-phased-rollout-planning.md)をご参照ください。
{% endhint %}

### ポリシーの適用範囲 <a href="#policy-coverage" id="policy-coverage"></a>

KEPMでは、アプリケーションを意識したきめ細かな適用が可能です。

#### 特権昇格 <a href="#privilege-elevation" id="privilege-elevation"></a>

* アプリケーション、コマンドライン、ユーザー、グループ、またはマシンへの**対象指定**
* ポリシーごとに許可、拒否、MFA、正当な理由、承認のいずれかを適用
* アカウント全体ではなく**プロセスだけを昇格**
* 設定可能な**期間**による時間制限付き昇格の付与

#### ファイルおよびデータアクセス <a href="#file-and-data-access" id="file-and-data-access"></a>

* ファイルまたはフォルダへのアクセスを許可、拒否、条件付きで許可
* 機密アクセスに正当な理由または承認を必須化
* 個別ファイルを機密としてマークし、アクセス時に承認を要求
* 設定可能な**期間**による時間制限付きアクセスの付与

#### コマンドライン制御 <a href="#command-line-control" id="command-line-control"></a>

* コマンドまたはパターンのルールを定義
* CLIから起動される操作にポリシーを適用
* macOSおよびLinuxでは `keepersudo` 経由で `sudo` 利用を統制

#### エージェンティックAIガバナンス <a href="#agentic-ai-governance" id="agentic-ai-governance"></a>

* 既知のAIエージェント (GitHub Copilot、Cursor、Claude Code など) を**検出**し、AIエージェントらしく振る舞う未知のプロセスも識別
* エージェントの活動を**監視**し、エージェントの操作にリスクスコアを付与
* エージェントに許可する操作を**統制**し、機密ファイル、特権コマンド、ネットワーク宛先へのアクセスを制限
* エージェントが機密操作を行う前に**ヒューマンインザループ承認** (エンドユーザーまたは管理者) を要求
* エージェントの**リスクスコアが定義したしきい値を超えた**ときに応答アクションを実行

#### ネットワークアクセス <a href="#network-access" id="network-access"></a>

* 外向き**DNS解決**を許可/拒否ホスト名パターンと照合
* クエリを許可、拒否、または正当な理由/MFA/承認待ちで保留
* ユーザー、マシン、アプリケーション、AIエージェントごとに適用範囲を設定
* 時間制限付き**DNSアクセス付与**を発行し、承認済みの反復クエリを再評価なしで通過

**変数**、**ワイルドカード**、**コレクション**を使えば、長大なルール一覧を維持せずにポリシーの対象指定を拡張できます。

{% hint style="info" %}
ZTNA DNS制御はWindowsエンドポイントで利用できます。
{% endhint %}

#### インベントリとリスクの可視化 <a href="#inventory-and-risk-visibility" id="inventory-and-risk-visibility"></a>

管理コンソールは、検出とポリシー作成を支援するエンドポイントインベントリも表示します。

* 既知および可能性のあるAIエージェント向け**エージェンティックAIインベントリ**
* 有効性ステータスとCVEリスクを備えた**証明書インベントリ**
* ソフトウェアバージョンとCVEベースのリスクスコアを備えた**製品インベントリ**

<figure><img src="/files/JNNczIDjef40STnLJCIt" alt="" width="563"><figcaption></figcaption></figure>

### 管理者体験 <a href="#admin-experience" id="admin-experience"></a>

#### ダッシュボード <a href="#dashboard" id="dashboard"></a>

**Keeper管理コンソール**はEPMの一元管理コンソールです。既定のダッシュボードには、監視モードのイベントを含む最新のイベントが表示されます。

<figure><img src="/files/1fPKwFh2HHvZElR1s8AY" alt=""><figcaption><p>EPMダッシュボード</p></figcaption></figure>

ダッシュボードから、管理者は以下の操作が可能です。

* EPMの有効化とライセンス管理
* デバイス全体の**ポリシー**の作成と管理
* アプリケーション、マシン、ユーザー、DNS名、コマンドライン引数、AIエージェント向け**コレクション**の定義
* **承認者**と承認ワークフローの構成
* **デプロイメントグループ**の管理
* **展開**とエンドポイント状態の監視
* **AIエージェントリスク**とエンドポイントインベントリの確認
* **リクエスト**と承認履歴のレビュー
* 詳細な**監査履歴**とレポートデータへのアクセス

管理者はダッシュボードで一度設定すれば、エージェントによってポリシーがすべての場所で適用されます。

#### デプロイメントグループとターゲティング <a href="#deployment-groups-and-targeting" id="deployment-groups-and-targeting"></a>

デプロイメントグループにより、段階的なロールアウトときめ細かなターゲティングが可能です。

<figure><img src="/files/WEZMBeHVLkOxRWNjcMRf" alt=""><figcaption><p>デプロイメントグループとターゲティング</p></figcaption></figure>

以下のことができます。

* フェーズに沿った展開 (テスト → パイロット → 部門 → エンタープライズ)
* 以下の軸でのポリシースコープ
  * ユーザーまたはグループ
  * マシン
  * アプリケーション
  * AIエージェント
  * DNS名
  * プラットフォーム
* 以下のポリシーモードの調整
  * オフ
  * 監視
  * 監視&通知
  * 適用

これにより安全なロールアウトとガバナンスの精度が確保されます。エージェンティックAIポリシーは既定で**監視**モードとなり、適用前にエージェントの振る舞いを観察できます。

<figure><img src="/files/XfIZMvaJycOJcXqhYFWm" alt=""><figcaption><p>ポリシー</p></figcaption></figure>

#### KeeperPAMにおけるKEPM <a href="#kepm-within-keeperpam" id="kepm-within-keeperpam"></a>

Keeperエンドポイント特権マネージャーは、より広い**KeeperPAM**プラットフォームの一部です。KeeperPAMは以下を組み合わせます。

* **パスワード管理:** 認証情報の安全な保管とローテーション
* **シークレット管理:** アプリケーションのシークレットとAPIキーの管理
* **ゼロトラストネットワークアクセス:** 安全で検証済みのリモート接続
* **接続管理:** リモートシステムへの効率的なアクセス
* **セキュアトンネリング:** 機密リソースへの保護された経路

KEPMは、ローカル特権、アプリケーション実行、エージェンティックAIの活動、外向きDNS解決を制御することで、ゼロトラストの原則をエンドポイントに直接適用します。

KeeperPAMがインフラ、セッション、認証情報へのアクセスを保護する一方で、KEPMはアクセス付与後にユーザーとAIエージェントがエンドポイント上で何をできるかを統制します。

### エンドユーザー体験 <a href="#end-user-experience" id="end-user-experience"></a>

KEPMは、セキュリティを維持しながら生産性を高めるよう設計されています。

Keeperエージェントを実行しているユーザーは、適用ポリシー、承認、昇格リクエストを確認できます。UIはWindows、macOS、Linuxで利用できます。

* 必要な場合にのみ昇格を**リクエスト**
* 正当な理由やMFAが必要な旨を**明確なダイアログ**で提示
* **承認済みの操作**はスムーズに続行
* ポリシーでヒューマンインザループレビューが必要な場合、**AIエージェントの操作を承認または拒否**するよう求められることがある
* リダイレクトは単純な拒否ではなく**安全な代替手段**を提示
* **昇格は一時的でポリシー管理下**に置かれる

体験は対応プラットフォーム間で一貫しています。

#### Windows <a href="#windows" id="windows"></a>

Windowsユーザーが昇格を要するアプリケーションを実行しようとした場合は、以下のとおりです。

* EPMダイアログに正当な理由やMFAの要件が表示される
* 必要に応じて承認ワークフローが起動する
* 昇格は時間制限付きでポリシー管理下に置かれる

<figure><img src="/files/a365dgrrGRARdjA2taT0" alt="Windows OS Elevation"><figcaption><p>Windows OSでの昇格</p></figcaption></figure>

#### macOS <a href="#macos" id="macos"></a>

macOSでは、昇格とファイルアクセス制御が同一のポリシーモデルで動作します。

* 正当な理由やMFAについてはネイティブに近いダイアログが表示される
* ポリシーはGUIアプリとコマンドラインツールの双方を統制する

<figure><img src="/files/qsnqBAWffwy979Eyn5sg" alt="macOS Elevation"><figcaption><p>macOSでの昇格</p></figcaption></figure>

#### Linuxとコマンドライン <a href="#linux-and-command-line" id="linux-and-command-line"></a>

Linuxでは、EPMが管理された昇格フローを通じてポリシーを適用します。

* CLIの操作は `keepersudo` によって統制される
* 特権実行の前にポリシーが評価される

<figure><img src="/files/ht8ZDderUcvIxi8pTcEi" alt="Linux Device Running GNOME"><figcaption><p>GNOMEを実行しているLinuxデバイス</p></figcaption></figure>

macOSおよびLinuxでは、Keeperは**コマンドライン**ポリシータイプを通じて `sudo` を保護します。ユーザーは `keepersudo` 経由で昇格します。

<figure><img src="/files/5xahhkRiMjRTOHreqso6" alt="Linux Desktop Running GNOME"><figcaption><p>GNOMEを実行しているLinuxデスクトップ</p></figcaption></figure>

以下の例では、ユーザーが `root` への昇格をリクエストし、管理者が承認します。

<figure><img src="/files/LgsAdolbXGf0DfDLYp2L" alt="Linux SSH session with elevation request"><figcaption><p>昇格リクエスト中のLinux SSHセッション</p></figcaption></figure>

#### 昇格の承認 <a href="#elevation-approvals" id="elevation-approvals"></a>

管理者は**Keeper管理コンソール**、コマンダーCLI、または連携アプリケーションでリクエストを承認できます。

<figure><img src="/files/m9PcUJyG5y7so3XL7C3v" alt="Approval of a Command Line Elevation Request"><figcaption><p>コマンドライン昇格リクエストの承認</p></figcaption></figure>

<figure><img src="/files/SybcZX9RGpTNBz3vDJgI" alt=""><figcaption></figcaption></figure>

#### 運用の柔軟性 <a href="#operational-flexibility" id="operational-flexibility"></a>

KEPMは、段階的ロールアウト、動的構成、プラグインとジョブ管理、バージョン固定付きエージェント更新、変数とワイルドカードによる拡張可能なターゲティング、エアギャップ環境向けオフライン登録などの運用機能を備えています。

#### 連携 <a href="#integrations" id="integrations"></a>

Keeperエンドポイント特権マネージャーは、承認の自動化、レポート、アラート向けに主要なエンタープライズツールと連携します。

* [ServiceNow](/keeperpam/jp/secrets-manager/integrations/servicenow-workflow.md): ワークフローによる承認要求とITSMチケット生成
* [Jira](/keeperpam/jp/secrets-manager/integrations/jira-workflow.md): ワークフローによる承認要求とITSMチケット生成
* [Slack App](/keeperpam/jp/secrets-manager/integrations/slack-app.md): Slackアプリから昇格リクエストを承認または拒否
* [Teams](/keeperpam/jp/secrets-manager/integrations/teams-app.md): Teamsアプリから昇格リクエストを承認または拒否

#### 自動化 <a href="#automation" id="automation"></a>

KeeperコマンダーCLIは、エンドポイント特権マネージャーのワークフロー、承認、展開、検出、レポート、ポリシー管理のあらゆる操作を完全に自動化できます。

* [KeeperコマンダーCLI - EPMコマンド](/keeperpam/jp/commander-cli/command-reference/endpoint-privilege-manager-commands.md)


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/overview.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.