# 接続とトンネルのセキュリティ ## 概要 KeeperPAMは、クラウドおよびオンプレミス環境における特権セッションの確立、セキュアなトンネルの作成、インフラへの直接アクセスの提供、リモートデータベースアクセスのセキュリティ確保を実現します。 ## 接続とは? 接続とはウェブブラウザを使用して対象のデバイスに視覚的なリモートセッションを指します。ユーザーはウェブブラウザまたはKeeperデスクトップアプリを使用して対象のデバイスを操作します。 ## トンネルとは? トンネルは、ローカルボルトクライアントと対象のエンドポイント間で、Keeperゲートウェイを通じて確立されるTCP/IP接続です。ユーザーは、コマンドラインターミナル、GUIアプリケーション、データベース管理ツールなど、任意のネイティブアプリケーションを使用して対象のエンドポイントと通信できます。 ## 接続およびトンネルのセキュリティ 接続またはトンネルが確立される際には、以下が行われます。 1. ボルトクライアントアプリケーションは、Keeperルーターインフラストラクチャと通信し、WebRTC接続を開始します。この接続は、対応するKeeperレコード内に格納されたECDH対称鍵によって保護されています。 2. Keeperゲートウェイは、出力専用WebSocketを使用してKeeperルーターと通信します。詳細については、[ゲートウェイセキュリティのページ](/keeperpam/jp/privileged-access-manager/getting-started/architecture/gateway-security.md)をご参照ください。 3. Keeperゲートウェイは、KeeperシークレットマネージャーAPIを利用して、ボルトから必要なシークレット (ECDH対称鍵を含む) を取得します。 4. 接続の場合、ボルトクライアント (Apache Guacamoleプロトコルを使用) は、WebRTC接続を介してデータをKeeperゲートウェイに送信し、KeeperゲートウェイはGuacdを利用してKeeperレコードに指定された宛先に接続します。 5. トンネリング機能 (ポート転送など) の場合、Keeperデスクトップアプリがインストールされたローカルデバイスでローカルポートが開かれます。このローカルポートに送信されたデータはWebRTC接続を介してKeeperゲートウェイに転送され、その後Keeperレコードに指定されたターゲットエンドポイントに転送されます。 6. 接続のセッション録画は、AES-256暗号化キー (「録画キー」) で保護されており、このキーは各セッションごとにKeeperゲートウェイで生成されます。さらに、録画キーはHKDFに基づいて導出されたAES-256リソースキーで保護されます。 ## Apache Guacamoleの利用について KeeperPAMおよびKeeperコネクションマネージャーの各種ドキュメント内では、「Apache Guacamole」、「guacd」、「guacamole」といった用語が頻繁に登場します。Apache Guacamoleは、強力かつオープンソースのリモートデスクトップゲートウェイです。 Keeper Securityは2021年12月に、Apache Guacamoleの開発元であるGlyptodon社を買収しました。これにより、Guacamoleの開発者たちは現在、Keeperコネクションマネージャーチームの中心メンバーとして新たな機能開発を主導しています。Guacamoleの中核的サービスは、KeeperコネクションマネージャーおよびKeeperPAMの各コンテナに統合されています。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/getting-started/architecture/connection-and-tunnel-security.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.