ジャストインタイムアクセス (JIT)

ジャストインタイムアクセスとゼロスタンディング特権

ジャストインタイムアクセスは、必要なときに限りユーザーに昇格アクセスを付与します。

ゼロスタンディング特権は、ユーザーとシステムから常時有効な特権アクセスを取り除きます。

KeeperPAMでは、インフラおよびエンドポイント全体にわたり、承認、一時アクセス、一時的なID、特権昇格、自動クリーンアップを組み合わせて利用できます。

JITを導入する理由

常設特権はリスクを高めます。

特権アカウントが侵害されると、攻撃者はすぐにそのアカウントを利用できます。

JITでは、アクセスを以下の特性にすることで、このリスクを低減できます。

• 一時的: 自動失効するアクセス

• 承認済み: 定義されたワークフローに沿った要求

• 範囲限定: 必要最小限のアクセスのみ

• 監査可能: 要求、承認、起動、クリーンアップの各イベントを記録

KeeperPAMにおけるJITの仕組み

1. 対象ユーザー向けにPAMリソースを共有します。

2. 必要に応じて、ワークフローで承認、MFA、スケジュール、チェックアウトルールを設定します。

3. リソースに対する特権の付与方法を選択します。

4. 承認された時間枠内でセッションまたはアプリケーションを起動します。

5. 時間枠の終了時にアクセスを削除し、一時アカウントを削除するか、認証情報をローテーションします。

4つのJITアクセスモデル

KeeperPAMは4つの異なるJITモデルに対応しています。

アクセスの付与方法と特権の適用先に応じてモデルを選択します。

• Keeper Privileged Cloud: IDプロバイダ経由でユーザーの特権を昇格。AWS IAM、Azure Entra ID、GCP ID、Okta、Active Directory、またはその他のフェデレーションIDレイヤーでアクセスを管理する場合に使用。クラウドアカウント全体、およびIDプロバイダ経由で認証するPAMマシンまたはPAMデータベースレコードに対応。

• 直接一時アカウントと特権昇格: 特権セッション向けに対象リソース上で直接特権を変更。KeeperPAMがマシン、ディレクトリ、またはデータベース上に一時アカウントを作成する場合、またはアカウントをローカルグループ、ディレクトリグループ、データベースロールに一時的に追加する場合に使用。

• 自動認証情報ローテーション付き時間制限アクセス: 定義された時間枠の間、既存の認証情報への一時アクセスを付与。共有アカウントへの期限付きアクセスが必要で、アクセス終了時に認証情報を自動ローテーションする場合に使用。

• エンドポイントでの昇格アクセス: エンドポイント特権マネージャーとKeeperエージェントを使用して、エンドポイント上でローカルに操作を昇格。ユーザーが自身のデバイス上で特定のアプリケーション、プロセス、またはタスクに対して、承認済みの時間制限付き昇格を必要とする場合に使用。

このセクションのページ

以下のページをあわせてご参照ください。

各ページはJITモデルの異なる部分を取り扱います。

• ワークフロー: アクセス要求者、承認者、MFAの要否、許可されるアクセス時間、リソースの同時利用者数 (1人限定) の制御

• Keeper Privileged Cloud: クラウドプラットフォーム、フェデレーションアプリケーション、およびIDプロバイダ経由で認証するPAMマシンまたはPAMデータベースリソースへの一時昇格

• 直接一時アカウントと特権昇格: 対象リソース上への一時アカウント作成、またはマシン、ディレクトリ、データベース上でのグループ / ロールへの一時追加

• 自動認証情報ローテーション付き時間制限アクセス: 共有認証情報への期限付きアクセスと、アクセス終了時の自動ローテーション

• エンドポイントでの昇格アクセス: Keeper特権マネージャーによるユーザーデバイスおよびエンドポイントプロセスへのJIT昇格

適切なJITモデルの選択

アクセスパターンに合うモデルから始めてください。

• 承認、スケジュール、MFA、またはチェックアウトルールが必要ですか? ワークフローから始めてください。

• AWS IAM、Azure Entra ID、GCP ID、Okta、Active Directory、またはその他のフェデレーションIDプロバイダ経由の昇格が必要ですか? Keeper Privileged Cloudを使用してください。

• 対象マシン、ディレクトリ、またはデータベース上で、セッション専用アカウントまたは一時的なロールメンバーシップが必要ですか? 直接一時アカウントと特権昇格を使用してください。

• 既存の共有認証情報への一時アクセスが必要ですか? 自動認証情報ローテーション付き時間制限アクセスを使用してください。

• エンドポイントでのプロセスレベルの昇格が必要ですか? エンドポイントでの昇格アクセスを使用してください。

推奨ロールアウト

1. ワークフローから始めて、承認、アクセス時間枠、MFAを定義します。

2. 各リソースの特権モデルを選択します。

   • 昇格をIDプロバイダ経由で行う場合はKeeper Privileged Cloud を使用します。

   • 対象リソース上で直接特権を作成または変更する場合は直接一時アカウントと特権昇格 を使用します。

3. 共有認証情報が残っている箇所には自動認証情報ローテーション付き時間制限アクセスを追加します。

4. エンドポイントでの昇格アクセスで同じモデルをユーザーデバイスに拡張します。

関連機能

JITアクセスは、他のKeeperPAM機能と併用されることが多くなります。

• ボルトからリモートセッションを起動する接続

• スケジュールまたはオンデマンドの認証情報変更のパスワードローテーション

実装のベストプラクティス

1. 重要度の高いシステムから始めます。

2. 最初は承認ルールをシンプルに保ちます。

3. 可能な限り一時的なIDを使用します。

4. アクセス時間枠の終了後、共有認証情報をローテーションします。

5. 監査イベントを確認し、時間の経過とともにポリシーを調整します。