> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/privileged-access-manager/just-in-time-access-jit.md).

# ジャストインタイムアクセス (JIT)

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2FB5kDk5IAVTfFolQv0SHB%2FJust-in-time%20access.jpg?alt=media&#x26;token=a90e3139-f25c-496d-b9de-8f8fa64bd644" alt=""><figcaption></figcaption></figure>

## ジャストインタイムアクセスとゼロスタンディング特権 <a href="#just-in-time-access-and-zero-standing-privilege" id="just-in-time-access-and-zero-standing-privilege"></a>

ジャストインタイムアクセスは、必要なときに限りユーザーに昇格アクセスを付与します。

ゼロスタンディング特権は、ユーザーとシステムから常時有効な特権アクセスを取り除きます。

KeeperPAMでは、インフラおよびエンドポイント全体にわたり、承認、一時アクセス、一時的なID、特権昇格、自動クリーンアップを組み合わせて利用できます。

### JITを導入する理由 <a href="#why-use-jit" id="why-use-jit"></a>

常設特権はリスクを高めます。

特権アカウントが侵害されると、攻撃者はすぐにそのアカウントを利用できます。

JITでは、アクセスを以下の特性にすることで、このリスクを低減できます。

* **一時的:** 自動失効するアクセス
* **承認済み:** 定義されたワークフローに沿った要求
* **範囲限定:** 必要最小限のアクセスのみ
* **監査可能:** 要求、承認、起動、クリーンアップの各イベントを記録

### KeeperPAMにおけるJITの仕組み <a href="#how-jit-works-in-keeperpam" id="how-jit-works-in-keeperpam"></a>

1. PAMマシン、PAMデータベース、PAMクラウドなどのリソースを対象ユーザーに共有します。
2. 必要に応じて、[ワークフロー](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/workflow.md)で承認、MFA、スケジュール、チェックアウトルールを設定します。
3. リソースに対する特権の付与方法を選択します (直接ロール昇格、IdPグループ変更など)。
4. 承認された時間枠内でセッションまたはアプリケーションを起動します。
5. 時間枠の終了時にアクセスを削除し、一時アカウントを削除するか、認証情報をローテーションします。

### 4つのJITアクセスモデル <a href="#four-jit-access-models" id="four-jit-access-models"></a>

KeeperPAMは4つの異なるJITモデルに対応しています。

アクセスの付与方法と特権の適用先に応じてモデルを選択します。

* **Keeper Privileged Cloud:** IDプロバイダ経由でユーザーの特権を昇格。AWS IAM、Azure Entra ID、GCP ID、Okta、Active Directory、またはその他のフェデレーションIDレイヤーでアクセスを管理する場合に使用。クラウドアカウント全体、およびIDプロバイダ経由で認証するPAMマシンまたはPAMデータベースレコードに対応。
* **直接一時アカウントと特権昇格:** 特権セッション向けに対象リソース上で直接特権を変更。KeeperPAMがマシン、ディレクトリ、またはデータベース上に一時アカウントを作成する場合、またはアカウントをローカルグループ、ディレクトリグループ、データベースロールに一時的に追加する場合に使用。
* **自動認証情報ローテーション付き時間制限アクセス:** 定義された時間枠の間、既存の認証情報への一時アクセスを付与。共有アカウントへの期限付きアクセスが必要で、アクセス終了時に認証情報を自動ローテーションする場合に使用。
* **エンドポイントでの昇格アクセス:** エンドポイント特権マネージャーとKeeperエージェントを使用して、エンドポイント上でローカルに操作を昇格。ユーザーが自身のデバイス上で特定のアプリケーション、プロセス、またはタスクに対して、承認済みの時間制限付き昇格を必要とする場合に使用。

### このセクションのページ <a href="#pages-in-this-section" id="pages-in-this-section"></a>

以下のページをあわせてご参照ください。

各ページはJITモデルの異なる部分を取り扱います。

* [ワークフロー](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/workflow.md): アクセス要求者、承認者、MFAの要否、許可されるアクセス時間、リソースの同時利用者数 (1人限定) の制御
* [Keeper Privileged Cloud](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/keeper-privileged-cloud.md): クラウドプラットフォーム、フェデレーションアプリケーション、およびIDプロバイダ経由で認証するPAMマシンまたはPAMデータベースリソースへの一時昇格
* [直接一時アカウントと特権昇格](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/ephemeral-accounts-and-privilege-elevation.md): 対象リソース上への一時アカウント作成、またはマシン、ディレクトリ、データベース上でのグループ / ロールへの一時追加
* [自動認証情報ローテーション付き時間制限アクセス](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/time-limited-access-with-automated-credential-rotation.md): 共有認証情報への期限付きアクセスと、アクセス終了時の自動ローテーション
* [エンドポイントでの昇格アクセス](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/elevated-access-on-endpoints.md): Keeper特権マネージャーによるユーザーデバイスおよびエンドポイントプロセスへのJIT昇格

### 適切なJITモデルの選択 <a href="#choose-the-right-jit-model" id="choose-the-right-jit-model"></a>

アクセスパターンに合うモデルから始めてください。

* 承認、スケジュール、MFA、またはチェックアウトルールが必要ですか? [ワークフロー](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/workflow.md)から始めてください。
* AWS IAM、Azure Entra ID、GCP ID、Okta、Active Directory、またはその他のフェデレーションIDプロバイダ経由の昇格が必要ですか? [Keeper Privileged Cloud](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/keeper-privileged-cloud.md)を使用してください。
* 対象マシン、ディレクトリ、またはデータベース上で、セッション専用アカウントまたは一時的なロールメンバーシップが必要ですか? [直接一時アカウントと特権昇格](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/ephemeral-accounts-and-privilege-elevation.md)を使用してください。
* 既存の共有認証情報への一時アクセスが必要ですか? [自動認証情報ローテーション付き時間制限アクセス](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/time-limited-access-with-automated-credential-rotation.md)を使用してください。
* エンドポイントでのプロセスレベルの昇格が必要ですか? [エンドポイントでの昇格アクセス](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/elevated-access-on-endpoints.md)を使用してください。

### 推奨ロールアウト <a href="#recommended-rollout" id="recommended-rollout"></a>

1. [ワークフロー](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/workflow.md)から始めて、承認、アクセス時間枠、MFAを定義します。
2. 各リソースの特権モデルを選択します。
   * 昇格をIDプロバイダ経由で行う場合は[Keeper Privileged Cloud](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/keeper-privileged-cloud.md) を使用します。
   * 対象リソース上で直接特権を作成または変更する場合は[直接一時アカウントと特権昇格](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/ephemeral-accounts-and-privilege-elevation.md) を使用します。
3. 共有認証情報が残っている箇所には[自動認証情報ローテーション付き時間制限アクセス](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/time-limited-access-with-automated-credential-rotation.md)を追加します。
4. [エンドポイントでの昇格アクセス](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/elevated-access-on-endpoints.md)で同じモデルをユーザーデバイスに拡張します。

### 関連機能 <a href="#related-capabilities" id="related-capabilities"></a>

JITアクセスは、他のKeeperPAM機能と併用されることが多くなります。

* ボルトからリモートセッションを起動する[接続](/keeperpam/jp/privileged-access-manager/connections.md)
* リモートブラウザ分離 (RBI) による任意のクラウドリソースへのウェブセッション起動
* [トンネル](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/tunnels/README.md)
* スケジュールまたはオンデマンドの認証情報変更の[パスワードローテーション](/keeperpam/jp/privileged-access-manager/password-rotation.md)

### シークレットチェックアウトとワークフロー承認のJIT連携 <a href="#jit-integrations-for-secrets-checkout-and-workflow-approvals" id="jit-integrations-for-secrets-checkout-and-workflow-approvals"></a>

Keeperでは、コミュニケーションツールやITSMプラットフォームとの直接連携により、JITアクセス連携が利用できます。

シークレットのチェックアウト、レコードやフォルダへのアクセス、ワンタイム共有、承認が必要なアクセスなどは、普段使っているツールからリクエストできます。

* [JIT連携](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/jit-integrations.md): シークレットと認証情報向けのワークフロー駆動型JIT連携の概要
* [ServiceNow Workflow](/keeperpam/jp/secrets-manager/integrations/jira-workflow.md): サービスワークフローおよびカタログベースのプロセスによるアクセスのリクエストと承認
* [Jira Workflow](/keeperpam/jp/secrets-manager/integrations/servicenow-workflow.md): Jiraイシューからのリクエストベースのアクセスと承認ワークフローの管理
* [Slack App](/keeperpam/jp/secrets-manager/integrations/slack-app.md): Slackからのシークレットチェックアウトと承認ワークフロー
* [Teams App](/keeperpam/jp/secrets-manager/integrations/teams-app.md): Microsoft Teamsからのシークレットチェックアウトと承認ワークフロー

### 実装のベストプラクティス <a href="#implementation-best-practices" id="implementation-best-practices"></a>

1. 重要度の高いシステムから始めます。
2. 最初は承認ルールをシンプルに保ちます。
3. 可能な限り一時的なIDを使用します。
4. アクセス時間枠の終了後、共有認証情報をローテーションします。
5. 監査イベントを確認し、時間の経過とともにポリシーを調整します。


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/just-in-time-access-jit.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.