KeeperAI
KeeperPAMの特権セッション向けのAIによる脅威検出
概要
KeeperAIは、エージェント型AIによる脅威検知システムで、KeeperPAMの特権セッションを自動的に監視・分析し、不審または悪意のある行動を特定します。このシステムはソブリンAIフレームワークを基盤として構築されており、すべての分析をゲートウェイレベルで実行し、入力される各コマンドをその都度解析して、後から確認できる暗号化されたセッション要約を作成します。これにより、セキュリティチームはアクティブな特権セッション中に潜在的な脅威を迅速に検知できます。
動画の概要 (英語)
KeeperAI製品ページはこちら
主な機能
自動セッション分析: セッションメタデータ、キーストロークログ、コマンド実行ログを分析し、異常な挙動を検出
セッションの検索: 特権セッション全体を対象に、特定のキーワードや操作を検索
脅威分類: 検出した脅威を自動的にカテゴリ分けし、リスクレベルを割り当て
柔軟なデプロイ: サードパーティ製、クラウドベース、オンプレミスでのLLM推論に対応
構成のカスタマイズ: 環境に合わせてリスクパラメータや検出ルールを調整可能
対応プロトコル
RDP
SSH
データベース
MySQL
PostgresSQL
SQL Servier
MariaDB
Oracle
RBI
Kubernetes
Telnet
VNC
セットアップ手順
Keeperゲートウェイの最新バージョン (1.7.0以降) をインストールします。
LLM推論サービス (クラウドまたはセルフホスト) へのアクセスを確保します。
KeeperゲートウェイのデプロイでLLMプロバイダを有効化します。
KeeperAIを利用できるようPAM構成を設定します。
対象リソースでKeeperAIを有効化します。
以下の手順に従って、使用するLLMプロバイダに合わせてKeeperゲートウェイをセットアップします。
PAM構成の設定
[Keeperシークレットマネージャー] タブの [PAM構成] に移動します。
対象のリソースを選択し、KeeperAI機能セクションまでスクロールします。
設定を切り替えて有効化します。
リソースでの脅威検知の有効化
選択したリソースの [PAM設定の編集] を行います。
[接続] タブに移動します。
セッション録画のすべてのオプションを有効化します。
[KeeperAI] タブに移動し、[KeeperAIを有効にする] トグルをオンにします。
デフォルトでは、KeeperAIがコマンドを適切なリスクレベルカテゴリに自動分類します。
より強い制御が必要な場合は、リスクレベルごとに [セッションを終了] を有効化できます。有効化すると、そのレベルに分類されたコマンドが実行された時点でセッションが直ちに終了します。
KeeperAIの例外とカスタムルール
[例外] ポップアップで、特定のキーワードやパターンの分類方法をカスタマイズします。用意されたドロップダウンの例から追加するか、独自のプレーンテキストまたは正規表現文字列を入力します。
セッション要約の確認
KeeperAIは、記録された各セッションに対してAI生成の要約を作成し、セキュリティチームがユーザー操作を迅速に把握できるようにします。要約を表示するには、監視対象リソースのオプションメニューを開き、[セッションアクティビティ] を選択します。
分析を開く: セッション行をクリックすると [セッション分析] ポップアップが開き、実行された各コマンドの詳細な要約が表示されます。
再生: [再生] ボタンをクリックすると、セッション記録全体をリアルタイムで再生できます。
ダウンロード: [ダウンロード] ボタンでセッション記録ファイルをローカルに保存し、オフラインで確認できます。
セッション記録ファイルをローカルにダウンロードする場合、これらのファイルは暗号化されておらず、機密情報を含んでいる可能性があります。組織のデータ保護ポリシーに従い、安全に保管・取り扱ってください。
注意事項
デフォルトでは、AIがコマンドを適切なリスクレベルカテゴリに分類するよう最善を尽くします。
分類結果に基づきセッションを終了させたいリスクレベルでは、[セッションを終了] を有効化します。
特定のパターンマッチング用キーワードがある場合は、[例外] ポップアップでリスクレベルの分類と検知時のポリシーをカスタマイズできます。
リスク分類
KeeperAIは脅威検知のため、コマンドを以下のリスクレベルに分類します。
重大: 直ちに対応が必要な深刻なセキュリティ上の脅威
高: 速やかに対処すべき重大なセキュリティ上の懸念
中: 監視が必要な潜在的なセキュリティ上の問題
低: 監視を要しない通常または無害な動作
LLM連携
概要
KeeperAIは、大規模言語モデル (LLM) によって脅威検出を行います。Keeperゲートウェイが任意のLLMと連携し、セッションデータを分析してセキュリティ上の示唆を得ます。この仕組みにより、不審なパターンの検出や詳細なセッション要約が可能になります。
免責事項: AIによる予測は本質的に確率的なものであり、常に正確であるとは限りません。LLMプロバイダおよびモデルの選択はユーザーの裁量によるものであり、KeeperAIは、AIがタスクを完全に理解し正しく解釈することを保証するものではありません。意思決定には、AIの出力の検証を組み込んでください。
LLMプロバイダのセットアップ手順
KeeperAIは複数のLLMプロバイダと連携できるよう設計されており、オンプレミスとクラウドの両方のLLMに対応しています。LLMプロバイダについてご不明点がある場合はpam@keepersecurity.comまでメールでお問い合わせください。
Dockerインストール方法
OpenAI-Compatible API
OpenAIの /chat/completions エンドポイント向けのリクエストおよびレスポンス形式に対応したAPIプロバイダに対応します。
構成
ゲートウェイに、LLMサービスへアクセスするための適切な権限が付与されていることを確認します。
Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を設定します。
KEEPER_GATEWAY_AI_BASE_URL には、有効なプロトコル接頭辞 (http:// または https://) を含める必要があります。欠けている場合、Keeperゲートウェイは起動時に構成エラーを返します。
例
✅ https://your-llm-provider.com/v1
❌ your-llm-provider.com/v1
利用できるプロバイダの例 (一部抜粋)
AWS Bedrock
AWSのツールを使えば、インフラの運用なしに基盤モデルの利用を始められ、自社データでのカスタマイズやアプリへの安全な組み込みも行えます。
構成
ゲートウェイに割り当てられたIAMロールに、
AmazonBedrockFullAccessポリシーが付与されていることを確認します。AWSコンソールから、Amazon Bedrockの基盤モデルへのアクセスをリクエストします。
サポートされているモデル一覧から使用するモデルを選び、対応するモデルIDを控えておいてください。
Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。
Google: Vertex
Vertexの利用が許可された ProjectID を持つアカウントが必要です。Google Cloudアカウントの管理時にVertexを有効にし、gcloud auth で認証するときはプロジェクトIDを指定してください。
Google Cloudのアプリケーションデフォルト認証情報を使用していれば、特別な設定をしなくてもそのまま認証が機能します。
options.credentialsを設定すると、その指定が優先され、vertex-aiは指定されたファイルパスからサービスアカウント認証情報を読み込むようになります。
構成
Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。
ネイティブインストール方法
Windowsインストール手順
WindowsでKeeperゲートウェイサービスの環境変数を設定する手順です。
PowerShellを管理者として開き、マシンスコープで変数を設定します。
新しい環境を読み込むため、ゲートウェイサービスを再起動します。
Linuxインストール手順
LinuxでKeeperゲートウェイサービスの環境変数を設定する手順です。
systemd サービスファイルを編集します。
上記でサポートしているLLMプロバイダに合わせて、Environment= 行に必要な環境変数を追加します。
デーモンをリロードし、ゲートウェイサービスを再起動します。
セッション要約の確認
セッション録画へのアクセス
分析された各セッションにはAI生成の要約が付与されます。
ボルトUIの [セッション録画] に移動します。
レコードを右クリックするか、オプションアイコン
⋮をクリックして [セッションアクティビティ] を選択します。
KeeperAIの分析が付いたセッションの行をクリックすると [セッション分析] ポップアップが開き、セッション中に実行された各コマンドの詳細な要約を確認できます。
[再生] ボタンでセッション録画をリアルタイム再生できます。
[ダウンロード] ボタンでセッション録画ファイルをローカルに保存できます。
セッション録画ファイルをローカルにダウンロードする場合、これらのファイルは暗号化されておらず、機密情報を含んでいる可能性があります。組織のデータ保護ポリシーに従い、安全に保管・取り扱ってください。
ARAMイベントとの統合
KeeperAIは、検出された脅威とリソース構成に対してARAMイベントを自動生成し、既存のセキュリティワークフローと統合できます。
トラブルシューティング
よくある問題
検知漏れ: リスクレベル設定で感度しきい値を調整するか、[例外] ポップアップでカスタムキーワードパターンを追加します。
誤検知: パターンマッチングルールを絞り込むか、カスタム例外で特定コマンドのリスクしきい値を下げます。
パフォーマンスの問題: オンプレミスLLMのリソース割り当てと、LLMプロバイダへのネットワーク接続を確認します。
セッション分析が表示されない: Keeperゲートウェイの構成と各リソースの両方でKeeperAIが有効か確認します。
セッション録画ファイルをダウンロードし、
summary.jsonの有無を確認します。summary.jsonがない場合、そのセッションではKeeperAIが無効でした。summary.jsonが破損または不完全な場合、最終処理でエラーが起きた可能性があります。サポートへお問い合わせください。
KeeperAIを有効にする前に記録されたセッションには分析データがありません。
LLM接続エラー: ゲートウェイ設定のLLMプロバイダ認証情報とエンドポイント構成を確認します。
サポート情報
KeeperAIの追加サポートが必要な場合はpam@keepersecurity.comまでメールでお問い合わせください。
よくある質問
Q: KeeperAIで自分のLLMモデルを使用できますか?
A: はい。OpenAIの /chat/completions APIエンドポイントに準拠するプロバイダであれば利用できます。
Q: KeeperAIはリアルタイムで動作しますか? A: はい。ユーザーが入力するたびに特権セッションをリアルタイムで分析し、完了したセッション録画と分析結果を暗号化ファイルに保存して、あとから確認できます。
Q: KeeperAIは機密情報をどのように扱いますか? A: セッション録画および分析データを暗号化ファイルとして保存します。今後のリリースでは、機微な個人情報 (PII) の検出機能が強化され、PIIをLLMに送信する前に削除するオプションや、LLMの応答からPIIを除去する機能が追加される予定です。
Q: ゲートウェイ、LLMプロバイダ、Keeperのシステム間でデータはどのように流れますか? A: KeeperAIでは、データのプライバシーとセキュリティを確保するために、安全な多段階の通信フローを採用しています。
ゲートウェイとLLMプロバイダの間 (LLM連携): Keeperゲートウェイが構成済みのLLMプロバイダと暗号化HTTPSで直接通信し、セッションコマンドをリアルタイムに分析します。
ゲートウェイからKeeperへ: LLMの分析を受け取ったあと、ゲートウェイはセッションデータと分析結果をすべて固有のレコードキーで暗号化し、セッション録画の保存へ送信します。
Q: KeeperAIはインターネットに接続されていない環境 (エアギャップ環境) でも使用できますか? A: はい。オンプレミスのLLMを使用すれば、インターネットや外部サービスに接続せず、ローカルサービスとのみ連携させることが可能です。
Q: セッション分析1回あたりの想定コストはどれくらいですか? A: コスト計算の参考として、各コマンドに使用されるリスク分析プロンプトは約550トークン、すべてのコマンドを要約する最終プロンプトは約400トークンです (ユーザー入力のコンテキストを除く)。入力コマンドの長さや内容によって追加トークンが発生する可能性があります。
Q: サードパーティのLLMプロバイダに送信されるデータと、その保護方法は? A: コマンドテキストは暗号化HTTPSで構成済みのLLMプロバイダへ送られます。LLMの応答は暗号化されたうえでS3に保存されます。トラフィックはすべてゲートウェイからLLMプロバイダへ直接行われます。ゼロ知識とゼロトラストを維持するため、プライベートキーによる暗号化を経ずにKeeperへ送られるトラフィックはありません。
Q: コンプライアンス報告用に脅威検知データをエクスポートできますか? A: はい。セッション分析画面から分析データをJSON形式でエクスポートできます。
最終更新