# KeeperAI

## 概要 KeeperAIは、エージェント型AIによる脅威検知システムで、KeeperPAMの特権セッションを自動的に監視・分析し、不審または悪意のある行動を特定します。このシステムはソブリンAIフレームワークを基盤として構築されており、すべての分析をゲートウェイレベルで実行し、入力される各コマンドをその都度解析して、後から確認できる暗号化されたセッション要約を作成します。これにより、セキュリティチームはアクティブな特権セッション中に潜在的な脅威を迅速に検知できます。動画の概要 (英語) {% embed url="" %} KeeperAIによる特権セッションの脅威検知 {% endembed %} KeeperAI製品ページは[こちら](https://www.keepersecurity.com/ja_JP/features/keeper-ai/) ## 主な機能 * **自動セッション分析**: セッションメタデータ、キーストロークログ、コマンド実行ログを分析し、異常な挙動を検出 * **セッションの検索**: 特権セッション全体を対象に、特定のキーワードや操作を検索 * **脅威分類**: 検出した脅威を自動的にカテゴリ分けし、リスクレベルを割り当て * **柔軟なデプロイ**: サードパーティ製、クラウドベース、オンプレミスでのLLM推論に対応 * **構成のカスタマイズ**: 環境に合わせてリスクパラメータや検出ルールを調整可能 ## 対応プロトコル * RDP * SSH * データベース * MySQL * PostgresSQL * SQL Servier * MariaDB * Oracle * RBI * Kubernetes * Telnet * VNC ### **セットアップ手順** 1. Keeperゲートウェイの最新バージョン (1.7.0以降) をインストールします。 2. LLM推論サービス (クラウドまたはセルフホスト) へのアクセスを確保します。 3. KeeperゲートウェイのデプロイでLLMプロバイダを有効化します。 4. KeeperAIを利用できるようPAM構成を設定します。 5. 対象リソースでKeeperAIを有効化します。 [以下の手順](#llm-provider-setup-instructions)に従って、使用するLLMプロバイダに合わせてKeeperゲートウェイをセットアップします。 *** ### PAM構成の設定 1. **\[Keeperシークレットマネージャー]** タブの **\[PAM構成]** に移動します。 2. 対象のリソースを選択し、KeeperAI機能セクションまでスクロールします。 3. 設定を切り替えて有効化します。

*** ### リソースでの脅威検知の有効化 1. 選択したリソースの **\[PAM設定の編集]** を行います。 2. **\[接続]** タブに移動します。 3. **セッション録画**のすべてのオプションを有効化します。

4. **\[KeeperAI]** タブに移動し、**\[KeeperAIを有効にする]** トグルをオンにします。

デフォルトでは、KeeperAIがコマンドを適切なリスクレベルカテゴリに自動分類します。より強い制御が必要な場合は、リスクレベルごとに **\[セッションを終了]** を有効化できます。有効化すると、そのレベルに分類されたコマンドが実行された時点でセッションが直ちに終了します。

### KeeperAIの例外とカスタムルール **\[例外]** ポップアップで、特定のキーワードやパターンの分類方法をカスタマイズします。用意されたドロップダウンの例から追加するか、独自のプレーンテキストまたは正規表現文字列を入力します。

*** ### セッション要約の確認 KeeperAIは、記録された各セッションに対してAI生成の要約を作成し、セキュリティチームがユーザー操作を迅速に把握できるようにします。要約を表示するには、監視対象リソースのオプションメニューを開き、**\[セッションアクティビティ]** を選択します。

* **分析を開く**: セッション行をクリックすると **\[セッション分析]** ポップアップが開き、実行された各コマンドの詳細な要約が表示されます。 * **再生**: **\[再生]** ボタンをクリックすると、セッション記録全体をリアルタイムで再生できます。 * **ダウンロード**: **\[ダウンロード]** ボタンでセッション記録ファイルをローカルに保存し、オフラインで確認できます。 {% hint style="warning" %} セッション記録ファイルをローカルにダウンロードする場合、これらのファイルは暗号化されておらず、機密情報を含んでいる可能性があります。組織のデータ保護ポリシーに従い、安全に保管・取り扱ってください。 {% endhint %}

*** #### 注意事項 * デフォルトでは、AIがコマンドを適切なリスクレベルカテゴリに分類するよう最善を尽くします。 * 分類結果に基づきセッションを終了させたいリスクレベルでは、**\[セッションを終了]** を有効化します。 * 特定のパターンマッチング用キーワードがある場合は、**\[例外]** ポップアップでリスクレベルの分類と検知時のポリシーをカスタマイズできます。 #### リスク分類 KeeperAIは脅威検知のため、コマンドを以下のリスクレベルに分類します。 * **重大**: 直ちに対応が必要な深刻なセキュリティ上の脅威 * **高**: 速やかに対処すべき重大なセキュリティ上の懸念 * **中**: 監視が必要な潜在的なセキュリティ上の問題 * **低**: 監視を要しない通常または無害な動作 *** ## LLM連携 ### 概要 KeeperAIは、大規模言語モデル (LLM) によって脅威検出を行います。Keeperゲートウェイが任意のLLMと連携し、セッションデータを分析してセキュリティ上の示唆を得ます。この仕組みにより、不審なパターンの検出や詳細なセッション要約が可能になります。 {% hint style="warning" %} **免責事項**: AIによる予測は本質的に確率的なものであり、常に正確であるとは限りません。LLMプロバイダおよびモデルの選択はユーザーの裁量によるものであり、KeeperAIは、AIがタスクを完全に理解し正しく解釈することを保証するものではありません。意思決定には、AIの出力の検証を組み込んでください。 {% endhint %} ### **LLMプロバイダのセットアップ手順** KeeperAIは複数のLLMプロバイダと連携できるよう設計されており、オンプレミスとクラウドの両方のLLMに対応しています。LLMプロバイダについてご不明点がある場合は****までメールでお問い合わせください。 #### Dockerインストール方法

OpenAI-Compatible API

OpenAIの `/chat/completions` エンドポイント向けのリクエストおよびレスポンス形式に対応したAPIプロバイダに対応します。 **構成** 1. ゲートウェイに、LLMサービスへアクセスするための適切な権限が付与されていることを確認します。 2. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を設定します。 ```yaml environment: KEEPER_GATEWAY_AI_LLM_PROVIDER: "openai-generic" KEEPER_GATEWAY_AI_BASE_URL: "" KEEPER_GATEWAY_AI_API_KEY: "" KEEPER_GATEWAY_AI_MODEL: "" ``` {% hint style="info" %} `KEEPER_GATEWAY_AI_BASE_URL` には、有効なプロトコル接頭辞 (`http://` または `https://`) を含める必要があります。欠けている場合、Keeperゲートウェイは起動時に構成エラーを返します。例 ✅ `https://your-llm-provider.com/v1`\ ❌ `your-llm-provider.com/v1` {% endhint %} 利用できるプロバイダの例 (一部抜粋)

推論プロバイダ	参考	インフラ
Ask Sage	Ask Sage	SaaS, セルフホスト
Azure AI Foundry	Azure AI Foundry	SaaS
Cohere	Cohere	SaaS, セルフホスト
Cerebras	Cerebras	SaaS
Fireworks AI	Fireworks AI	SaaS
Featherless AI	Featherless AI	SaaS
Groq	Groq	SaaS
Grok	Grok	SaaS
Hyperbolic	Hyperbolic	SaaS
Hugging Face	Hugging Face	SaaS
Keywords AI	Keywords AI	SaaS, セルフホスト
LiteLLM	LiteLLM	SaaS, セルフホスト
LM Studio	LM Studio	セルフホスト
Nebius	Nebius	SaaS
Novita	Novita	SaaS
NScale	NScale	SaaS
Ollama	Ollama	SaaS, セルフホスト
OpenRouter	OpenRouter	SaaS
SambaNova	SambaNova	SaaS
Tinfoil	Tinfoil	SaaS
TogetherAI	TogetherAI	SaaS
Unify AI	Unify AI	SaaS, セルフホスト
Vercel AI Gateway	Vercel AI Gateway	SaaS
vLLM	vLLM	セルフホスト

AWS Bedrock

AWSのツールを使えば、インフラの運用なしに基盤モデルの利用を始められ、自社データでのカスタマイズやアプリへの安全な組み込みも行えます。 **構成** 1. ゲートウェイに割り当てられたIAMロールに、`AmazonBedrockFullAccess` ポリシーが付与されていることを確認します。 2. AWSコンソールから、Amazon Bedrockの基盤モデルへの[アクセスをリクエスト](https://docs.aws.amazon.com/bedrock/latest/userguide/getting-started.html#getting-started-model-access)します。 3. [サポートされているモデル一覧](https://docs.aws.amazon.com/bedrock/latest/userguide/models-supported.html)から使用するモデルを選び、対応するモデルIDを控えておいてください。 4. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。 ```yaml environment: KEEPER_GATEWAY_AI_LLM_PROVIDER: "aws-bedrock" KEEPER_GATEWAY_AI_MODEL: "" AWS_REGION: "" ```

Anthropic

**構成** 開始する前に、[AnthropicコンソールでAPIキーを作成します](https://console.anthropic.com/settings/keys)。 1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。 ```yaml environment: KEEPER_GATEWAY_AI_LLM_PROVIDER: "anthropic" KEEPER_GATEWAY_AI_API_KEY: "" KEEPER_GATEWAY_AI_MODEL: "" ```

Google AI: Gemini

**構成** 開始する前に、[Google AIダッシュボードでAPIキーを作成します](https://aistudio.google.com/apikey)。 1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。 ```yaml environment: KEEPER_GATEWAY_AI_LLM_PROVIDER: "google-ai" KEEPER_GATEWAY_AI_API_KEY: "" KEEPER_GATEWAY_AI_MODEL: "" ```

Google: Vertex

Vertexの利用が許可された `ProjectID` を持つアカウントが必要です。Google Cloudアカウントの管理時にVertexを有効にし、`gcloud auth` で認証するときはプロジェクトIDを指定してください。 ```sh gcloud auth application-default login --project MY_PROJECT_ID ``` * Google Cloudの[アプリケーションデフォルト認証情報](https://cloud.google.com/docs/authentication/application-default-credentials)を使用していれば、特別な設定をしなくてもそのまま認証が機能します。 * [`options.credentials`](https://docs.boundaryml.com/ref/llm-client-providers/google-vertex#credentials) を設定すると、その指定が優先され、`vertex-ai` は指定されたファイルパスからサービスアカウント認証情報を読み込むようになります。 **構成** 1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。 ```yaml environment: KEEPER_GATEWAY_AI_LLM_PROVIDER: "vertex-ai" KEEPER_GATEWAY_AI_MODEL: "" KEEPER_GATEWAY_AI_LOCATION: "" ```

OpenAI

**構成** 開始する前に、[Open AI PlatformのダッシュボードでAPIキーを作成してください](https://platform.openai.com/api-keys)。 1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。 ```yaml environment: KEEPER_GATEWAY_AI_LLM_PROVIDER: "openai" KEEPER_GATEWAY_AI_API_KEY: "" KEEPER_GATEWAY_AI_MODEL: "" ```

Azure OpenAI

**構成** 1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。 ```yaml environment: KEEPER_GATEWAY_AI_LLM_PROVIDER: "azure-openai" KEEPER_GATEWAY_AI_RESOURCE_NAME: "" KEEPER_GATEWAY_AI_DEPLOYMENT_ID: "" KEEPER_GATEWAY_AI_API_VERSION: "" KEEPER_GATEWAY_AI_API_KEY: "" ```

#### ネイティブインストール方法

Windowsインストール手順

WindowsでKeeperゲートウェイサービスの環境変数を設定する手順です。 PowerShellを管理者として開き、マシンスコープで変数を設定します。 ```sh setx KEEPER_GATEWAY_AI_LLM_PROVIDER "" /M setx KEEPER_GATEWAY_AI_BASE_URL "" /M setx KEEPER_GATEWAY_AI_API_KEY "" /M setx KEEPER_GATEWAY_AI_MODEL "" /M ``` 新しい環境を読み込むため、ゲートウェイサービスを再起動します。 ``` Restart-Service -DisplayName "Keeper Gateway Service" ```

Linuxインストール手順

LinuxでKeeperゲートウェイサービスの環境変数を設定する手順です。 `systemd` サービスファイルを編集します。 ```sh sudo vi /etc/systemd/system/keeper-gateway.service ``` 上記でサポートしているLLMプロバイダに合わせて、`Environment=` 行に必要な環境変数を追加します。 ```sh Environment=KEEPER_GATEWAY_AI_LLM_PROVIDER="" Environment=KEEPER_GATEWAY_AI_BASE_URL="" Environment=KEEPER_GATEWAY_AI_API_KEY="" Environment=KEEPER_GATEWAY_AI_MODEL="" ``` デーモンをリロードし、ゲートウェイサービスを再起動します。 ```shell # デーモンをリロード sudo systemctl daemon-reload # 環境変数が正しく設定されているか検証 (任意) sudo systemctl show keeper-gateway.service | grep Environment= # Keeperゲートウェイサービスを再起動 sudo systemctl restart keeper-gateway.service ```

*** ## セッション要約の確認 ### セッション録画へのアクセス分析された各セッションにはAI生成の要約が付与されます。 1. ボルトUIの **\[セッション録画]** に移動します。 1. レコードを右クリックするか、オプションアイコン `⋮` をクリックして **\[セッションアクティビティ]** を選択します。 2. KeeperAIの分析が付いたセッションの行をクリックすると **\[セッション分析]** ポップアップが開き、セッション中に実行された各コマンドの詳細な要約を確認できます。 3. **\[再生]** ボタンでセッション録画をリアルタイム再生できます。 4. **\[ダウンロード]** ボタンでセッション録画ファイルをローカルに保存できます。 {% hint style="warning" %} セッション録画ファイルをローカルにダウンロードする場合、これらのファイルは暗号化されておらず、機密情報を含んでいる可能性があります。組織のデータ保護ポリシーに従い、安全に保管・取り扱ってください。 {% endhint %}

### ARAMイベントとの統合 KeeperAIは、検出された脅威とリソース構成に対して[ARAMイベント](/keeperpam/jp/privileged-access-manager/references/event-reporting.md)を自動生成し、既存のセキュリティワークフローと統合できます。 *** ## トラブルシューティング ### よくある問題 * **検知漏れ**: リスクレベル設定で感度しきい値を調整するか、**\[例外]** ポップアップでカスタムキーワードパターンを追加します。 * **誤検知**: パターンマッチングルールを絞り込むか、カスタム例外で特定コマンドのリスクしきい値を下げます。 * **パフォーマンスの問題**: オンプレミスLLMのリソース割り当てと、LLMプロバイダへのネットワーク接続を確認します。 * **セッション分析が表示されない**: Keeperゲートウェイの構成と各リソースの両方でKeeperAIが有効か確認します。 * セッション録画ファイルをダウンロードし、`summary.json` の有無を確認します。 * `summary.json` がない場合、そのセッションではKeeperAIが無効でした。 * `summary.json` が破損または不完全な場合、最終処理でエラーが起きた可能性があります。サポートへお問い合わせください。 * KeeperAIを有効にする前に記録されたセッションには分析データがありません。 * **LLM接続エラー**: ゲートウェイ設定のLLMプロバイダ認証情報とエンドポイント構成を確認します。 ### サポート情報 KeeperAIの追加サポートが必要な場合は****までメールでお問い合わせください。 *** ## よくある質問 **Q: KeeperAIで自分のLLMモデルを使用できますか？**\ **A:** はい。OpenAIの `/chat/completions` APIエンドポイントに準拠するプロバイダであれば利用できます。 **Q: KeeperAIはリアルタイムで動作しますか？**\ **A:** はい。ユーザーが入力するたびに特権セッションをリアルタイムで分析し、完了したセッション録画と分析結果を暗号化ファイルに保存して、あとから確認できます。 **Q: KeeperAIは機密情報をどのように扱いますか？**\ **A:** セッション録画および分析データを暗号化ファイルとして保存します。今後のリリースでは、機微な個人情報 (PII) の検出機能が強化され、PIIをLLMに送信する前に削除するオプションや、LLMの応答からPIIを除去する機能が追加される予定です。 **Q: ゲートウェイ、LLMプロバイダ、Keeperのシステム間でデータはどのように流れますか?**\ **A:** KeeperAIでは、データのプライバシーとセキュリティを確保するために、安全な多段階の通信フローを採用しています。 1. **ゲートウェイとLLMプロバイダの間** ([LLM連携](#llm-integration)): Keeperゲートウェイが構成済みのLLMプロバイダと暗号化HTTPSで直接通信し、セッションコマンドをリアルタイムに分析します。 2. **ゲートウェイからKeeperへ**: LLMの分析を受け取ったあと、ゲートウェイはセッションデータと分析結果をすべて固有のレコードキーで暗号化し、[セッション録画の保存](/keeperpam/jp/privileged-access-manager/session-recording-and-playback.md#encryption-of-session-recordings)へ送信します。 **Q: KeeperAIはインターネットに接続されていない環境 (エアギャップ環境) でも使用できますか？**\ **A:** はい。オンプレミスのLLMを使用すれば、インターネットや外部サービスに接続せず、ローカルサービスとのみ連携させることが可能です。 **Q: セッション分析1回あたりの想定コストはどれくらいですか？**\ **A:** コスト計算の参考として、各コマンドに使用されるリスク分析プロンプトは約550トークン、すべてのコマンドを要約する最終プロンプトは約400トークンです (ユーザー入力のコンテキストを除く)。入力コマンドの長さや内容によって追加トークンが発生する可能性があります。 **Q: サードパーティのLLMプロバイダに送信されるデータと、その保護方法は？**\ **A:** コマンドテキストは暗号化HTTPSで構成済みのLLMプロバイダへ送られます。LLMの応答は暗号化されたうえでS3に保存されます。トラフィックはすべてゲートウェイからLLMプロバイダへ直接行われます。ゼロ知識とゼロトラストを維持するため、プライベートキーによる暗号化を経ずにKeeperへ送られるトラフィックはありません。 **Q: コンプライアンス報告用に脅威検知データをエクスポートできますか？**\ **A:** はい。セッション分析画面から分析データをJSON形式でエクスポートできます。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/keeperai.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.