# ベンダー特権アクセス管理

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FzBd50S4Hlsjjq8xd8jgZ%2Fimage.png?alt=media&#x26;token=1ba12e8a-7d1c-4d17-aa84-3dd6b718429b" alt=""><figcaption></figcaption></figure>

## KeeperPAMによるVPAMの提供

KeeperPAMは、ゼロトラストアーキテクチャを通じて、社内リソースへの安全なサードパーティアクセスを実現します。本ページでは、KeeperPAMが契約業者、技術者、ベンダーなどの外部ユーザーに対して、安全で監査可能かつ時間制限付きのアクセスをどのように提供するかを説明します。VPNや資格情報の開示は不要です。

***

## 概要

KeeperPAMは、ベンダー、パートナー、外部技術者といった外部ユーザーによるリモート特権アクセスをネイティブにサポートします。すべてのアクセスは、ブラウザベースのインターフェースを通じて行われ、完全な制御、監査、セッション録画を実現。ローカルエージェントやVPNは不要です。

***

## 主な機能

**ジャストインタイム (JIT) アクセス**

必要なときにのみ、特定のシステムへの時間制限付きアクセスをベンダーに付与します。アクセスには、承認ワークフロー、有効期限、セッション録画の条件を設定できます。

**認証情報のインジェクション (ゼロエクスポージャー)**

ベンダーはパスワードを一切見ることも操作することもありません。Keeperは、Keeperゲートウェイを介してRDP、SSH、データベース、ウェブセッションへ認証情報を直接注入します。

**エージェントレス・VPN不要のアクセス**

すべてのアクセスは、ウェブブラウザまたはデスクトップアプリを通じて行われ、クライアントソフトウェアやVPNのセットアップは不要です。これにより迅速なオンボーディングと安全な接続が可能になります。

**セッションレコーディングと監視**

すべてのベンダーセッションは、画面操作、キーストローク、コマンドログを含めて完全に記録されます。セッションはボルトUIで閲覧でき、SIEMにストリーミングすることも可能です。

**リアルタイム脅威検出 (KeeperAI)**

KeeperAIはベンダーセッションを監視し、異常なアクティビティを検出した場合、リスクしきい値やパターン検出に基づいて接続を自動で終了させることができます。

**ロール単位のアクセス制御 (RBAC)**

管理者は、ベンダーの役割、プロジェクト、部門に応じてアクセスルールを定義できます。セッションは分離でき、時間制限やプロトコル単位での制限も可能です。

**コンプライアンス対応**

すべてのサードパーティアクセスは監査可能であり、GDPR、HIPAA、PCI-DSS、SOX、NISTなどの規格に準拠します。詳細なログは保持され、外部SIEMツールに転送可能です。

***

## 動作の仕組み

**ベンダーアクセスの構成**

* KeeperボルトUIで、ベンダーが必要とするリソース (例: SSH、RDP) のレコードを作成
* 時間ベースの権限を設定した共有フォルダに配置
* 必要に応じてRBACポリシーを適用

**ベンダー認証**

* SSOか、メール/パスワード/多要素認証で、ベンダーをKeeperテナントに招待
* ベンダーをロールに割り当て
* 多要素認証などのアクセス制御ポリシーを適用
* ベンダーはウェブボルトまたはデスクトップアプリからログイン
* 対象リソースに多要素認証がなくとも、Keeperで多要素認証を強制

**セッションの開始**

* ベンダーがリソースを選択し接続を開始
* Keepergゲートウェイが認証情報を注入しセッションを仲介
* 認証情報はベンダーに表示・コピーされない

**セッションの監視**

* Keeperが画面操作、キーストローク、コマンドログを記録
* KeeperAIがセッション内の異常を検出し、リスクが高い場合に自動で終了

**アクセスの終了**

* セッションはスケジュールされた終了時刻で自動的に切断
* 共有フォルダの権限もポリシーに従って失効

***

## 活用事例

* MSPまたはハードウェアベンダーがリモートでサーバーをトラブルシューティング
* コンプライアンス監査人がシステムログを確認
* データベースコンサルタントが本番環境に短期間アクセス

***

## 利用開始手順

ベンダーPAMは、KeeperPAMの標準ライセンスモデルに含まれており、追加ライセンスは不要です。

* [KeeperPAMを有効化](/keeperpam/jp/privileged-access-manager/setup-steps.md)します。
* IdPを通じて[ベンダーをプロビジョニング](/enterprise-guide/jp/user-and-team-provisioning.md)します。
* [ロールポリシー](/enterprise-guide/jp/roles.md)をベンダーに割り当てます。
* [Keeperゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)を展開します。
* Keeperボルトで[PAMリソースレコード](/keeperpam/jp/privileged-access-manager/getting-started/pam-resources.md)を作成します。
* [接続](/keeperpam/jp/privileged-access-manager/connections.md)、[トンネル](/keeperpam/jp/privileged-access-manager/tunnels.md)、[セッションレコーディング](/keeperpam/jp/privileged-access-manager/session-recording-and-playback.md)などのPAM設定を有効化します。
* 認証情報を共有せず、時間制限付きでリソースへの[アクセスを共有](/keeperpam/jp/privileged-access-manager/getting-started/sharing-and-access-control.md)します。

***

## スクリーンショット

以下のスクリーンショットは、外部ベンダーまたは契約業者にリソースをプロビジョニングする基本的な手順を示しています。

IdP、AD、SSO、SCIM接続を使用してベンダーを招待します。または、別ディレクトリに関連付けられたノードをKeeperテナントに作成します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F6kAqVfx0IGf3FYJ5DccV%2Fimage.png?alt=media&#x26;token=ee11b5e1-7af0-4d82-ac28-a5cfce39a3ea" alt=""><figcaption><p>ベンダー用ノードの作成</p></figcaption></figure>

ベンダーは、AD/LDAP、SSO、SCIMを通して、または手動でプロビジョニングできます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fic8DaKva2MzRVjJG7MTd%2Fimage.png?alt=media&#x26;token=edafaf70-adae-4815-bbbc-ffe8a745f1b1" alt=""><figcaption><p>プロビジョニング方式</p></figcaption></figure>

ロールポリシーを介してベンダーにRBACを適用します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FidlB3GugyOIyD12baZXn%2Fimage.png?alt=media&#x26;token=96ddf761-ce80-4f04-9d59-6d77c59b3db7" alt=""><figcaption><p>ベンダーロールを追加</p></figcaption></figure>

ロールポリシーからFIDO2セキュリティキー、TOTPなどを使用した多要素認証をログイン毎に適用できます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F7qDVNbVOhIiSlNUpvv7g%2Fimage.png?alt=media&#x26;token=4b2f4407-b57f-498e-8148-b65c9b802cc1" alt=""><figcaption><p>多要素認証の適用</p></figcaption></figure>

通常、ベンダーはレコードやフォルダの作成権限がなく、以下の例では共有アイテムの受信のみ可能です。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fjc2uRt8z91ONQGeUasoW%2Fimage.png?alt=media&#x26;token=f73b0484-47f1-4e09-97bd-b00eecd2dfb2" alt=""><figcaption><p>共有ポリシー</p></figcaption></figure>

PAM関連ポリシーから、接続やトンネルの起動のみに制限できます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FevKglzrTmIKEQl9Pef4y%2Fimage.png?alt=media&#x26;token=91deb6d9-8a99-42f9-8023-99d3bc99eadf" alt=""><figcaption><p>PAM関連ポリシー</p></figcaption></figure>

ボルトからベンダーを共有フォルダ (権限なし) や個別リソースに割り当てられます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FOheTKiT2J0iEruqSFVz5%2Fimage.png?alt=media&#x26;token=42846b1e-c950-41a9-94be-7a4af787837b" alt=""><figcaption><p>共有フォルダ</p></figcaption></figure>

各リソース内で、セッションレコーディング、JITなどの機能を構成できます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F1qZHOuhsd1EvyFo1tKus%2Fimage.png?alt=media&#x26;token=8c54c7f2-3d51-4ccf-9374-9023caf7c91f" alt=""><figcaption><p>PAM設定</p></figcaption></figure>

ベンダーは多要素認証でボルトにログインし、セッションを開始できるようになります。認証情報が晒されることはありません。以下の例ではMySQLデータベースにアクセスしています。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FyXXFNTJL4XoWQRwLMjaM%2Fimage.png?alt=media&#x26;token=48c72fe1-9d83-43df-8683-5759a788a465" alt=""><figcaption><p>多要素認証を経てKeeperボルトへアクセス</p></figcaption></figure>

ベンダーはワンクリックでリソース (この場合はデータベース) への接続を開始します。すべてのセッションアクティビティは記録されログされます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FaXrxFdOl8NYQe3kRRUyY%2Fimage.png?alt=media&#x26;token=045fd173-1f0f-427d-b7ba-6dfebea491da" alt=""><figcaption><p>接続を開始</p></figcaption></figure>

管理コンソールでは、セッション開始に関するイベントログが生成されます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F6482PNpj0b43kD5xHPk5%2Fimage.png?alt=media&#x26;token=af25d303-99db-447e-8b79-7ed0ae67bbcf" alt=""><figcaption><p>イベントログ</p></figcaption></figure>

***

## 追加情報

ベンダー特権アクセス管理 (VPAM) はすべてのKeeperPAM環境にデフォルトで含まれており、**別途ライセンスは不要です。**&#x5916;部ベンダーアカウントはライセンス上、内部ユーザーと同等に扱われます。

組織のポリシーに応じて、ベンダーは以下の追加機能も利用できます。

* [Keeperトンネル](/keeperpam/jp/privileged-access-manager/tunnels.md)を使用して、**ベンダー自身のデバイスから対象システムにアクセス**
* ベンダーのIDプロバイダと[SSO連携](/enterprise-guide/jp/sso-saml-integration.md)を可能にする**フェデレーテッドアイデンティティ対応**
* 特定のノードに対して限定的な[管理権限を委任](/enterprise-guide/jp/delegated-administration.md)する**管理者権限の委譲**
* カスタムインターフェース、セッション参加、[高度な統合機能](/keeper-connection-manager/jp/using-keeper-connection-manager/launching-connections.md)に対応したセルフホスト型の**Keeperコネクションマネージャーを導入**してリモートアクセスを実現

***


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/references/vendor-privileged-access-management.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.