Ctrlk
HomepageSystem Status

ボルトリリース 17.3

2025年7月24日リリース

PAM関連の新機能と向上点

概要

Keeperバージョン17.3では、DevOps、ITセキュリティ、開発チームに向けたPAM機能が強化され、IT環境全体における可視性、制御、連携体制がさらに向上しました。

  • 検出機能のアップデートにより、Active Directory環境向けのドメインコントローラー構成が追加されました。

  • 接続機能の更新として、起動用認証情報、個人用認証情報、一時的アカウントがKeeperコネクションに追加され、常設特権を排除したセッション単位のジャストインタイム認証を実現する柔軟で安全なアクセスが可能になりました。

  • シークレットマネージャーでは、他のKeeperユーザーとアプリケーションおよびゲートウェイを共有できるようになり、組織全体での安全な協調的シークレット管理が可能になりました。

  • ワンタイム共有 (OTS) 機能により、Keeperアカウントを持たないユーザーとも双方向のコンテンツ共有が可能になり、制御やコンプライアンスを損なうことなく安全な連携を実現します。

検出

Keeper **ディスカバリ (検出)**は、DevOps、ITセキュリティ、開発チームがローカル環境、AWS、Azure上の特権アカウントおよびIT資産を一覧把握するための機能です。Keeperゲートウェイと統合され、未管理アカウント、設定ミス、セキュリティリスクの特定に役立ちます。資産検出の自動化と実用的な分析結果の提示により、セキュリティ強化、運用効率化、複雑なインフラ環境でのコンプライアンス対応を支援します。バージョン17.3では、この検出プロセスに新機能が追加されました。

詳細情報

検出ジョブを作成するには、[検出] タブを開き、[検出ジョブの作成] をクリックします。続いて、スキャンを実行するアクティブなKeeperゲートウェイを選択します。このゲートウェイはPAM構成に紐づいており、スキャン対象環境の種類が定義されています。

PAM構成にCIDR範囲やクラウド認証情報などの必要な情報が不足している場合は、ジョブの実行前にその入力を求められます。

ジョブが完了すると、そのジョブをクリックして、検出結果を確認・処理することができます。複数の項目をまとめて選択することも、1件ずつ確認して進めることも可能で、最終的な結果を確定する前にキューに追加しておくことができます。

検出結果を確認する際、それぞれのリソースを保存するボルト内での保管場所を選択し、適切な管理者認証情報を割り当てることができます。この管理者認証情報には、以下の重要な機能があります。

  • ユーザーアカウントの検出: 今後の検出ジョブで、リソースへリモートアクセスし、ローカルユーザーアカウントを識別する際に使用

  • パスワードローテーション: 検出されたアカウントのパスワードを、オンデマンドまたはスケジュールに基づいて自動変更

さらに、検出によって特定されたPAMユーザーには、自動パスワードローテーションの設定を行うことができます。

検出ジョブのパネルでは、過去に実行されたすべてのジョブと、そのステータス (完了、実行中、失敗など) を確認できます。

Keeper Connectionsによる新しい接続方法

Keeperの接続機能は、対象システムへの安全なアクセスを実現するために、複数の認証方法を提供します。

  • 起動用認証情報: PAMマシン、データベース、ディレクトリレコードに設定された認証情報でセッションを開始。ユーザーは認証情報自体へアクセスせずに接続を確立可能

  • 個人用認証情報: ユーザー自身のKeeperボルトに保存された認証情報で認証。柔軟性と個人による管理を両立

  • 一時的アカウント: 有効化するとセッション専用の一時特権アカウントを自動作成し、セッション終了後に削除。常設特権を排除したジャストインタイムアクセスを実現

接続テンプレート

PAMマシンPAMデータベースPAMディレクトリの各レコードタイプは、接続テンプレートとして設定できるようになりました。これにより、事前にホスト名や認証情報を定義しておくことなく、対象システムへのセッションを開始できます。

各テンプレートには、Keeperゲートウェイおよび使用する接続プロトコル設定が必要です。一度作成されたテンプレートは、他のユーザーと共有することも可能です。テンプレートからセッションを起動する際、ユーザーは次の情報を求められます。

  • 接続先ホスト名の入力

  • 認証に使用するKeeperボルト内の認証情報の選択

[接続] タブでは、ユーザーが認証情報を公開することなく、サーバー、データベース、ウェブアプリ、ワークロードなどのインフラ資産へ、Keeperボルトから直接、安全かつ即座にアクセスすることができます。これにより、ゼロトラストかつゼロ知識のセキュリティモデルが実現します。

接続は、PAMマシン、PAMデータベース、PAMディレクトリ、PAMリモートブラウザの各レコードタイプに対して構成され、これらのレコードから直接セッションを開始することができます。

[接続] タブでは、ユーザーが自分のボルトから使用する認証情報を選択できるように設定でき、さらにセッション終了時に起動用認証情報を自動的にローテーションするよう構成することもできます。

PAM設定内に、新たに [ローテーション] タブと [JIT] の設定タブを各リソースごとに追加しました。

ジャストインタイムアクセス (JIT) と一時的アカウント、ロール昇格による特権セッション

Keeperウェブボルトからインフラ資産へ、ワンクリックで安全に特権セッションを開始できるジャストインタイム (JIT) アクセスを実現しました。この機能により、ユーザーにはセッションの間のみ昇格権限が付与され、常設の特権アカウントによるリスクを大幅に軽減します。セッション終了とともに、昇格権限は自動的に解除されます。

一時的アカウントの作成

Keeperゲートウェイは、セッション開始時に対象システム上で一時的な特権アカウントを自動生成し、セッション終了後に削除します。これにより、永続的なアカウントが存在せず、不正利用のリスクを防止します。

ロール・グループ昇格

一時的アカウントの作成に代えて、KeeperPAMはロールやグループ単位での昇格にも対応します。Windowsの「Administrators」グループやAWS IAMロールをセッションユーザーに一時付与し、セッション終了時に自動解除します。

このように、一時的アカウントまたはロール昇格を用いた柔軟なJITアクセスは、ゼロトラストセキュリティモデルを実現しつつ、インフラ全体の特権アクセス管理を簡素化します。

シークレットマネージャーアプリケーションとゲートウェイの共有

Keeperシークレットマネージャー (KSM) は、DevOps、ITセキュリティ、開発チーム向けに設計された、完全クラウドベースかつゼロ知識型のプラットフォームです。APIキー、データベースのパスワード、アクセストークン、証明書などのインフラシークレットを安全に管理できます。

KSMアプリケーションを作成すると、組織内の他のユーザーと安全に共有することが可能になります。共有されたユーザーは、関連付けられたKeeperゲートウェイを通じて、シークレットの閲覧、デバイスやゲートウェイの管理、PAMレコードタイプの設定などのアプリケーション機能にアクセスできます。

この共有機能により、厳格なアクセス制御を維持しながら、安全なチーム連携を実現します。すべてはKeeperのゼロ知識セキュリティモデルに基づいて保護されています。

ドメインコントローラー構成

KeeperPAMは新たにドメインコントローラー構成に対応し、ドメイン参加済みリソースの検出と管理をスムーズに行えるようになりました。検出機能と組み合わせることで、組織内のドメイン接続されたアセットを自動的に特定し、共有されたKSMアプリケーション、PAMレコードタイプ、Keeperゲートウェイを通じて、安全にアクセスを管理することが可能です。すべてはKeeperのゼロ知識アーキテクチャのもとで保護されています。

ワンタイム共有 (OTS) の双方向機能アップデート

Keeperワンタイム共有 (OTS) 機能を使用すると、Keeperアカウントを持たない相手とも、レコードを安全かつ期限付きで共有することができます。メール、SMS、メッセージアプリなどを介した情報共有に伴うリスクを排除し、友人、家族、同僚などとの機密情報の共有に最適です。

Keeperの双方向ワンタイム共有機能のご紹介 (英語)

各共有リンクには以下の特長があります。

  • 設定した有効期限に達すると自動的に無効化。

  • 単一デバイスでのみアクセス可能 (デバイスロックによる追加セキュリティ)

  • リンクが傍受されたり、メールアカウントが侵害された場合でも不正アクセスを防止

  • 双方向通信に対応しており、共有セッション中は双方が内容の閲覧、編集、アップロードを安全に行うことが可能

受信者が共有リンクを開くと、レコードはウェブブラウザ上で表示され、そのデバイスに紐づけられます。アクセスは指定された有効期限を過ぎると自動的に失効し、リンクは無効化されます。これにより、たとえ元の承認済みデバイスであっても、レコードを再び閲覧することはできなくなります。

Keeperのワンタイム共有 (OTS) に追加された双方向機能により、Keeperユーザーと非Keeperユーザー間で、安全かつ時間制限付きのセッション内での双方向の共同作業が可能になりました。受信者が共有レコードをブラウザで開くと、情報を閲覧できるほか、以下の操作も可能です。

  • レコード内の既存フィールド (メモ、認証情報、カスタムフィールドなど) の編集

  • 文書、画像、証明書などのファイルのアップロードと添付

すべての変更は、同じ安全でデバイスに紐づけられたセッション内で行われます。受信者が [保存] をクリックすると、更新内容はリアルタイムで送信者のボルトに反映されます。

これにより、機密性の高いオンボーディング情報の収集、認証情報の受け渡し、レコードの更新などを、受信者がKeeperアカウントを作成したり、ゼロ知識環境を離れたりすることなく、安全かつ効率的に行うことができます。セッションの有効期限が切れると、すべてのアクセス権が自動的に失効し、共有された情報は厳格に管理され続けます。

Keeperのワンタイム共有機能について詳しくは、こちらのページをご参照ください。

編集可能なワンタイム共有の有効化

この権限は、エンタープライズ環境ではデフォルトで無効になっています。有効にするには、管理コンソールの [ロール] > [強制適用ポリシー] > [作成と共有の権限設定] に移動し、[編集可能フィールドとファイルのアップロード機能を備えたリンクを作成] のチェックボックスをオンにしてください。

PAM機能の詳細は、こちらのページをご参照ください。KeeperPAMの無料トライアルやデモのお申し込みは、こちらのページからどうぞ。

機能強化

  • VAUL-7283: 管理者が、管理用と起動用で別々の認証情報、ユーザー入力型認証情報、ホスト名と認証情報を都度指定できるテンプレートなど、柔軟なリソースレコードを作成可能に。

  • VAUL-7285: JITアクセスを有効にすることで、一時的な管理権限の付与、セッション後の自動アカウント削除、認証情報のローテーションが可能になりました。これらはすべて、PAM設定内で安全に管理できます。

  • VAUL-5995, VAUL-7333, VAUL-7235: KSMアプリケーションの共有が可能になり、ロール単位のアクセス制御や、フォルダ、デバイス、ゲートウェイ、アクティビティログの管理機能を強化。

  • DR-646: 検出機能を拡張し、複雑な環境でも特権アカウントやIT資産を可視化できるようになりました。これにより、設定ミスやセキュリティの抜け穴を防ぐことができます。

  • VAUL-6904, VAUL-6167, VAUL-7499: ファイル、メモ、レコード内容を編集可能な状態で双方向共有できる機能を追加し、共同作業を容易に。

その他のアップデート

  • VAUL-7488: Dashlaneの.dashファイルをKeeperにインポートする際の処理を改善。

  • VAUL-7138: レポートとアラート機能において、削除済みアイテムにUIDを表示するよう更新。

  • VAUL-7370: セッション録画の再生画面の表示に関する不具合を修正。

  • VAUL-7432: ローテーションが可能であるというポリシーが適用されており、KSMアプリに編集権限がある場合、PAMユーザーレコードの認証情報をローテーションできるよう更新。

  • VAUL-7480: 有効期限切れアカウントに表示されるポップアップのデザインを最新のUIに更新。

  • VAUL-7195: 検出機能が、Active Directory環境でのドメインコントローラー構成によるアセット検出に対応。

  • VAUL-7217: DAGに新しいルーターAPIを実装。

  • VAUL-6363: プレビューモードで利用しているユーザーに対し、ベータ機能の制限を明示する警告ラベルとバナーを追加。

  • VAUL-6055: パスワードの長さに関する要件を、ロールポリシーで適用するよう改善。

バグ修正

  • VAUL-6440: 2FAにSMSを設定しているユーザーにおいて、2FAの有効期間設定が正しく反映されず、ログインのたびに2FAが要求される不具合を修正。

  • VAUL-7325: 非所有者のユーザーがプライバシー画面で手動でパスワードを入力できていた不具合を修正。

  • VAUL-6069, VAUL-6070: 詳細検索結果ドロップダウンの表示ずれを修正。

  • VAUL-5979: ログイン画面で、SSOドロップダウンから「マスターパスワード」を選択した際、カーソルがメールアドレス入力欄に自動で移動するよう修正。

  • VAUL-6123: 検索結果内のレコードをクリックした際に、正しいレコードに移動するよう修正。

  • VAUL-7075: PAMにおいて、リソース設定の更新時にレコードのローテーション設定が正しく確認されない不具合を修正。

  • VAUL-7172: PAMスクリプトのドキュメントを更新。

  • VAUL-7121: PAMレコード新規作成モーダルで、Tabキーによるフォーカス移動時に選択中のレコードタイプの枠線が消える不具合を修正。

  • VAUL-6141: レコード復元後に弱いパスワードがBreachWatchで正しく更新されない不具合を修正。

  • VAUL-7427: 新しいセキュリティ監査ページのスタイルに関する不具合を修正。

  • VAUL-7215: 有効期限切れのアカウントを持つコンシューマーユーザーが、意図しない待ち状態でログインしてしまう不具合を修正。

  • VAUL-7462: Keeper JSONファイルのインポート時にエラーが表示され、フォルダ権限が正しくインポートされない不具合を修正。

  • VAUL-7472: ウェブボルトから特定のシナリオでARAMイベント「Created Re-used Password」(reused_password) がトリガーされない不具合を修正。

  • VAUL-7244: SCIMでプロビジョニングされ、Automatorで承認されたTeamsが、ボルトに表示されない不具合を修正。

  • VAUL-7490: 未選択時に認証情報レコードのアイコンが灰色で表示されるよう修正。

  • VAUL-7491: PAMユーザーレコード設定で、重複していた「ローテーション」フィールドの1つを「ローテーションプロファイル」に名称変更。

前へボルトリリース 17.3.1次へボルトリリース 17.2

最終更新