PAM (特権アクセス管理) 
IDガバナンスと管理 (IGA: Identity
ゼロトラストネットワークアクセス (ZTNA) ソリューションの多くは、境界型セキュリティ固有のリスクを排除することを宣伝文句としています。ただ、実際には新種の脆弱性を誘発することも珍しくありません。 2025年8月に開催されたハッカーイベント「DEF CON」で、いくつかの主要ZTNA製品には、認証バイパスや認証情報の漏洩など、重大な問題があることが研究者によって明らかにされました。KeeperPAM®は、従来のZTNAソリューションが抱えていたこうしたセキュリティギャップを克服するために、ゼロトラストとゼロ知識暗号化、ボルトベースのアクセス、アウトバウンド限定の接続を強制適用します。
以下では、従来のほとんどのZTNAソリューションにはどのような欠点があり、KeeperPAMはそうした欠点をどのように補完して、露呈させることなく機密データに安全にアクセスする方法をご紹介します。
従来のZTNAツールが抱えるセキュリティギャップ
従来のZTNAツールの多くは、仮想プライベートネットワーク (VPN) の安全な代替手段として引き合いに出されますが、標的とするサイバー攻撃の脅威と同じくらい有害と考えられる脆弱性の発生源になっています。 AmberWolf氏がDEF CON 33で発表した調査結果では、主要なZTNA製品全般にわたる一連のセキュリティ問題が浮き彫りにされました。その中には、サイバー犯罪者がユーザーデバイスの特権を昇格させ、検知されずに重要なリソースにアクセス可能にする脆弱性も含まれていました。
認証バイパス
多くのZTNAプラットフォームは旧式または適用に不備がある認証方法に依存しているため、サイバー犯罪者がSAML実装の脆弱性に乗じてトークンをリプレイし、認証を完全に迂回する企みを可能にしています。 デバイス登録フローの実行不備により、認証されていないデバイスが重要なシステムに接続する脆弱性を発生させる事例さえあります。
認証情報の漏洩
認証情報の誤処理が頻繁に発生することは、従来のZTNAソリューションの最も重大な問題の1つです。 有効期間の長いシークレット (APIキー、SSHキー、アクセストークンなど) は、通常、エンドポイントやメモリに保存されますが、これらの場所にマルウェアが感染したりローカルで侵害が発生したりすると、データ盗難の被害に遭いやすくなります。 盗まれた認証情報は、ネットワーク内で水平移動したり特権を昇格させたりするのに再利用される可能性があります。
アーキテクチャの弱点
多くのZTNAソリューションは、信頼の制限どころか拡大させる可能性があります。アーキテクチャに不備があるためです。 例えば、トラフィック検査のために信頼できるルート証明書のインストールを要求する、ゲートウェイがインターネットにさらされる、ベンダーのインフラストラクチャを介してトラフィックをルーティングするといったアーキテクチャの弱点が挙げられます。 攻撃対象領域を拡大させるこうした弱点は、ゼロトラストセキュリティの柱と正反対の効果をもたらします。
セキュリティ体制の偽造
一部のZTNAソリューションは、オペレーティングシステムのバージョンまたはデバイス証明書を検証することでデバイスの安全性を判断するようになっています。 ただ、こうした検証の多くはクライアント側で実行されるため、簡単に操作される可能性があります。 デバイスが適切に再検証されずに、キャッシュされたトークンや認証情報がソリューションに受け入れられると、サイバー犯罪者が準拠したセキュリティ体制を偽装可能になります。 その結果、不正デバイスが保護策を迂回して侵入する事態に陥ることになります。
KeeperPAMがZTNAソリューションの弱点を解消する方法
KeeperPAMは、従来のZTNAソリューションに共通する脆弱性を排除する設計になっています。 ゼロ知識暗号化、ジャストインタイム (JIT) アクセス、アウトバウンド限定アーキテクチャを組み合わせることで、認証情報をさらしたり攻撃対象領域を拡大させたりせずに、抜本的なゼロトラストを実現しています。 KeeperPAMの主要機能は以下のとおりです。
- ゼロ知識アーキテクチャ: KeeperPAMでは、認証情報がユーザーに開示されることも、デバイスに保存されることもKeeperがアクセスすることも決してなく、 シークレットはデバイスレベルとレコードレベルで暗号化および復号化されるようになっています。
- ジャストインタイム (JIT) アクセス: KeeperPAMでは、管理者がアクセスを許可できるのは、必要な場合にかつセッション期間中に限定されます。 セッションが終了すると、 認証情報が自動的にローテーションされ、使い回しや盗難を防ぐ仕組みになっています。
- アウトバウンド限定アーキテクチャ: Keeperゲートウェイではインバウンドファイアウォールポートを開いたり、エンドポイントを開示したりせずに、エンドツーエンドの暗号化接続が確立されます。
- セッションを監視・記録: KeeperPAMは、監査とコンプライアンス目的でSSH、RDP、TLSを含むすべての特権セッションを監視・記録します。KeeperAIは、脅威の検知と対応にAIを活用して、高リスクのセッションを自動的に終了させることができます。
- ゼロトラストセキュリティでネイティブツールをサポート: MySQL WorkbenchやpgAdminなどのネイティブツールを通じて安全なトンネリングとリモートアクセスをサポート。バックグラウンドでゼロトラストセキュリティを維持します。
- 既存のIDプロバイダ (IdP) とシームレスに統合: KeeperPAMは既存のIDプロバイダと連携性があり、ゼロ知識暗号化を損なうことなく、安全な認証とプロビジョニングを確保します。
KeeperPAMと従来のZTNAソリューションの比較
ほとんどのZTNAソリューションはリスクの最小化をアピールポイントとしていますが、採用アーキテクチャの多くで深刻なセキュリティギャップが放置されたままとなっています。 KeeperPAMでは、認証情報の露出防止、信頼可能な範囲の縮小、きめ細かなアクセス制御と、従来にないアプローチを採用しています。 以下は、KeeperPAMと従来のZTNAツールのアーキテクチャと運用面での主な相違点です。
| Category | KeeperPAM | Traditional ZTNA |
|---|---|---|
| Credential storage | Credentials are encrypted in a zero-knowledge vault and never exposed to users. | Secrets are often stored on devices or in memory, leaving them vulnerable to theft. |
| Gateway exposure | Outbound-only architecture eliminates the need to open inbound firewall ports. | Requires publicly exposed gateways, which expands the attack surface. |
| Token replay risk | Vault-initiated sessions with JIT access help prevent token replay. | Reusable tokens and weak authentication methods allow for token replay. |
| Root certificate installation | Encryption remains end-to-end, making it unnecessary to install trusted root certificates. | Trusted root certificates are often required for traffic inspection, expanding trust boundaries. |
| Traffic interception | No traffic interception is needed since sessions are recorded for SSH, RDP and TLS. | Relies on traffic interception and vendor infrastructure for monitoring. |
| Access control | Just-in-Time (JIT) access with automatic credential rotation. | Broad access policies expand standing access and allow for lateral movement. |
KeeperPAMで将来も有効なアクセス戦略を立てる
従来のZTNAツールはサイバー犯罪者にその弱点を突かれるため、使用し続けるのは得策とは言えません。 組織に必要なのは、セキュリティリスクを発生させずにゼロトラストを強化するソリューションであり、KeeperPAMはまさにその条件を満たします。 ゼロ知識暗号化、ボルトベースのアクセス、きめ細かなアクセス制御を組み合わせることで、KeeperPAMは認証情報の露出を排除し、攻撃対象領域を縮小します。
Start your free trial of KeeperPAM today to close security gaps and future-proof your access strategy with a scalable and secure solution built for modern cyber threats.
