製品セキュリティ 
最終更新日:2025年7月22日 本コンテンツは V
現代のIT環境は、オンプレミス、ハイブリッド、マルチクラウドと幅広いインフラにまたがっており、新しい資産を追加するたびに、その資産を検出、評価して、アクセス制御を適用する必要が生じます。 検出ツールを使えば資産は検出されますが、処理手順が自動化されていないと、時間がかかり、一貫性に欠け、エラーが生じやすくなります。 さらに、重要資産の見過ごしやセキュリティギャップの発生といった問題も引き起こします。 Keeperディスカバリー (検出) ルールエンジンは、検出された資産の評価と取り扱いを自動化することで、こうした不備を補います。すべての資産は手動による確認作業を経ることなく、一律処理されます。 セキュリティ担当チームは一貫性のあるアクセスポリシーの適用を徹底させて、特権アクセス管理 (PAM) をより高い精度で拡張できます。
以下では、この自動化ツールの概要、対応可能な問題、長所についてご紹介します。
Keeperディスカバリー・ルールエンジンとは
Keeperディスカバリー・ルールエンジンは、KeeperPAM®に内蔵されるルールに基づく自動化機能で、検出された資産の取り扱い方法を統制する役割を担います。 検出された資産には既定のロジックが一律に適用され、すべて一貫したセキュリティポリシーに従って取り扱い方法が決められます。管理者が手動で検出結果を見直す必要はありません。
各ルールは具体的なPAM構成に合わせて、フィールド、演算子、値などのフィルタリング基準を用いて設定されます。 たとえば、「ホスト名に‘prod’を含む」や「OSはWindows Server2019に等しい」といった具合です。 これらのルールは検出された資産に順番に適用され、最初に一致したルールによってその資産の取り扱い方法が決まります。つまり、ルールの適用順序が重要となり、 ルール2が一致した資産にルール3が適用されることは決してありません。そのため、管理者は該当範囲が狭いものから広いものの順にルールの順序を定める必要があります。 すべてのルールはKeeperボルト内で一元管理されます。
このツールの対応フィールドは幅広く、ホスト名、オペレーティングシステム、データベースの種類、ディレクトリの種類、クラウドプロバイダのリージョン、インスタンスIDなど、幅広いフィールドを使用できます。演算子も同様で、単純な同一性チェックからパターンの一致、開始/終了/含まれる値、完全な正規表現検索まで幅広くカバーします。 そのため、どのインフラタイプでも対象となる資産に焦点を絞った、精度の高いルールを作成できます。
ディスカバリー・ルールエンジンがKeeper内で果たす役割
Keeperディスカバリー・ルールエンジンは、検出された資産の取り扱い方法を自動的に決定。すばやく安全に一貫して大量の資産を処理できるようにします。
ルールに基づくロジックを使用して各検出資産を評価
管理者は具体的なPAM構成に適合するルールを、ホスト名、オペレーティングシステム、リソースの種類などのインフラメタデータに基づくフィルタリング基準を使って定義します。 検出された各資産を評価するためにルールが順番に適用され、 最初に一致したルールによって取り扱い方法が決まります。
優先度が高い順にルールを適用
初期設定では、ルールは作成順に適用されますが、 組織内の優先順序が変更した場合などに備えて、管理者がいつでも手動で順序を変更できる仕組みになっています。 ルールは個別に有効または無効にすることも可能であり、削除する必要がないため、構成を変えずにルールを柔軟に調整できます。
所定のアクションを自動的に実行
ディスカバリー・ルールエンジンは、ルールが検出資産に当てはまった場合、次の3つの構成可能なアクションのいずれか1つを自動的に適用します。
- Add: ルールロジックを自動適用し、資産を直接ボルトに追加します。これによりその資産は、アクセス制御やセッション監視など、PAMポリシーによって管理されるようになります
- Ignore: 不要な結果や誤検出を減らすために、一致する資産を除外します
- Prompt: ボルトに追加する前に人間の判断が必要であるとルールによって特定された資産は、管理者の要確認フラグが立てられます。 たとえば、所有権が曖昧な資産や複数の環境にまたがる資産などが挙げられます
Keeperディスカバリー・ルールエンジンの詳しい動作方法は、こちらのドキュメントをお読みください。
Keeperディスカバリー・ルールエンジンで解決可能な課題
検出結果にはおびただしい数の資産が含まれる可能性があるため、セキュリティ担当チームが自動化機能を使わずにこうした結果に効率的に対応するのは、通常、困難と言えます。 Keeperディスカバリー・ルールエンジンを利用すれば、次のようなセキュリティ上の課題に対処できます。
- 手動処理によるエラー: 単純にデータ量の多さを考えただけでも、検出された資産を手動で個別に確認する作業は手間がかかるうえ、 重要資産の見過ごしや不適切な扱いといったミスが起こりやすく、対応時間の遅れや新たなセキュリティギャップの発生につながります。
- アラート疲労: 検出結果には無関係のデータや優先度の低いデータが含まれることがよくあります。 こうした結果を自動的に絞り込んだり優先順位を付けたりする方法がない場合、セキュリティ担当チームの負担は過大になり、すぐ対応しなければならない資産を特定するのが難しくなります。
- 一貫性のない意思決定: 検出結果を手動で処理する場合、同種資産を評価する際に複数の管理者が異なる基準を適用する可能性があります。 このように判断が千差万別だと、時間が経つにつれ、セキュリティギャップの発生、整合性のないポリシーの適用、環境全体での統一性の欠如といった問題が浮上する可能性があります。
- セキュリティ対応の遅れ: 手動ワークフローでは、機密性の高い資産が検出されても、直ちに保護措置が講じられるとは限りません。 その結果、適切な措置が講じられるまで、資産が悪用リスクにさらされる期間が生じてしまいます。
Keeperディスカバリー・ルールエンジンを利用するメリット
ディスカバリー・ルールエンジンは、ポリシー主導でのインフラ資産の一元管理を可能にするKeeperPAMの拡張機能です。 ゼロトラストでクラウドネイティブのPAMソリューションの構成要素として、セキュリティワークフローの一貫性を維持し、運用を簡素化するのに役立ちます。
複雑な環境でも検出機能を拡張
ディスカバリー・ルールエンジンは、オンプレミス、ハイブリッド、クラウドと複数の環境にわたって大量の検出結果を自動的に処理します。 手動による分類作業は不要になり、現代組織が運用するさまざまなタイプの環境で自動的に拡張します。
手作業による作業負荷を軽減
ディスカバリー・ルールエンジンがあれば、セキュリティ担当チームによる反復的な確認作業は不要になり、検出ワークフローにおける人的介入は最小限に抑えられます。 そのためチームは優先度の高い、戦略的なセキュリティ対策に集中できるようになります。
資産保護までの時間が短縮
ディスカバリー・ルールエンジンでは、重要資産は事前定義ルールに従ってKeeperボルトに自動的に追加されるため、 アクセス制御やセッション監視などのPAMワークフローへの統合が加速され、検出から資産保護までの時間が短縮されます。
正確さと一貫性が向上
すべての検出資産には標準的なルールが一律適用されるため、手動での意思決定のように予想外の判断が下されることがありません。 資産の評価には事前定義された同一のセキュリティポリシーが適用され、ゼロトラスト原則の促進と全体的な可視性・制御を向上させます。
Keeperで検出を自動化
複雑なマルチクラウド環境を管理する現代組織が拡張するには自動化機能を備えた資産検出ツールが不可欠です。 セキュリティ担当チームは、インフラの拡大に伴い、新たな検出資産を迅速かつ確実に処理、保護する方法を必要としているのです。ルールに基づく自動化機能を備える Keeperディスカバリー・ルールエンジンは、まさにこうしたニーズを満たすものであり、自動化された意思決定を検出ワークフローに直接統合し、手作業に付随する課題を解消して、大規模で一貫したポリシーの適用を可能にします。
今すぐ、KeeperPAMの無料トライアルを開始して、検出の自動化とインフラ保護にいかに効果的かを実感してください。
