Microsoftの「2024年労働トレンド指数年次報告書」によると、従業員の78%が職場で独自にAIツールを使用していると回答しています。 この承認されていないAIツールの利用は、シャドーAIと呼ばれるものであり、それがいかに広く普及しているかを示しています。 アイデンティティセキュリティは、組織内の誰が、どのような条件下でAIツールにアクセスできるかを可視化するものです。それによりセキュリティチームは、AIの使用を適切に管理できる基盤が得られるため、この課題に対処できるようになります。

以下では、シャドーAIについての説明と、それがなぜアイデンティティセキュリティの大きなリスクなのか、またID中心のシャドーAIをどう管理すべきかについてご紹介します。

シャドーITとシャドーAIの比較

シャドーAIは、シャドーITがもたらす既存のリスクを拡大させるだけでなく、より現代的で複雑な脅威をもたらします。シャドーITとは、組織内で未承認のソフトウェアやシステムを使用することを指します。 例えば、従業員が個人のメールアカウントを使用して業務上のファイルを共有した場合、アクセス制御と可視性に隙ができてしまいます。 シャドーAIは、この脅威がさらに一歩進んだものです。なぜなら、AIツールはデータを保存するだけでなく、積極的に処理し、保持する可能性があるからです。 そのため、機密情報が組織の管理を超えた外部モデルに深く埋め込まれる可能性が高まり、新たなレベルのデータ漏洩につながります。 AIの管理を特に困難にする要因には次の2つが挙げられます。

• 個人のアカウントやデバイスの使用: 従業員が個人のアカウントやデバイスを使用して、会社がプロビジョニングする環境外でAIツールにアクセスすると、そのアクティビティは組織のアイデンティティから切り離され、透明性と追跡可能性が失われます。
• ブラウザベースのAIツール: ブラウザベースのAIツールはインストールが不要なため、エンドポイントベースの制御のみに依存する環境では、検出が困難になります。

こうした大規模なデータ漏洩と、従来の検出方法を回避できるツールが組み合わさることで、シャドーAIは特に難しいセキュリティ問題となっています。

シャドーAIがアイデンティティセキュリティの問題である理由

従業員が未承認のAIツールを使用すると、セキュリティチームは、どのデータが共有されたのか、誰がツールにアクセスしたのか、ツールがそのデータをどう処理するのかを把握できません。 このようにアイデンティティが特定できないという点こそ、シャドーAIの検出が極めて困難である主な理由であり、その管理はなおさらです。 従来のIDおよびアクセス管理 (IAM) ソリューションは、予測可能な行動と定義されたロールを持つ人間のユーザー向けに設計されていました。しかし現代の組織は、AIエージェントやサービスアカウントを含む非人間アイデンティティ (NHI) を考慮に入れてセキュリティ戦略を調整する必要があります。 これらのマシンアイデンティティは、複数の重要なシステムに自律的にアクセスし、タスクを実行することができるため、企業内での利用が拡大しています。 実際、マッキンゼーの2025年版「AIの現状に関するグローバル調査」によると、上級リーダーの62％が、所属する組織で少なくともAIエージェントの使用実験を行っていると回答しています。 人間のユーザーとは異なり、AIエージェントは継続的に動作し、迅速に拡張し、同時に多くのシステムと連携することができます。 人間とマシンの両方のアイデンティティを管理できるアイデンティティセキュリティ制御がなければ、組織はデータへのアクセス方法やその使用方法を管理できなくなります。

アイデンティティに関連するシャドーAIの主なリスク

脆弱なアイデンティティセキュリティは、シャドーAIの検出を困難にするだけでなく、シャドーAIが引き起こす被害を悪化させます。

監視されていないデータアクセス

機密データを未承認のAIツールと共有する従業員は、従来の監視システムでは検出できないデータ漏洩を引き起こします。 データ損失防止ツールは、監視可能なチャンネルしか監視できず、シャドーAIはその境界の外側で動作します。 従業員が、監視されていない個人アカウントを通じて未承認のAIツールを使用した場合、組織はそのアクティビティを監視し、記録し、ログに保存する方法がありません。 特権データや認証情報が漏洩すると、サイバー犯罪者は、監査証跡を残さずに重要なシステムにアクセスできます。

マシンアイデンティティの無秩序な増加

正式なオンボーディングとオフボーディングのプロセスを経る人間の従業員とは異なり、AIエージェントとサービスアカウントは、多くの場合、構造化されたライフサイクル管理が欠けています。 その結果、過剰な権限と限られた監視の下で、複数の環境にわたって動作するマシンアイデンティティの数が増加し、マシンアイデンティティの無秩序な増加 (スプロール) を引き起こしています。 マシンアイデンティティが可視化されていない場合、組織はどのシステムがアクセスされているか、またはそれらが侵害されているかどうかを把握できません。

コンプライアンスおよび監査の不備

GDPR、HIPAA、PCI DSSなどの規制フレームワークでは、人間によるものかマシンによるものかにかかわらず、組織は機密データへのアクセス方法および処理方法を追跡することが求められています。 アイデンティティセキュリティが人間のユーザーのみを対象としている場合、組織はAIのアクティビティを網羅した完全な監査証跡を作成できず、規制上の罰則や監査所見の対象となるリスクにさらされます。こうした問題は、事後に対処することがますます困難になっています。

ID中心のシャドーAIをいかに管理するか

シャドーAIの管理とは、組織のメンバー全員に対し、AIツールを全面的に使用禁止にすることではありません。まずは、重要なシステムやデータに誰がアクセスしているかを完全に把握することから始めるべきなのです。 シャドーAIの管理において、ID中心のアプローチを採用するために、ITチームとセキュリティチームが従うべき重要な手順を以下に示します。

Keeper^®で人間とマシンの両方のアイデンティティを保護

AIの普及が進むにつれて、シャドーAIも同様に拡大していきます。 組織は、人間とマシンを含むあらゆるアイデンティティ全体に対して、可視化、制御、ガバナンスを提供するアイデンティティセキュリティプラットフォームを必要としています。

Keeperは、人間のユーザーとマシンアイデンティティの両方の特権アクセスを保護し、最小権限ポリシーを適用するとともに、重要なシステム全体でリアルタイムのセッション監視を提供します。 またAIエージェントが使用するインフラのシークレットとAPIキーを管理し、NHIが定義された境界内で動作し、認証情報が自動的にローテーションされることを保証します。 KeeperAIは特権セッションをリアルタイムで分析し、高リスクのアクティビティが発生した時点で検出することで、可視性を向上させます。 ゼロトラスト、ゼロ知識アーキテクチャに基づいて構築されたKeeperは、AIがもたらす生産性を損なうことなく、AIの使用を管理するために必要な監査証跡とアクセス制御を組織に提供し、統制を実現します。

ぜひKeeperの無料トライアルをご利用の上、環境内のすべてのアイデンティティの可視化と制御をご体験ください。

以下では、米政府機関がアイデンティティセキュリティプラットフォームを活用して特権アクセスを保護する方法、およびKeeper^®がゼロトラストの原則を適用し、連邦政府機関およびエンタープライズ環境全体のアクセスを保護する方法をご紹介します。

ゼロトラストセキュリティが米政府機関にとって重要な理由

ゼロトラストセキュリティは、政府機関にとっては単なる推奨事項ではなく、連邦政府によって義務付けられたものです。2021年に発令された大統領令14028号では、各機関に対し、ゼロトラストアーキテクチャの採用を含め、サイバーセキュリティ対策の最新化を指示しています。 2022年に管理予算局 (OMB) が発行した大統領覚書M-22-09では、連邦政府民間機関に対して、特定のゼロトラストセキュリティ要件を満たすことを課し、環境全体で実施するよう命じました。 また国防総省 (DoW) も2022年にゼロトラスト戦略を発表し、2027年9月までに組織全体にわたってゼロトラストサイバーセキュリティフレームワークを完全に導入する計画を示しました。 国防総省が導入に向けて動き出す中、データの可視性、特に非人間アイデンティティ (NHI) とAIエージェントのアイデンティティガバナンス、従来型システムや運用システムに対するゼロトラストの適用には、依然として課題が残っています。 これらの要件と戦略は、従来の境界ベースのセキュリティからデータ中心型モデルへの移行を示しています。

連邦政府の業務環境は現在、オンプレミス、ハイブリッド、クラウドシステムに分散しているため、すべてのユーザー、デバイス、セッションを継続的に検証することが不可欠となります。 連邦政府のシステムは公共サービス、国家安全保障業務、機密データを支えているため、特権アカウントが1つでも侵害されると、横方向の移動、業務の混乱、機密情報への不正アクセスにつながる可能性があります。 ゼロトラストは、政府機関がリスクを軽減し、きめ細かなアクセス制御を強化し、連邦政府による大規模な要件を満たすのに役立ちます。

連邦政府環境におけるゼロトラストセキュリティの柱

サイバーセキュリティ・社会基盤安全保障庁 (CISA) は、ゼロトラスト成熟度モデルにおいて示す5つの柱を通じて、ゼロトラストを定義しています。 ゼロトラストの5つの柱すべてにおいて、PAMがどのような役割を果たすかを以下にご紹介します。

連邦政府機関がゼロトラストを導入する際に直面する課題

連邦政府機関の環境全体にゼロトラストを導入することは、従来型システム、厳格なコンプライアンス要件、分散型インフラストラクチャといった要因により、複雑な課題となっています。

従来型システムが最新の認証を制限

政府機関の多くは、多要素認証 (MFA) のような最新の認証技術をサポートしていない従来型システムに依然として依存しています。 これらのシステムを更新することは、変更によって重要な業務が中断される可能性があるため、困難でありリスクを伴います。 例えば住民登録や給付金処理を支えるシステムは、多くの場合、最新の制御技術と容易に統合できない古いオンプレミス型インフラで稼働しているため、セキュリティ上の脆弱性が生じ、それが悪用される可能性があります。

複雑なコンプライアンス要件

連邦政府機関は、連邦情報セキュリティ近代化法 (FISMA) などのフレームワークを遵守し、NIST Special Publication 800-63Bに基づく認証要件を満たす必要があります。 また防衛関連組織や請負業者は、国防総省との契約に基づき、管理された非機密情報 (CUI) を保護する業者に対して適用されるサイバーセキュリティ成熟度モデル認証 (CMMC) の要件も満たす必要があります。 最小権限アクセスの証明と監査証跡の維持は、通常、面倒な手動のプロセスであり、多大な時間とリソースを必要とします。

分散型マルチクラウド環境

連邦政府のIT環境は極めて分散化しており、オンプレミスとクラウドプラットフォームにまたがって、遠隔地のユーザーや第三者の請負業者が地域に分散して存在しています。 こうした境界のないアーキテクチャでは、一貫したアクセス制御を維持し、サプライチェーン全体で可視性を確保することが困難になるため、設定ミスや不正アクセスのリスクが高まります。

管理されていない特権認証情報がリスクを増加

特権認証情報により、公共サービスインフラ、金融システム、IDプラットフォームなどの重要なシステムへのアクセスが可能になります。 それが侵害されると、サイバー犯罪者は横方向に移動し、市民の登録情報や健康情報などの機密データにアクセスできるようになります。 幅広い管理アクセス権を持つ特権アカウントが、適切に管理されずに侵害された場合、重要なシステムと機密データのセキュリティを危険にさらす可能性があります。

政府機関向けゼロトラストPAMソリューションのメリット

ゼロトラストによって、ユーザーとデバイスは継続的に検証されることになる一方、PAMによって、特権アクセスが厳密に監視、制御、制限されることが保証されます。 連邦政府機関の環境にゼロトラストPAMソリューションを導入する主なメリットは、次のようなものです。

Keeperを活用して連邦政府機関のゼロトラストセキュリティを実現する方法

Keeperは、企業向けパスワード管理、シークレット管理、特権セッション管理、エンドポイント特権管理をFedRAMP High認証取得のクラウドネイティブプラットフォームに統合することで、政府機関が重要なシステムを保護し、サプライチェーン全体の特権アクセスを制御できるようにします。

従来型システムと最新システム全体でゼロトラストを強制適用

多くの連邦政府機関では、従来型システムと最新システムが混在して使用されているため、一貫したセキュリティ対策の実施が困難となっています。 Keeperは、Keeperゲートウェイを介した暗号化されたセッション仲介によってこれを実現し、認証情報を公開したり、インフラの変更を必要としたりせずに、安全なアクセスを可能にします。 さらに政府機関は、認証情報をエンドユーザーから見えないようにしながら、ネイティブにサポートされていない従来型の環境を含め、すべてのシステムにMFAを適用できます。 これにより連邦政府機関は、業務を中断することなく、時代遅れの従来型システムにゼロトラスト制御を適用できます。

ジャストインタイム (JIT) アクセスで最小権限を実装

Keeperを使用すると、ジャストインタイム (JIT) プロビジョニングを通じて最小権限アクセスが強制適用されるため、ゼロトラストセキュリティが実現できます。 常時アクセスを付与する代わりに、ロールとコンテキストに基づいて特権が一定期間割り当てられ、不要になった時点で自動的に取り消されます。 これにより、常時アクセスを排除し、内部脅威のリスクを軽減し、サイバー犯罪者が特権アカウントを悪用する機会を最小限に抑えることができます。

特権セッション管理でコンプライアンス遵守を簡素化

Keeperは、特権セッション全体でセッションの監視と記録を行い、画面とキーボードのアクティビティをキャプチャして完全に可視化します。 組織はデプロイメント前に、セッション録画の実施方法が、該当する政府機関のポリシーおよび連邦職員の監視に関する要件に準拠していることを確認する必要があります。 すべての特権アクティビティはログに記録され、SIEMツールと統合できます。KeeperDBは、認証情報のインジェクションを通じてゼロトラスト制御をデータベースアクセスまで拡張します。 ユーザーは、基盤となる認証情報を一切開示することなく、Keeperボルトからデータベースに直接接続できます。 これは、連邦政府機関が機密データを保護し、FISMA、NIST SP 800-53、CMMCへのコンプライアンスをサポートするのに役立ちます。

ゼロトラストネットワークアクセス (ZTNA) を強化

Keeperによって、従来の仮想プライベートネットワーク (VPN) を使用せずにIDベースの接続が可能になり、安全なアクセスを拡張できます。Keeperは、従来のゼロトラストネットアークアクセス (ZTNA) ソリューションに取って代わるもので、ユーザーがどこにいても、システムにアクセスする前にユーザー認証と承認を確実に実行できます。 ZTNAは、PAMと組み合わせることで、システム内のユーザーアクションに対する安全なアクセスと厳格な制御の両方が確保されます。

ゼロトラストをエンドポイントに拡張

ゼロトラストセキュリティは、インフラだけではなく、デバイスにも適用されなければなりません。Keeperのエンドポイント特権マネージャーは、Windows、macOS、Linuxシステムのエンドポイントレベルで、最小権限を徹底させることができます。 永続的かつ広範な管理者権限を排除し、タスクベースの権限昇格を可能にすることで、政府機関は内部脅威のリスクを最小限に抑え、不正な変更を防ぐことができます。

KeeperAIでリアルタイムに脅威を検出

KeeperAIは高度な行動分析を使用してリアルタイムで特権セッションを分析し、疑わしい行動を検出してリスクレベルを分類します。 管理者は、事前に定義したリスクしきい値に基づいて、セッションの終了を含む自動応答を設定できます。また誤検知を最小限に抑え、人間による確認プロセスに役立つ制御機能も備わっています。 リスクの高いアクティビティが検出された場合、KeeperAIでは、潜在的なサイバー攻撃の脅威が拡大する前にセッションを自動的に終了させます。これにより、連邦政府機関はセキュリティインシデントに迅速に対応し、サイバー攻撃の影響を最小限に抑えることができます。

Keeperで連邦政府機関のサイバーセキュリティを強化

大統領令14028号および管理予算局の覚書M-22-09は、ゼロトラストをベストプラクティスとしてではなく、連邦政府の要件として確立しました。 従来型のインフラストラクチャ、分散型クラウド環境、複雑なコンプライアンス環境全体にわたってこれらの要件を満たすには、連邦政府機関のセキュリティのために特別に構築されたプラットフォームが必要です。 KeeperはFedRAMP High認証を取得しており、今日の連邦政府機関および企業環境向けに設計されているため、従来型インフラおよびクラウドインフラ全体で最小権限と安全なアクセスを実現できます。 ぜひデモをリクエストいただき、Keeperがゼロトラストセキュリティの強化と特権アクティビティのリアルタイムでの可視化にどう役立つかをご確認ください。

以下では、ベンダーのリモートアクセスを保護する8つの方法と、Keeper^®がそれにどう役立つかをご紹介します。

1. 最小権限アクセスの徹底

ベンダーがアクセスできるシステムとデータは、タスクを完了するために必要なものだけに制限する必要があります。 ベンダーに広範なアクセス権を付与すると、不必要なセキュリティリスクが生じ、データ漏洩の潜在的な影響が増大します。 例えば、ローン処理システムの保守を行うコアバンキングベンダーは、業務と無関係な顧客データや取引プラットフォームへのアクセスを必要としません。 ベンダーのアクセスを必要なシステムだけに制限することで、万が一ベンダーの認証情報が侵害された場合でも、サイバー犯罪者がネットワーク上を横方向に移動したり、他の機密データにアクセスしたりするのを防ぐことができます。

金融機関は、最小権限アクセスを徹底することで、漏洩した認証情報による悪影響を軽減し、重要なシステム全体において特権クリープを防ぐことができます。 金融業界においては、限定されたアクセス権であっても、膨大な量の機密性の高い顧客データや取引システムを危険にさらす可能性があるため、最小権限アクセスを徹底することが極めて重要です。

2. ジャストインタイム (JIT) アクセスにより常時特権のリスクを排除

セキュリティチームは、ベンダーに対し、重要なシステム、機密データ、取引インフラへの永続的なアクセスを決して付与してはなりません。常時アクセスは、ベンダーの作業が完了した後でもアクティブな認証情報が悪用される可能性があるため、継続的なリスクが生じます。 例えば、ベンダーが取引プラットフォームのトラブルシューティングを行う必要がある場合は、タスクを完了するのに必要な時間だけ、一時的なジャストインタイム (JIT) アクセスを許可します。 問題が解決されるとベンダーのアクセスは自動的に取り消されるため、残存する権限がなくなることが保証されます。

3. 認証情報の漏洩リスクを低減

従業員とベンダーは、メール、メッセージングプラットフォーム、スプレッドシートを通じて、認証情報、APIキー、その他のシークレットを決して共有すべきではありません。 金融業界では、認証情報が漏洩すると、不正アクセス、詐欺、顧客データの侵害につながる可能性があります。 このリスクを軽減するには、すべての認証情報を暗号化されたボルトに保存する必要があります。このボルトは、ロールベースのアクセスを強制適用し、すべての利用状況を記録し、基盤となる認証情報をユーザーに明かすことなくアクセスを仲介します。 例えば、金融データベースへの一時アクセスを必要とするベンダーは、時間制限付きアクセスを使用し、ボルトを介して接続します。セッション終了時には認証情報が自動的にローテーションされるため、不正利用を防止できます。

4. 多要素認証 (MFA) の必須化

多要素認証 (MFA) は、すべての従業員およびベンダーのログイン、特に特権アカウントに対して適用する必要があります。 金融業界では、漏洩した認証情報のみで、決済プラットフォームや顧客データベースにアクセスできることがあってはなりません。 MFAが設定されていない場合、盗まれた認証情報によってサイバー犯罪者が重要なシステムにアクセスできるようになり、詐欺やデータ漏洩のリスクが高まります。

金融機関は、従来型のコアバンキングプラットフォームや金融データを処理する時代遅れの取引システムなど、MFAをネイティブにサポートしていないシステムにもMFAを適用しなければなりません。 従来型インフラストラクチャと最新インフラストラクチャの両方にMFAを適用することで、複雑なハイブリッド環境のセキュリティを強化し、ベンダーのアクセスポイントを、不正アクセスからより効果的に保護できます。

5. すべてのベンダーセッションを監視して記録

セキュリティチームは、ベンダーがアクセスしたシステム、アクセス日時、実行した操作などを追跡することで、アクティビティを完全に可視化する必要があります。 こうしたレベルの監視体制は、ベンダーが決済処理プラットフォームや取引インフラなどの重要なシステムに対して業務を行う金融業界の環境において不可欠です。リアルタイムの特権セッション監視と記録を行うことで、ベンダーのアクティビティを発生したその場で捉え、必要な可視性が実現できます。 それによってセキュリティチームは、疑わしいアクティビティを即座に検出し、必要に応じて介入し、説明責任を維持できます。 例えば、セッション監視を行うことで、取引ログの改ざん、あるいは機密性の高い財務データのエクスポートの試みなどを発見できます。 ベンダーセッションの記録は、コンプライアンスおよび監査要件を満たすうえでも有用です。

6. 金融システム間での横方向の移動を防止

万が一ベンダーの認証情報が侵害された場合、サイバー犯罪者はそれらを使用して他のシステムにアクセスし、ネットワーク内で横方向に移動できるようになります。 こうした横方向の移動は急速にエスカレートし、軽微な漏洩が、顧客の財務データに広範囲に影響を与える重大事件へと発展する可能性があります。 金融業界の環境における最大のリスクの1つは、サイバー犯罪者が、ベンダーがアクセス可能なシステムを入り口として、重要な銀行あるいは決済処理インフラに侵入することです。 横方向の移動のリスクを軽減するために、金融機関は、ベンダーのアクセスを必要とされる特定のシステムにのみ制限すべきです。 ネットワーク全体へのアクセス権をベンダーに付与するのではなく、セッションベースの安全な方法で、セキュリティチームがアクセスを許可することが必要です。 このようにしてアクセスを制限することで、脅威を封じ込め、横方向の移動が発生する機会を減らすことができます。

7. アクセス制御の一元化

アクセス制御が一元化されていない場合、ベンダーによるアクセスは連携していない複数のツールやシステムに分散することが多くなり、ポリシーの適用やアクティビティの監視が困難になります。 アクセス管理を一元化することで、セキュリティチームは特権アクティビティをより明確に把握し、最小権限アクセスの適用を促進し、ベンダーのアクセスを一貫して管理することが可能になります。 このレベルの透明性は、SOX、PCI DSS、GLBAなどの厳しいコンプライアンス標準を満たすには不可欠です。なぜなら監査担当者は、アクセス制御が適用され、重要なシステムが保護されていることの証明を求めているからです。 またEU内で事業を行う金融機関や欧州の顧客に対しても、デジタルオペレーションレジリエンス法 (DORA) によって一元化されたアクセス制御が義務付けられており、第三者ICTプロバイダのアクセスに関する文書化された監督が必須となっています。

8. ベンダーの正式なオフボーディングプロセスを確立

金融機関は、プロジェクトやシステムで不要になったベンダーのアクセス権を直ちに取り消す必要があります。 正式なオフボーディングプロセスがなければ、休眠状態のベンダーアカウントや使用されていない認証情報がサイバー犯罪者に悪用される可能性があります。 効果的なベンダーオフボーディングプロセスには、アクセスの自動的な取り消し、ベンダーアカウントの無効化または削除、ベンダーがアクセスしていた認証情報のローテーション、監査証跡の確認などが含まれ、それらを実行することで、不正なアクティビティが発生していないと確認できます。 例えば、ベンダーが顧客データベースや支払いシステムへのアクセスを含むプロジェクトを完了した場合、そのアクセスを即座に取り消し、関連するすべての認証情報をローテーションする必要があります。 これにより、ベンダーの認証情報が侵害されたり漏洩したりした場合でも、機密性の高い金融データへのアクセスは不可能になります。

Keeperがベンダーのリモートアクセスを保護する方法

Keeperは、すべての特権セッションにゼロトラストセキュリティの原則を適用することによって、ベンダーのリモートアクセスを保護します。これにより、すべてのアクセスリクエストが検証され、どのユーザーも暗黙のうちに信頼されることはなく、認証情報もベンダーに表示されません。 Keeperでは、認証情報は暗号化ボルトに安全に保存され、各セッション後に自動的にローテーションされるため、ベンダーに露出することがありません。 Keeperは金融機関に対し、ベンダーが不要なセキュリティリスクを招くことなく、支払いプラットフォームや顧客データベースなどの重要なシステムに安全にアクセスできるよう支援します。

認証情報を露出させずに時間制限付きアクセスを付与

KeeperがJITアクセスを強制適用すると、ベンダーは、必要なときに限られた時間だけ重要なシステムに接続できます。 セッションはKeeperボルトから直接起動され、ベンダーが基盤となる認証情報を閲覧または操作することがないため、認証情報の盗難が防止され、常時アクセスが排除されます。

リアルタイムですべてのセッションを監視して記録

すべてのベンダーアクティビティは、リアルタイムのセッション監視と記録を通じて追跡されます。これには、キーストロークのログ記録と画面記録が含まれます。 金融機関はデプロイメント前に、セッション録画の実施方法が、事業を行う各管轄区域で適用される雇用およびプライバシー規制に準拠していることを確認する必要があります。 この機能は、ベンダーのセッション中に実行されたアクションを完全に可視化し、集中監視のためにセキュリティ情報とイベント管理 (SIEM) ツールと統合できます。 KeeperAIを使用することで、セキュリティチームはセッションアクティビティをリアルタイムで自動的に分析し、疑わしい行動を特定できます。 セッション録画は、インシデント発生後のフォレンジックレビューのための完全な証拠の証跡も提供します。

ゼロトラストセキュリティを活用して横移動を防止

Keeperはアウトバウンド専用のゲートウェイ接続を使用することで、インバウンドのファイアウォールルールやネットワークへの直接的な露出を必要とせずに、安全なリモートアクセスを提供します。 特定のリソースへのベンダーのアクセスを制限し、ネットワークへの直接アクセスを排除するため、不正ユーザーが金融システム間を横方向に移動するのを防止できます。 KeeperDBでは、ベンダーが隔離された環境でKeeperボルトから直接データベースを管理できるため、データベースアクセスのセキュリティがさらに強化されます。 これにより、認証情報が隠されたままであること、アクティビティが完全に記録されること、そしてベンダーが横方向の移動のための追加の経路を作成できないことが保証されます。

詳細な監査証跡でコンプライアンス対応をサポート

Keeperは、SOX、PCI DSS、GLBA、DORAなどの規制基準を満たしている証拠として使用できる詳細な監査証跡とセッション録画を生成します。 自動化されたレポート機能とベンダーアクセスの完全な可視性を活用することで、金融機関はコンプライアンス準拠を実証し、監査を簡素化し、きめ細かなアクセス制御が一貫して適用されていることを確認できます。

Keeperを使用してベンダーのリモートアクセスを管理

ベンダーのリモートアクセスの安全を確保することは、重要なシステムを保護し、顧客の信頼を維持し、規制要件を満たす必要のある現代の金融機関にとって不可欠です。 ベンダーのアクセスは、認証情報の悪用を防ぎ、SOX、PCI DSS、GLBAなどの厳格なフレームワークへの準拠を確保するために、慎重かつ継続的に監視し監査する必要があります。

ベンダーアカウントが1つでも侵害されると、規制上の罰則、顧客への通知義務、そして長期的な評判の失墜につながる可能性があります。 Keeperは、現代のセキュリティ上の課題に対処するために構築されたゼロトラストの特権アクセス管理 (PAM) ソリューションを、銀行や金融機関に提供しています。 ゼロトラストセキュリティとゼロ知識アーキテクチャを組み合わせることで、Keeperは、ベンダーが認証情報を閲覧したり操作したりすることを防ぎ、すべてのセッションが検証され、あらゆるアクティビティが完全に監査可能であることを保証します。

ぜひKeeperPAMのデモをご依頼の上、セキュリティやコンプライアンスを危険にさらすことなく、ベンダーのアクセスを安全に管理する方法をご確認ください。

現代の相互接続された銀行インフラにおいて、特権アカウントは取引プラットフォーム、決済システム、銀行アプリケーションにまたがって使用されています。 特権セッションをリアルタイムで把握することができない場合、取引が操作されたり、ログが改ざんされたり、データが盗難されたりした後になって初めて、銀行が不正使用に気付く可能性があります。 銀行が特権アクティビティを完全に把握するには、リアルタイムで特権セッションを監視することが必要です。それにより、不正を防止し、認証情報に基づく攻撃の影響を最小限に抑え、金融機関に課せられた規制基準を満たすことができます。

銀行における特権アクセスのセキュリティリスク

特権アクセスは、現代の銀行が置かれる環境において、重大なセキュリティリスクをもたらします。 金融機関は、取引、決済処理、ローン管理、顧客データストレージをサポートする相互接続されたシステムの上に成り立っているため、これらのシステムを維持管理する特権アカウントには、多くの場合、広範なアクセス権が付与されています。 銀行業務における特権アクセスに関連する主なセキュリティリスクは、以下のとおりです。

現代のサイバー攻撃に対し、従来の監査では不十分な理由

多くの銀行は、四半期ごとのアクセスレビューやセキュリティ情報とイベント管理 (SIEM) アラートを用いて特権アクティビティを監視していますが、こうした対策は後追いの対応です。 監査はセキュリティインシデント発生後の状況を検証するものであり、アラートは通常、事前に定義されたしきい値を超えた場合にトリガーされます。 その結果、正当な特権アクセスが巧妙に悪用された場合、長期間にわたって検出されないまま放置される可能性があります。

例えば、侵害された管理者アカウントが不正な送金を開始したり、悪意あるアクティビティを隠蔽するために取引ログの改ざんを試みたりするために使用される可能性があります。 こうした操作は正当なアカウントから行われているように見えるため、一部のアラートはトリガーされず、後日のレビューや調査が行われるまで不正行為が発見されない場合があります。 特権セッションをリアルタイムで可視化できない場合、銀行は、疑わしいアクティビティが発生した時点でそれを阻止するのではなく、経済的損害が発生し評判が失墜した後に、セキュリティインシデントの調査を行わなければならない状況に追い込まれます。

コンプライアンス対応のためのリアルタイム特権セッション監視

銀行業務において、規制コンプライアンスは特権アクセス管理 (PAM) と密接に関連しています。 リアルタイムの特権セッション監視を行うことにより、銀行は、特権アクセスに対する継続的な管理体制を実証することができます。 SOX、PCI DSS、GLBAなどのすべてのフレームワークにおいて、機密性の高いシステムやデータに対する強力なアクセス制御、監査対応、保護措置が求められています。

• SOX: 金融機関は、財務報告に影響を与えるシステムに対する有効な内部統制があることを証明しなければなりません。 リアルタイムの監視は、誰が重要なシステムにアクセスしたか、どのような変更が加えられたか、特定の行動が承認されたロールと一致しているかどうかの証拠を提供します。
• PCI DSS: 組織は、システムコンポーネントおよびカード保有者データ環境へのアクセスを追跡し、監視する必要があります。 特権セッション監視は、カード保有者データ環境内のアクティビティを追跡する詳細な監査証跡を作成し、すべての操作をユーザーにさかのぼって追跡できるようにします。
• GLBA: 銀行は顧客の財務情報を保護する必要があり、特権セッションを監視することで、機密情報へのアクセスを追跡して記録し、不審なアクティビティが発生した場合は調査することが義務付けられています。 監査証跡とリスクの高い行動をリアルタイムで終了させる機能により、セキュリティチームは不正なデータ漏洩の可能性を減らし、ひいてはコンプライアンス違反を防ぐことができます。

Keeper^®によるリアルタイムの特権セッション監視

Keeperを導入することで、銀行は、規制の厳しい環境において特権アクセスを監視し、管理できるようになります。 Keeperの主な機能は以下のとおりです。

Keeperで銀行の特権アクセスを保護

銀行は、不審なアクティビティを検出するのに、定期的な監査や遡及的なアラートだけに頼るべきではありません。 現代の金融機関が置かれている環境では、特権アカウントが取引プラットフォーム、決済システム、機密性の高い財務データにアクセスできるため、脅威の検出が遅れると、多額の金銭的損失や規制上の罰則につながる可能性があります。

リアルタイムの特権セッション監視は、銀行のセキュリティを受動的な制御から能動的な制御へとシフトさせ、金融機関が不正行為を発生時に特定し防止することを可能にします。 Keeperは、完全な可視性ときめ細かなアクセス制御を提供することで、銀行が厳格なコンプライアンス要件を満たしながら特権アクセスを保護できるよう支援します。

ぜひKeeperPAMの無料トライアルを開始いただき、特権セッションの監視強化と重要な金融システムの保護にどのように役立つかをご確認ください。

以下では、KeeperのJiraワークフロー連携について詳しく説明し、セキュリティチームがそれを活用するためのヒントとさまざまなセキュリティ上のメリットについてご紹介します。

KeeperのJiraワークフロー連携とは？

KeeperのJiraワークフロー連携により、シークレット管理と特権アクセス管理 (PAM) の機能が直接Jiraに導入されます。 ゼロトラストとゼロ知識のセキュリティアーキテクチャに基づいて構築されたKeeperの連携により、ユーザーはJira環境の中で、認証情報の取得、権限の変更、シークレット用の新しいレコード作成といった安全なアクセス操作のリクエストと承認が行えます。 KeeperのJira連携機能は、主に2つの部分で構成されています。

これらのコンポーネントが連携することで、安全な双方向ワークフローが作成されます。具体的には、リクエストはJiraで発生し、承認されたアクションはローカルでホストされているKeeperコマンダーによってKeeperボルトAPIを介して実行されます。 KeeperのJira連携機能により、チームはJira環境を離れることなく認証情報を安全に管理し、一時アクセスをリクエストできます。

KeeperのJira連携機能がセキュリティチームにもたらすメリット

KeeperのJira連携機能はAtlassian Forgeプラットフォーム上に構築されており、大企業向けセキュリティ基準を満たすネイティブなJira体験を実現します。 連携機能がインストールされると、Jiraの課題内に専用のKeeperパネルが表示され、セキュリティーチームは、新しいツールを導入したり、業務の集中を妨げたりすることなくアクセスを管理できます。 ユーザーはJira環境で直接、暗号化されたKeeperボルトにレコードを作成、更新、共有することができます。 すべてのシークレットはKeeperのゼロ知識アーキテクチャによって保護されており、機密データはエンドツーエンドで暗号化されたまま、完全にユーザーの管理下に置かれます。 この連携は、きめ細かなレコード権限や安全なフォルダ共有にも対応しており、手作業によるフォローアップなしに、最小権限アクセス、ロールベースの制御、時間制限付きの権限を適用できます。

Keeperを利用している組織がこの連携を取り入れると、セキュリティチームがJiraチケット内で直接アクセスリクエストのレビューや承認を行うことができます。 リクエストしたユーザーとその理由をリアルタイムで確認できるため、チームは即座にアクセスを承認または拒否でき、きめ細かなアクセス制御を維持しつつ遅延を減らすこととができます。 すべてのアクションはタイムスタンプとユーザーの帰属情報とともにJiraコメントとして自動的に記録されるため、組織は組み込みの監査証跡を確認して、コンプライアンス報告を簡素化し、アクセスの利用状況を完全に把握できます。

シークレットと承認をJiraのワークフローに連携するメリット

シークレット管理とアクセス承認をJiraに直接連携することで、チームの日常業務が変わります。 アクセス承認を個別のプロセスとして扱うのではなく、KeeperのJira連携機能を利用すれば、チームが安心して使っているいつものワークフローにセキュリティ制御を組み込めます。

迅速な対応

Jira環境内でアクセスのリクエストと承認を処理すれば、メールやSlackのようなチャットツールで機密情報をやり取りする必要がなくなります。 承認、認証情報の変更、アクセスの更新を、作業の追跡に使用している同じJiraチケットで行えるため、一件一件の問題に対処する時間を短縮し、セキュリティを損なうことなく作業の流れを維持できます。

セキュリティ態勢の改善

KeeperのJira連携機能により、最小権限アクセスとシークレットの安全な取り扱いが即時に強制されます。 リクエストは正当な理由に基づき、かつ時間制限が設けられるため、長期間有効な認証情報のリスクを最小限に抑えつつ、必要な場合にのみアクセスが許可されます。

可監査性の強化

各リクエスト、承認、アクションは自動的にJiraの課題の一部として記録され、明確で詳細な監査証跡が作成されます。 この記録からタイムスタンプとユーザーの属性を確認できるため、セキュリティインシデントの調査が容易になり、責任の所在を明確にすることができます。

ツールの乱立を解消

シークレット管理と承認を分けるのではなく、セキュリティチームはJira環境の中で権限昇格ワークフローなどの管理を一元的に扱えるようになります。 これにより、連携機能のない複数のツールが不要になり、機密情報が安全でない方法で共有されるリスクが軽減されます。

コンプライアンスの枠組みとの整合

KeeperのJira連携機能により、構造化された承認ワークフローを強制することで、管理者はロールベースのアクセス制御 (RBAC) と包括的なログ記録を徹底できます。 これにより、組織は一般的なコンプライアンス要件を満たしつつ、アクセスに関する意思決定や内部ガバナンスポリシーに対する完全な可視性と統制を維持することができます。

Keeperを活用してシークレットとアクセス制御をJiraに導入

Jiraでシークレットの管理と特権アクセスの承認を処理できれば、セキュリティチームの業務方法にプラスの影響が現れます。 KeeperのJira連携機能は、ゼロ知識セキュリティワークフローを既存の作業システムに直接組み込むことで、重要なセキュリティギャップを解消します。 この連携により、Jiraを操作しながら、認証情報の要求、アクセスの承認、権限昇格の処理をすべて1つの安全な場所で行えるようになります。

KeeperのJira連携機能の設定方法をご覧になり、アクセスワークフローを効率化し、セキュリティ制御を強化しましょう。

取引プラットフォームは市場インフラや機密性の高い顧客データに直接接続されているため、サイバー犯罪者にとっては非常に魅力的な標的です。 取引プラットフォームが侵害されると、サイバー犯罪者は注文を操作したり、取引を妨害したり、機密性の高い金融データにアクセスしたりすることができてしまいます。 従来の境界防御型のセキュリティモデルは、現代の環境では不十分であることが多く、特に、取引のインフラが相互接続されたクラウドシステムや第三者をまたいで構築されている場合に顕著です。

投資会社は取引プラットフォームを保護するために、Keeperを活用してゼロトラストのセキュリティ原則を実施し、特権アクセス管理 (PAM) を導入して機密認証情報を保護すべきです。

サイバー犯罪者が取引プラットフォームを標的にする理由

取引プラットフォームは、資金の流れと特権アクセスが交わる場所であるため、サイバー犯罪者にとって非常に価値の高い存在です。 業界の中でも特に、金融サービス業界でアカウントが侵害されると、金銭的損失、コンプライアンス違反、評判の毀損に直接つながる可能性があります。 サイバー犯罪者が取引プラットフォームを標的にする主な理由を以下に示します。

投資会社が抱える代表的なセキュリティリスク

取引プラットフォームは収益創出の中核を担っているため、アクセス制御やセッション監視に弱点があると、金融業界に深刻な影響を招く可能性があります。 以下に、投資会社が抱える代表的なセキュリティリスクの一部を説明します。

特権クリープ

特権クリープは、ユーザーが現在のロールに必要な範囲を超えて、徐々にアクセス権限を増やしていくことで発生します。 投資会社では、トレーダーは戦略や資産を変更することがあり、それと同時にITチームではシステム間で担当をローテーションしています。 時間が経っても古い権限設定がレガシーシステム内でアクティブなままになり、隠れたセキュリティリスクが生じます。 また、取引システムや機密クライアント情報へのアクセス権が不要になっても、その権限をユーザーが保持している場合があります。その認証情報が侵害された場合、サイバー犯罪者は広範なアクセス権を継承し、悪用できてしまいます。

内部脅威

金融環境においては、悪意によるものであれ過失によるものであれ、内部アクセスが重大なリスクをもたらします。なぜなら、取引戦略や顧客データ、取引履歴などに直接アクセスできてしまう可能性があるためです。 正当なアクセス権を持つ従業員、請負業者、ベンダーでも、故意に権限を悪用したり、気づかぬうちに機密データを露出させてしまう可能性があります。 悪意がなくても、特権ユーザーがセキュリティプロセスを回避したり、認証情報を再利用したりすると、制御を弱体化させる要因になり得ます。

リアルタイムの可視化の欠如

特権セッションや設定変更の継続的な監視が行われていない場合、監査時やセキュリティインシデントが深刻化した後でようやくログの改ざんやデータの変更が発見されるという事態を招くかもしれません。 取引環境では不審なアクティビティの検知の遅れにより、多額の金銭的損失や機密データの漏えい、さらには業務停止の長期化につながる恐れがあります。

外部ベンダーによるアクセス

投資会社はトレーディングコンサルタントやマーケットデータベンダーなどの外部サービスに依存しています。 これらの第三者は通常、たとえ一時的であっても、サポートやメンテナンスのために内部システムへの特権アクセスを必要とします。 しかし、外部ベンダーの認証情報が侵害されると、そのアクセスを通じてサイバー犯罪者が重要な取引インフラに直接侵入する可能性があります。 ベンダーのアクセス制御が不十分な場合、サプライチェーン攻撃のリスクが高まり、攻撃対象領域が拡大するため、ベンダーのアクセスを安全に管理することが不可欠です。

フィッシング攻撃

フィッシング攻撃が金融サービス業界で成功した場合、認証情報の盗難、マルウェア感染、ランサムウェア攻撃の実行につながる可能性があります。 金融サービスを標的とした最も一般的なフィッシング攻撃はスピアフィッシングです。サイバー犯罪者は標的となる個人を調査し、彼らが利用するシステムを理解した上で、疑いを回避するために緊急性を装った個別メッセージを送信します。 一度アカウントが侵害されると、そのアカウントを利用して取引環境内にランサムウェアを拡散させることが可能になります。

コンプライアンスに関わる圧力

金融業界は、SOX (米国のサーベンス・オクスリー法)、GLBA (米国のグラム・リーチ・ブライリー法)、ISO 27001などの厳格なコンプライアンスの枠組みの下で運営されており、きめ細かなアクセス制御、詳細な監査証跡、明確な説明責任は必須です。 投資会社は、誰が重要なシステムにアクセスしたか、データにどのような変更が加えられたか、職務分掌が遵守されていたかどうかを証明できなければなりません。 取引の環境では職務分掌が特に重要であるため、一個人がシステムの修正、取引実行、承認といった、複数の段階をコントロールすることを防いでいます。

Keeperがゼロトラストセキュリティで取引プラットフォームを保護する方法

取引環境における特権アクセスは、取引や金融データの保護に影響を及ぼす可能性があるため、ゼロトラストセキュリティの概念が極めて重要です。 Keeperのアイデンティティを中心に据えたポリシー主導のアプローチは、ネットワークの場所に関わらず、どのユーザー、デバイス、システムも本質的に信頼してはならないという前提に基づき、投資会社が特権アクセスを一元的に管理し、強力な認証を実施し、機密性の高い認証情報を保護できるよう支援します。 従来の境界防御型セキュリティに頼らずに、Keeperはエンドツーエンドの暗号化を活用してユーザーとシステムの間のデータを保護し、取引プラットフォーム内のデジタルアイデンティティとセッションを安全に管理します。

特権アカウントに多要素認証 (MFA) を適用する

Keeperは多要素認証 (MFA) をサポートしており、取引環境の管理されたアクセスワークフローに適用できます。また、ハードウェアセキュリティキー、パスキー、生体認証といった様々なパスワードレス認証方法にも対応しています。 Keeperを利用することで、パスワードが漏えいした場合でも、サイバー犯罪者が機密情報に簡単にアクセスできないように防ぐことができます。 認証を強化することで、投資会社は管理者、DevOpsチーム、第三者が認証情報ベースの攻撃の標的になる可能性を減らします。

ジャストインタイム (JIT) アクセスにより常時特権のリスクを排除

Keeperはロールの定義に則したジャストインタイム (JIT) アクセスを有効にすることで、特権アカウントに付与されている常時アクセスを排除します。ロールベースのアクセス制御 (RBAC) により、ユーザーは自身の職務に応じて必要な権限のみを付与され、SCIMによる自動プロビジョニングにより、オンボーディング時やオフボーディング時の管理も強化されます。 Keeperは、過剰な権限を排除して取引システム全体で特権クリープを防止し、職務分掌を徹底します。 Keeperを利用して特定のタスクや時間枠に限定してアクセス権を付与し、必要がなくなったら自動的に権限を取り消して、攻撃対象範囲を最小限に抑えることができます。

認証情報の漏えいを防止し、横方向の移動を抑制

一部の取引環境では、特権アカウントが管理者の認証情報にアクセスできる場合がありますが、Keeperでは特権セッション中に認証情報がエンドユーザーに表示されないようにして露出を防ぎます。 アクセスはユーザーのボルトから開始され、各接続の開始時に認証情報がセッションに注入されるため、安全なアクセスが確保されます。認証情報が盗まれた場合でも、自動パスワードローテーションにより有用性が制限されます。 Keeperのアウトバウンド専用の暗号化された接続モデルでは、インバウンドのファイアウォールルールは不要です。 これらの対策により、認証情報が収集されることを防ぎ、取引インフラ内での横方向の移動の可能性を大幅に減らします。

リアルタイムで特権セッションを監視して記録

金融環境においては、特権操作が取引の実行やデータの整合性に大きな影響を与える可能性があるため、完全な可視性は極めて重要です。 Keeperはサポート対象プロトコルでの画面記録やキーロガー機能を備えているため、特権セッションをリアルタイムで監視および記録できます。 KeeperAIにより、セキュリティチームは記録されたアクティビティを迅速に分析して疑わしい行動を特定し、フォレンジック調査を進めることができます。 セッション録画を手作業で確認せずとも、KeeperAIの分析を利用して異常を検出し、監査を簡素化し、インシデント対応時間を改善できます。 Keeperは、セキュリティチームがセッションデータをSIEMプラットフォームに統合して集中監視するのにも役立ちます。 これらの詳細な監査証跡でコンプライアンス要件への対応を支援するとともに、特権操作を透明化し、監視を行うことで、取引実行の整合性を保護します。

最小権限の原則で取引エンドポイントを保護

取引インフラシステムは、特権の悪用やマルウェア感染から守られなければなりません。 投資会社はKeeperの最小権限アクセス適用の機能を活用することで、不要なローカル管理者権限を排除しつつ、事前に承認されているプロセスにのみ特権アクセスによる実行を許可できます。 投資会社は、関連するすべてのエンドポイントで管理者権限を制限することで、侵害されたアカウントによるシステム設定の操作、悪意のあるソフトウェアの展開、取引業務の妨害といったリスクを軽減します。

認証情報を共有せずに安全なベンダーアクセスを確保

業務を効率良く遂行するために、外部ベンダーは通常、取引システムへの一時的な特権アクセスを必要とします。 そのような場合にKeeperでは、認証情報を共有することなく、時間制限付きでポリシーに基づいたベンダーアクセスを有効にします。 セッションはボルトを介して安全に開始され、ベンダーのアクティビティを完全に把握するために記録することもできます。 Keeperでは、ベンダーアクセスを管理し、共有された管理者認証情報を排除することで、サプライチェーンリスクを抑え、侵害されたベンダーアカウントが重要な取引インフラにもたらしかねない甚大な被害を最小限に抑えます。

Keeperで取引のセキュリティを強化

現代の取引環境において、特権アクセスは規制遵守やデータの完全性のみならず、投資家の信頼を確保する上で重要な要素です。 投資会社は、取引システム、クラウド環境、データベースの全体にわたり特権セッションを保護するゼロトラストセキュリティモデルを採用する必要があります。 常時アクセスを排除し、強力な認証を徹底し、特権アカウントによる操作を継続的に監視することで、投資会社は情報漏えいや取引改ざんのリスクを低減できます。 ゼロトラストおよびゼロ知識を基盤としたセキュリティアーキテクチャにより、Keeperは投資会社が最新の取引インフラを保護するために必要な完全な可視性と制御機能を提供します。

ぜひKeeperのデモをご依頼いただき、取引プラットフォームのセキュリティ強化の具体的な方法をご確認ください。

Keeperのゼロ知識アーキテクチャにより、共有データを復号可能なのは、許可されたユーザーのみに限定されます。日常的な共同作業からエンタープライズグレードの特権アクセス管理 (PAM) まであらゆる用途に合わせて柔軟に共有方法を選択できます。

以下では、Keeperでの安全なレコード共有の仕組みと段階を追った共有手順について説明します。

Keeperでの共有の種類

Keeperは、個別レコードの共有から特権リソースの共有まで、幅広い用途に対応するために複数の共有方法を選択できます。

レコードとファイルの共有

別のKeeperユーザーと1つのレコードやファイルを簡単に共有したり、アクセスを制御するために特定の権限を割り当てたりできます。 また、閲覧専用、編集、共有、編集・共有、所有権の移転などさまざまな権限レベルを設定できます。 添付ファイルは、レコードと同じ権限モデルを引き継ぎます。

共有フォルダ

共有フォルダを使用すると、特定のユーザーまたはKeeperチームと複数のレコードをまとめて共有できます。 権限レベルはユーザーとレコードの両方に設定可能であるため、部門、プロジェクトチーム、継続的な連携に最適です。

ワンタイム共有

ワンタイム共有方式を利用すると、Keeperアカウントを所有していない人とも、所定の期間内にレコードを安全に共有できます。 そのため、請負業者、ベンダー、新規雇用者のオンボーディング時に特に重宝します。 双方向共有機能によりレコードの受領者はフィールドの編集、ファイルのアップロードが可能です。また、変更を加えた場合は、そのユーザーのボルト内のレコードに保存されます。

段階的手順については、「Keeperのワンタイム共有の仕組み」をお読みください。

時間制限付きアクセス

この方法を使用すると、認証情報やシークレットをKeeperの他のユーザーと一時的に共有できます。 所定の時間が来るとアクセス権は自動的に失効するため、長期的な漏洩リスクが抑えられ、ジャストインタイム (JIT) アクセスモデルに適合します。

自動消滅機能付きレコード

このレコードはワンタイム共有レコードの一種で、共有・閲覧後に共有側・受領側の両方から自動的に削除されます。 そのため、想定以上の期間、機密情報が保持されることはありません。

PAMリソースの共有

この方法では、基盤となる認証情報を開示せずに、ゼロトラストの特権セッションにアクセスできます。 認証情報は完全に保護されたままの状態で、ユーザーは制御された安全なセッションを通じてインフラに接続します。

共有管理者

共有管理者はロールベースの権限であり、基盤となる認証情報を所有せずに、共有フォルダや共有レコードに対して高度なアクセス権限を有します。 この仕組みにより、職務分掌とガバナンスへの一元アクセスが可能になります。

Keeperでの共有方法

以下では、Keeperで安全にレコードを共有する方法を段階的に説明します。

ステップ1: レコードの選択

共有するレコードを開き、[共有] ボタンをクリックします。

ステップ2: 受領者の追加

[ユーザーを追加] タブで、メールアドレスフィールド内をクリックし、レコードを共有するKeeperユーザーのメールアドレスを入力します。

ステップ3: ユーザー権限の割り当て

権限ドロップダウンを使用して、適切なアクセスレベルを次のオプションから選択します。

ステップ4: 共有関係の確立

そのユーザーとの共有が初めての場合は、メールでの共有リクエストの承諾を促すメッセージがKeeperに表示されます。 承諾すると、そのユーザーが信頼できる共有相手に加わり、今後選択できるようになります。

同じテナント内のビジネスユーザーとエンタープライズユーザーは、通常、共有関係が確立済みであるため承諾不要な場合もあります。

ステップ5: アクセス権の管理または取り消し

レコードの共有画面から、表示されている共有ユーザーを対象に権限の変更やアクセス権の取り消しが随時可能です。

Keeperで安全にデータを共有開始

Keeperならデータの共有が安全で手軽になり、 共有データへのアクセス、権限、監視をあらゆる段階でコントロールできます。 単一のパスワードを共有する場合でも、チーム全体で共同作業する場合でも、適任者による必要な時間に限定した機密情報へのアクセスが徹底されます。

早速、個人向けまたはビジネス向けの無料トライアルを開始して、それぞれに適した安全な共有機能をご体験ください。

以下では、医療機関がフィッシング攻撃から患者データを保護する方法として、職員に対するフィッシング意識向上トレーニング、高度な認証方法の強制、信頼性の高いパスワードマネージャーの使用について説明します。

医療業界がフィッシング攻撃の標的となる理由

サイバー犯罪者はなぜ医療機関にフィッシング攻撃を頻繁に仕掛けるのでしょう。その理由は保有データの価値とハイペースの業務環境、各地に分散する多数の医療従事者にあります。 医療業界では大半の業界と違い、機密性の高い個人情報を扱い、重要な財務取引を処理し、人命がかかわるサービスを提供します。これら要素が重なることで、フィッシング攻撃に対して特に脆弱になっています。

価値ある患者データ

医療機関には、処方箋、医療記録、診断、保険情報、保険証番号など、大量の個人健康情報が保存されています。 サイバー犯罪者はこれらの情報を大半の個人識別情報 (PII) より重要視しています。クレジットカードを筆頭にPIIはすばやくキャンセル・再発行できるのに対し、 医療記録や保険証番号は簡単に再発行できず、長期的な悪用価値が高いためです。 盗まれた健康情報は、なりすましによる健康・医療保険の不正請求、保険金詐欺、偽造請求書詐欺に悪用される危険性があります。 医療データは多層的かつ永続的であるため、ダークウェブでは財務データより高額で取引されることが多く、病院や保険業者は魅力的な金づるとなっています。

ハイペースで動く臨床環境

医療現場で臨床医や職員は患者の緊急ニーズに対応しており、大きなプレッシャー下にあります。 特に、緊急治療室 (ER) や心臓内科系集中治療室 (CCU) での対応は一刻を争い、攻撃者はこの弱みを突きます。例えば、大至急対応が必要、重要なシステムの更新が必須、アカウントのアクセス権が失効間近といった切羽詰まった内容のフィッシングメールが届くと、 医療関係者はよく考えずに開封してすぐ対応しがちです。 多忙であるため、送信者のドメインを確認したり、不審なリンクの上にカーソルを重ねたり、一方的なアクセスや認証情報の要求の正当性を確認したりする時間がありません。 サイバー犯罪者はそうした事情を悪用して、大規模なフィッシング攻撃を企み、成功確率を高めようとします。

各地に分散する遠隔治療従事者

大規模病院では、数千人の医療従事者を雇用するだけでなく、第三者ベンダーを利用し、保険業者とも連携しています。その結果、相互に関連し合う広大なシステムが構築されています。 遠隔医療の普及が加速するにつれ、医療機関は電子健康記録や患者ポータルなどのプラットフォームの保護を徹底するために、安全なリモートアクセスを拡大する必要があります。 ユーザー、デバイス、接続が新たに増えるたびに、攻撃対象領域が拡大し、フィッシングリスクが高まるためです。

医療機関を狙ったフィッシング攻撃事例

サイバー犯罪者は医療機関にフィッシング攻撃を仕掛ける際に、実際の臨床過程と作業手順を踏まえてさまざまな戦術を用意します。 以下では、一般的なフィッシング攻撃事例を取りあげます。

医療機関がフィッシング攻撃を見抜く方法

医療業界におけるフィッシング攻撃の初歩的な防止策として、従業員研修、強力な認証、きめ細かなアクセス制御、明確なインシデント対応計画を挙げることができます。

フィッシング意識向上研修を実施する

職員はフィッシング攻撃の主要ターゲットであるため、防止策に関する定期研修が不可欠です。 臨床医、請求担当者、管理者、IT部門職員は、やり取りを行う前に不審なメールを見破る必要があります。 そのためには、なりすましメールのドメインを識別する、リンクをクリックする前にカーソルを合わせる、身に覚えのない添付ファイルは絶対にダウンロードしない、不審なメールは報告するといった対策を研修で学びます。 さらに、フィッシング攻撃の予行テストも定期的に実施して、職員のセキュリティ意識で改善が必要な領域を特定します。

多要素認証 (MFA) の利用を浸透させる

フィッシング攻撃の企みは成功するものもあります。そのため、多要素認証 (MFA) を可能な限り浸透させて、 盗んだ認証情報だけでは医療システムに不正アクセスできない体制を整える必要があります。 中でも、職員のメールアカウント、電子健康記録システム、遠隔医療プラットフォーム、すべての特権アカウントへの適用は不可欠です。 フィッシング攻撃に対する防御力は、使用する要素ごとに異なり、傍受や悪用されやすいSMS経由のコードより、ハードウェアセキュリティキー、パスキー、生体認証を使う多要素認証の方が効果的です。

最小権限アクセスとゼロトラストセキュリティを強制する

個人健康情報へのアクセス権を制限することで、アカウント侵害に伴う損害を抑制できます。 最小権限アクセス方式では、ユーザーに付与するアクセス権が業務遂行に必要なシステムやデータに制限されます。 例えば、請求データへの完全なアクセス権が看護師に、必要でないリソースへのアクセス権が外部ベンダーに付与されることはありません。ロールベースのアクセス制御 (RBAC) では、個人でなく役職に基づいて権限を割り当てることで、最小権限アクセスを実現します。 この方式を「ゼロトラスト」というセキュリティ原則と組み合わせると、すべてのアクセス要求が継続的に検証されるようになり、認証情報が侵害された場合でも、サイバー犯罪者によるネットワーク内での水平移動を阻止できます。

フィッシング防止フィルターでメールのセキュリティを強化する

高度なメールセキュリティソリューションを導入すると、医療従事者の受信トレイに届く前に多数のフィッシングメールをはじき出せます。 フィッシング防止用の最新フィルターシステムでは、AIベースの脅威検知、URLスキャン、ドメイン認証プロトコルを使用して、悪意の有無を判別するためにリンクや添付ファイルが分析されます。 ただし、高度なフィルターシステムを導入する場合でも、職員がクリックまたはダウンロードする前にリンクや添付ファイルの安全性を検証する必要があります。

実効力の高いインシデント対応計画を策定する

医療機関は、どんなに強力な予防策を講じている場合でも、フィッシング攻撃の成功に備える必要があります。 その鍵となるのが明確なインシデント対応計画であり、潜在的な損害を最小限に抑え、可能な限り早い段階でセキュリティインシデントを処理するのに役立ちます。 インシデント対応計画が効果を発揮するには、以下について定める必要があります。

• 不審なメールを報告するための明確な手順
• コンプライアンスチーム向けのルール
• 侵害されたネットワーク上のアカウントの隔離ステップ
• フォレンジック調査の手順

安全なパスワードマネージャーを購入する

職員が難易度の低いパスワードを使用するか、複数のシステムで同じパスワードを使い回す場合、ログイン情報が1度侵害されるだけで、多数の特権アカウントへのアクセス権がサイバー犯罪者の手に渡る危険性があります。 医療機関は、Keeper^®をはじめとする安全なパスワードマネージャーを導入することで多くのメリットが得られます。例えば、パスワードの使い回しがなくなり各アカウントに固有のパスワードが生成されます。また、認証情報は安全に保存され、チームメンバー間でアクセス権を安全に共有できます。 共有アクセスを必要とする環境では、安全なパスワード管理は必要不可欠な要素です。

Keeperで患者データを保護

フィッシング攻撃は、医療業界で患者の安全と規制遵守を直接リスクにさらします。 医療機関はサイバー犯罪者の先手を打つために、既存のセキュリティ施策の見直し、フィッシングテストの実行、フィッシングに強い多要素認証手段の適用、職員向けの意識向上研修といった対策を講じる必要があります。 Keeperなどの安全なパスワードマネージャーを使用して防御を強化すると、個人健康情報に加え、職員と患者も保護できます。

今すぐKeeperの無料トライアルを開始し、組織全体の患者データと機密性の高い臨床ワークフローを保護しましょう。

AIエージェントと自動化がクラウド、CI/CD、SaaSの環境で拡大するにつれて、ボット、サービスアカウント、ワークロードのアイデンティティがセキュリティチームがそれらをインベントリ管理できる速度を超えて急速に増殖し、アイデンティティの拡散に拍車がかかっています。 これはシークレットの散逸と組み合わされることが多く、APIキー、トークン、証明書が明確な所有者やローテーションがないまま増加し、過剰な権限と限られた可視性しかない特権アクセスパスをさらに生み出す結果を生み出しています。

このブログでは、アイデンティティの拡散が加速している理由、それによりもたらされるセキュリティおよびコンプライアンス上のリスク、そして組織がKeeperのようなアイデンティティセキュリティとガバナンスのプラットフォームを利用して拡散を制御する方法について詳しく説明します。

アイデンティティの拡散が増加している理由

AIエージェントは、誰かが「承認」をクリックするのを待つのではなく、ほとんどの場合、指定されたことを実行するように設計されています。 「新しい環境のプロビジョニング」のような目標を1つ与えるだけで、クラウドリソースの稼働、APIの呼び出し、CI/CDジョブの開始、リポジトリからのプル、データベースのクエリ、管理コンソールでの設定の確認といった作業を開始します。 しかし、高速に動作するには、マシン間でのアクセスが必要です。これは通常、サービスアカウント、ワークロードID、クラウドロール、証明書、その他のNHIの作成 (または再利用) を意味します。

そこにアイデンティティのスプロールとも呼ばれる、アイデンティティの拡散が忍び寄ってきます。 人間と非人間アイデンティティは、ツールやプラットフォームを横断して、チームが明確な所有権を割り当て、一貫した管理の適用、または作業終了後のアクセスの取り消しを実行するよりも速いスピードで広がっています。

アイデンティティの拡散によるリスク

NHIが増加するにつれ、特権アクセスはパイプライン、クラウドロール、統合、スクリプト全体に分散され、その所有権や有効期限に一貫性がないままになることが多く発生しています。 そのため、攻撃者は侵入経路が増え、横方向に移動し、権限を昇格させて悪用しています。その結果、監査や調査が必要以上に困難になります。

ほとんどの問題は、いくつかの予測可能なパターンで現れます。

• サービスアカウントは、プロジェクトやワークロードのために作成され、所有者が変更になると、孤立し、管理の目が届かない状態になります。 キーとトークンを無効にする責任者がいないため、それらは有効な状態のままで放置されます。
• 自動化では、障害を回避するために権限が過剰に設定されることが多く、その結果、ジョブが完了した後もそれらの権限が長期間そのままにされることがあります。スタンディング特権がいつの間にかデフォルト設定になっています。
• 共有された認証情報やコード、設定ファイル、パイプラインにハードコードされたシークレットは、追跡するためのアクセスが困難で、再利用が容易になります。
• エージェントや自動化ツールが機密性の高いシステムにアクセスした場合、チームは、それが何にアクセスしたのか、何を変更したのか、なぜそのレベルのアクセス権限を与えられたのかといった基本的な質問に答えるのに苦労します。

これらの技術的な失敗は、すぐに実際の運用リスクへと変わります。

• 長期にわたるシークレットとスタンディング権限があると、攻撃者にアクセスを拡大する時間と余地を与えるため、認証情報が窃取されると、ラテラルムーブメントが可能になり、特権昇格が容易になります。
• 所有権が不明確で、アクセス経路がツール、チーム、環境に分散している場合、インシデント対応に時間がかかります。
• 承認手続きに一貫性がなく、証拠が不完全な場合、特に特定のIDに関連付けられた明確なログやセッション活動を得られない場合、監査への準備態勢が損なわれます。

Keeperを利用して、アイデンティティの拡散を削減する方法

アイデンティティの拡散を減らすことは、出現するすべての新しいアイデンティティを追跡するということではありません。 これは、たとえアイデンティティの数が増えても、特権アクセスが一貫して管理されるようにシステムを変更することを意味します。 以下のようにKeeperを利用してこの問題を解決できます。

1. 集中型特権アクセス制御

クラウドコンソール、CIツール、踏み台サーバー、共有シークレットなどに特権アクセスが分散していると、全体像を把握できません。 特権アクセスワークフローを集中管理することで、次のような基本的な質問に即座に回答できます。

• どのアイデンティティが特権アクセス権を持っているのか？
• どこで認証されているのか？
• アクセスを承認したのは誰で、どのくらいの期間許可されたのか？
• セッション中に何が起こったのか？

KeeperPAM^®は、SSH、RDP、VNC、HTTPS、一般的なデータベースなどのプロトコルへのサポートに対応し、クラウドおよびオンプレミスの環境にわたるサーバー、データベース、ウェブアプリなどへの特権アクセスを集中管理します。

2. 時間制限付きのアクセスで最小権限を強制

常時付与される特権アクセス権である、スタンディング特権は、アイデンティティの拡散に最も大きく寄与している要因の一つです。 AIエージェントやその他のNHIは継続的に実行する必要があることが多く、チームは自動化を壊さないように幅広い権限を与えることがよくあります。 時間の経過とともに、そうした「一時的な」アクセス許可は、誰も再びアクセスしない恒久的なアクセス経路へと変化していきます。

KeeperPAMを利用すると、リソースへのアクセス時間を制限して、ジャストインタイムアクセスへの移行とスタンディング権限の削減を促すことができます。 承認された期間が終了すると、アクセス権は自動的に取り消されるため、タスク完了後も権限が長期間にわたって気づかれないまま保持されることはありません。

3. 可能な限り認証情報の露出を回避

AIエージェントに作業を任せるために、チームはAPIキーやトークンなどのシークレットを提供することがよくあります。 そのようなシークレットは急速に広まり、アイデンティティの拡散の危険に及びます。

KeeperPAMは、人間とAI駆動の自動化の両方に対する特権アクセスを仲介することで、そのリスクを軽減します。 リモート特権セッションでは、ユーザーやエージェントが本質的な認証情報やSSHキーに触れることはありません。 人間、エージェント、ワークロード間でシークレットを分散させるのではなく、アクセス権がプラットフォームを通じてルーティングされるため、認証情報は保護され、すべての活動を可視化でき、監査に対応できます。

4. ローテーションとライフサイクル管理を自動化

たとえ強力な検出機能があっても、漏洩したシークレットが有効なままであれば、根本的な問題を解決することはできません。 認証情報の有効期間が長いほど、再利用、コピー、忘れられる可能性が高くなります。特に、NHIが短期間のワークロード用に作成される一方で、その背後にあるシークレットは長期間有効である場合、この傾向は顕著です。GitGuardianレポートでは、2022年に公開リポジトリで晒されたシークレットの70%は現在もなお有効で、ローテーションと修復のギャップが指摘されています。

KeeperPAMは自動認証情報ローテーションをサポートしているため、特権認証情報が固定されたままになることを防ぎます。 これにより、露出期間が短縮され、漏洩した認証情報が長期的なアクセス経路になるリスクが軽減されます。

5. セッションの活動とログを取得し、説明責任と監査への対策固め

AIエージェントや自動化パイプラインが機密システムに触れる場合は、証拠が必要です。

KeeperPAMは特権アクセスセッションのセッション録画と再生を提供します。 リモートセッションは、SSH、RDP、VNC、データベースセッション、ウェブブラウザセッションなど、プロトコル全体で画面とキーボードの操作を記録できます。これにより、ハイブリッド環境でも一貫した証拠を作成できます。

コンプライアンスやインシデント対応に関しては、KeeperPAMは録画、詳細なログ、自動レポートを組み合わせて、誰がいつアクセスを開始し、どのリソースにアクセスしたか、どのような活動が行われたかなどの監査上の質問に迅速に回答できるようにします。KeeperAIは、活動に関して暗号化されたサマリーを提供し、リスクの高いセッションを自動的に終了します。 また、イベントは主要なセキュリティ情報とイベント管理 (SIEM) のプラットフォームにも記録されます。これは、特権セッションの活動とエンドポイント、クラウド、ネットワークツールからのアラートを関連付けるのに役立ちます。

アイデンティティの拡散をコントロール

AIエージェントは企業全体の自動化を加速するとともに、サービスアカウント、ワークロードID、クラウドロール、証明書などのNHI (非人間アイデンティティ) の作成も加速しています。同時に、これらのアイデンティティが使用するシークレット (APIキーやトークンなど) の作成も加速しています。 こうしたアイデンティティの増加が管理のペースを上回ると、特権アクセスが広がり、スタンディング特権がそのままになり、セキュリティチームは何にアクセスされたのか、そのアクセスの理由を把握できなくなります。

KeeperPAMは、特権アクセスの集中管理、期間を限定した最小権限の強制、認証情報の露出の削減、監査対応のセッション証拠の取得を行うことで、アイデンティティの拡散を抑制します。

デモをリクエストして、KeeperPAMを利用して、どのようにアイデンティティの拡散を抑制できるかを確認してください。

このブログでは、この3つの柱が何を意味し、この3つの柱がどのように連携して機能するのか、そして自動化やエージェント駆動のワークフローを拡張する際にどのように評価し、ギャップやストレスを生じさせることなく展開する方法について、詳しく解説します。

最新のアイデンティティセキュリティプラットフォームの構成と、その重要性

アイデンティティセキュリティプラットフォームは、人間と非人間アイデンティティ (NHI) の保護、アプリケーションとインフラストラクチャへのアクセス制御、クラウド環境とハイブリッド環境全体で可視化されたポリシーの強制を実施するのに大きな役割を果たします。 アイデンティティベースの不正アクセスは一般的な初期アクセス経路です。実際、アイデンティティ駆動型の攻撃は2025年前半だけで32%増加したと、Microsoftは発表しています。 攻撃者は認証情報を盗み、脆弱な認証フロー (特に一部の環境での多要素認証消耗攻撃を含む) を悪用し、再利用可能な特権アクセスを探します。

同時に、クラウドの拡大とリモートアクセスにより、アイデンティティによるサインインが可能な場所やアクセスできるコンテンツも広がり続けています。

これはもはや人間のユーザーだけに限られるものではありません。 多くの環境では、サービスアカウント、API、CI/CDジョブ、自動化スクリプト、そして最近ではチームに代わって作業を実行するAIエージェントなど、非人間アイデンティティ (NHI) への依存が増加の一途をたどっています。 これらのアイデンティティは、無人操作が必要なため、広範な権限と長期間有効なシークレットを持つ傾向があります。

制限的な作業で利用できるポイントツールは個々のユースケースでは効果的ですが、アイデンティティおよびアクセス管理 (IAM ) 、PAM、シークレット管理、ロギングの間にギャップを生む可能性もあります。 プラットフォームを利用すると、ポリシー、ポリシー適用、監査証拠間での整合性をとれ、チームは全行程を通してアイデンティティリスクを管理できるようになり、NHIとAIエージェントの活動も含めて対応できるようになります。

最新のアイデンティティセキュリティプラットフォームで検討すべき3つの柱

ベンダーを比較したり導入計画を立てる前に、実際にアイデンティティリスクを軽減する機能を定義しておくと役に立ちます。 以下の3つの柱が実用的な基盤になります。 それぞれの柱が互いを支え合い、どれか1つでも欠けると、他の部分に問題が生じることが多々あります。

第1の柱: 強力なアイデンティティ保証とアクセス制御

この柱では、他人になりすますことを困難にすることと、容易にユーザーの権限を制限することを目的としています。 まず、多要素認証のような強力な認証と、必要に応じて高リスクのアクセスでは、フィッシング耐性の高い方法を使用することから始めます。 また、これはリスクとコンテキストを活用して、より適切な判断を行うことを意味します。たとえば、機密性の高いアプリケーション、不審なデバイス、または通常とは異なるサインイン動作に対して、より強力な本人確認を要求します。

そこからのアクセス制御では、ロールと条件付きアクセスポリシーによって最小権限を強制する必要があります。 ここでの目標は、アクセスした人が必要な情報に、必要な期間だけアクセスできるようにすることです。 これは、従業員や請負業者だけでなく、NHIやAIエージェントにも適用されます。

ライフサイクルの自動化は、アクセス制御が時間の経過とともに劣化していくのを防ぐのに役立ちます。JMLワークフロー (入社から退職までのワークフロー) でアクセスのプロビジョニングとデプロビジョニングを確実に行う必要があります。 NHI側では、ライフサイクル制御でサービスアカウント、統合、APIクライアント、AIエージェントを対象にする必要があります。その作成方法、権限の付与方法、シークレットのローテーション方法、ワークロードが変化した場合の廃止方法などです。

第2の柱: スタンディング特権を排除する特権アクセス管理

PAMについては、永続的な管理者権限の削減、高リスクのアクセスパスの隔離、重要システムへのアクセス制御、そしてその間のすべてに対する詳細な監査証跡の成果を評価することが重要です。 最新のPAMでは、権限は永続的に割り当てるのではなく、一時的で制御すべきものとして捉えています。

特権は、特定の目的と期間に限定して付与し、その後は自動的に失効させるようにすべきです。 認証情報の分離も同様に重要です。それは、ユーザー、ワークロード、AIエージェントが特権パスワードやキーを直接付与されるべきではないからです。 特権認証情報が漏洩すると、コピー、キャッシュ、ログ記録、または盗難され、再利用される可能性があります。

セッション録画とセッションをリアルタイムで終了する機能は、何か問題が発生した場合のリスクを抑えるのに役立ちます。 適切な場合には、コマンド追跡で調査をスピードアップする詳細を追加でき、特定のPAMプラットフォームでAIを使用して、高リスクセッションの終了を自動化できます。 承認やワークフローを強制して、高リスクの行動を防止できます。自動ローテーションは、特権認証情報が使用後に意図したよりも長く有効なままにならないように、ループを閉じるのに役立ちます。

第3の柱: シークレット、認証情報、そして継続的な可視性

認証情報とシークレットは異なりますが、この2つを重ね合わせることができます。 認証情報は通常、人間のアクセスをサポートし、シークレットはマシンのアクセスをサポートします。シークレットには、自動化を可能にするAPIキー、トークン、証明書、AIエージェントの認証情報が含まれます。 重要なのは、認証情報とシークレットの両方を安全に管理することです。 多くの組織では、パイプラインや統合が増えるにつれて、シークレットの散逸が急速に拡大しています。

最新のプラットフォームでは、認証情報を安全に集中管理するボルト機能と、暗号化された共有機能により、チームがチャットのメッセージやスプレッドシートに頼らずに済むようにします。 アプリケーションとCI/CDパイプラインのシークレットを管理する機能も備えている必要があります。その自動化フックにより、ワークロードやAIエージェントがリポジトリやビルドスクリプトにシークレットをハードコーディングすることなく、安全にシークレットを取得できます。

ローテーションはポリシー駆動で自動化される必要があります。特にマシンのシークレットやエージェント認証情報においてそれが重要です。 長期間有効なシークレットは盗まれやすく、追跡が難しく、意図した期間よりもはるかに長く有効である可能性があります。

可視性がそのすべてを結びつけます。 中央集中型の監査ログとコンプライアンス対応のレポートでは、人間のアクションとマシンのアクションを横並びで表示されているはずです。レポートには、どのNHIまたはAIエージェントが実行されたか、何にアクセスしたか、どのポリシーが許可したか、何が変更されたかが含まれている必要があります。セキュリティ情報およびイベント管理 (SIEM) とチケット管理との統合により、これらのログは監査やインシデント対応時だけでなく、日常の運用にも役立てることができます。

最新のアイデンティティセキュリティプラットフォームの動作を実際にご確認ください

Keeper^®は、特権アクセスワークフローの統合、認証情報とシークレットの保護、監査対応のレポートの有効化により、チームがこれらの3つの柱を実現するのに効果的です。 具体的には、高リスクのシステムへの時間制限付きアクセス、特権認証情報とシークレットをユーザーやスクリプトに配布するのではなく中央での保護、インシデント対応とコンプライアンス要件をサポートするためのセッション活動の可視化を意味します。

KeeperPAM^®のデモをリクエストして、実際に最新のアイデンティティセキュリティプラットフォームをご覧ください。

以下では、医療分野における従来のアクセス管理が抱えるリスクと、Keeperが内部不正のリスクをどのように低減できるかをご紹介します。

医療分野において内部脅威が有害となる理由

医療機関は、医療関係の記録、保険データ、個人識別情報 (PII) を含む大量のPHIを保管しています。 患者データは非常に機密性が高く価値があるため、内部脅威は、深刻な金銭的損失や評判の失墜につながる可能性があります。 医療現場は、複雑な管理業務と臨床ワークフローに依存しています。 病院、診療所、医療ネットワークでは、電子カルテ (EHR)、画像診断プラットフォーム、請求アプリケーションなど、相互に接続されたシステムが運用されています。 医師、看護師、ITチームメンバー、管理者、外部ベンダーはそれぞれ、職務を遂行するためにさまざまなレベルのアクセス権を必要とします。 アクセス制御が広範すぎたり、監視が不十分だったりする場合、信頼できるユーザーが意図的または無意識的に、特権アカウントを悪用する可能性があります。

医療従事者は、患者ケアの際に重要なシステムに即座にアクセスする必要があるため、スピードが求められる臨床現場ではセキュリティよりも利便性が優先されることがあります。 認証情報を共有し、過剰な権限が付与され、セキュリティ制御を回避することで、説明責任が低下し、リスクが増大します。 HIPAAジャーナルによると、不正アクセスや情報漏洩のインシデントは、2025年に17.4％増加しました。これには、悪意のある内部関係者によるデータ盗難や、内部関係者の過失による偶発的な情報漏洩も含まれます。 従業員はすでに重要なシステムへの合法的なアクセス権を持っていることから、不正な行為があっても検出が難しく、発覚するまでにさらに大きな損害をもたらす恐れがあります。

医療分野における従来のアクセス制御の危険性

仮想プライベートネットワーク (VPN)、安全でない方法で共有されたパスワード、手動によるアクセスレビュー、静的なロール割り当てなどの従来的なアクセス制御は、変化の多い臨床現場において、安全に適用するのが困難な場合があります。 医療分野では、医師、看護師、ITスタッフは重要なシステムへの継続的なアクセスを必要とします。 その結果、従来のツールによってしばしば広範なアクセス権限や常時アクセス権限が付与されると、内部リスクが増大することになります。VPNは通常、認証が完了すると広範なネットワークへのアクセスを許可するため、認証情報が漏洩した場合、その影響が拡大することになります。 認証情報が共有されると、特定のユーザーに遡って行動を追跡することが難しくなり、透明性と説明責任が低下します。 手動によるアクセスレビューが頻繁に実施されることは少なく、その一方で、静的なロール割り当てでは、不要になった後も長期間にわたり常時アクセスが維持されます。

よく見られるセキュリティの隙は、特権的なアクティビティにおけるリアルタイムの可視性とセッション監視の欠如です。 詳細な監査証跡と特権アクティビティの記録がなければ、医療機関は特権の不正利用を迅速に検出し、コンプライアンスを実証することが困難になります。 内部脅威を軽減するには、医療機関が最小権限アクセスを徹底し、ゼロトラストセキュリティモデルを採用する必要があります。 医療機関は、ユーザーを継続的に認証し、必要な情報に対してのみアクセスを許可し、常時アクセスを排除することで、患者ケアの質を損なうことなく、患者データと重要なシステムをより適切に保護できます。

Keeperが内部脅威から医療機関を保護する方法

医療分野における内部脅威を減らすには、従来の境界ベースのセキュリティは十分ではありません。Keeperは、機密データや重要なシステムへのアクセスを保護、制御、監視するために構築された、最新のゼロトラストPAMおよびアイデンティティセキュリティソリューションです。 すべての特権セッションにゼロトラストの原則を適用することで、Keeperは、臨床ワークフローを妨げることなく、医療機関が内部リスクを軽減できるよう支援します。

ゼロ知識型ボルトで認証情報の漏洩を防止

Keeperは、特権認証情報が直接漏洩するのを予防することで、内部脅威のリスクを最小限に抑えます。 Keeperは、パスワードを共有したり表示したりする代わりに、ゼロ知識暗号化のボルトに保存します。 権限を付与されたIT、セキュリティ、DevOpsチームは、認証情報を表示したり扱ったりすることなく、サーバー、データベース、アプリケーションに安全に接続できます。 これによって認証情報の不正利用や盗難のリスクが大幅に軽減されると同時に、特権アクセスの完全な可視性と制御が維持されます。

最小特権アクセスを強制

Keeperは、必要な場合にのみ権限を付与し、ポリシーやワークフロー設定に基づいて自動的にその権限を取り消すことで、最小権限アクセスを実現します。 医療機関など規制の厳しい環境では、IT、セキュリティ、インフラストラクチャの各チームは、ジャストインタイム (JIT) アクセスを使用することで、サーバー、データベース、管理システムへの時間制限付きの特権アクセスを取得できます。常時アクセスを維持する必要はありません。 恒常的な特権を排除することで、過剰な権限を持つアカウントが悪用されたり侵害されたりするリスクを大幅に軽減できます。

エンドポイントでの特権の不正利用を防止

Keeperは、エンドポイントまでゼロトラストセキュリティを拡張し、デスクトップとサーバーから不要なローカル管理者権限を削除します。 ユーザーには、常時アクセスが付与される代わりに、承認されたタスクに対してのみ一時的に昇格されたアクセス権が与えられます。 これにより、医療従事者は必要なタスクを完了できると同時に、偶発的なシステム変更、不正なソフトウェアのインストール、横方向への侵入拡大を防ぐことができます。

外部ベンダーによる安全なアクセスを実現

医療機関は、EHRサポート、医療機器、クラウドインフラストラクチャを外部ベンダーに依存しています。Keeperは、職務機能とロールに基づいて特権アクセスをプロビジョニングし、ベンダーが特定のタスクに必要なアクセスのみを付与されるようにすることで、サードパーティーからのアクセスを保護します。 ベンダーのロールが変更されたり、契約が終了したりした場合、ポリシーとオフボーディング作業に基づいてそのアクセス権が自動的に取り消されるため、孤立したアカウントが医療システム内で有効なまま残るのを防げます。

コンプライアンスの完全な可視性を提供

医療機関における特権アクティビティの可視性を高めるため、Keeperではセッションの監視および記録を包括的に行えます。 Keeperのセッション管理コンポーネントとプロトコルによって、システムにアクセスしたユーザー、実行されたアクション、セッション開始時間と継続時間のログが取得されるため、すべての特権セッションの記録が残ります。 こうして得られたインサイトからは、PHIを含む重要なシステムへのアクセスに関するタイムスタンプ付きの詳細な監査証跡が提供されるため、特権の不正利用の抑止とHIPAA監査の簡素化につながります。 医療機関のITチームは、Keeperを使用することで、複数のシステムからログを手動で収集することなく、迅速かつ効率的にレポートを生成できます。

Keeperで内部脅威を軽減

内部脅威は依然として、医療機関が直面する最も深刻なサイバー攻撃の脅威の1つです。 機密性の高いPHI、相互接続された臨床システム、患者ケアを提供するための常時アクセスが組み合わさることで、特権の不正利用による損害のリスクが高まります。 内部脅威の予防対策は、Keeperのような最新のソリューションを使用して特権アクセスを保護し、管理することから始まります。 Keeperは、ゼロトラスト型特権アクセスを適用し、常時アクセスを排除することで、医療機関が内部リスクを軽減できるよう支援します。 Keeperのゼロ知識アーキテクチャは、シングルサインオン (SSO) と多要素認証 (MFA) に対応しており、医療従事者による患者ケア業務の遂行を支援しながら、安全なアクセスを実現します。

ぜひKeeperの無料トライアルをご利用いただき、医療機関のセキュリティ体制を強化し、コンプライアンスの維持と患者の安全確保にお役立てください。

その結果、サイバーセキュリティ対策の適用範囲は組織の一部にとどまり、未防備な部分は侵害経路として頻繁に悪用されることになります。 この未防備な部分に属する従業員の認証情報、共有アクセス権、管理対象外アカウントは、外部の攻撃、内部脅威、第三者による悪用において容易な侵入口となります。

チームは多数の制約下で業務を進めるために、さまざまな迂回策を考え出します。例えば、安全でない方法で認証情報を共有したり、必要以上に長く管理権限を保持したり、管理されていないツールやアカウントを導入したりします。 これら迂回策により、認証情報の窃取、特権エスカレーション、水平移動といった、現代の侵害事例で一般的な過程が発生する可能性は高まります。

こうした状況が起きるのは、セキュリティ方針が無視されているからではなく、 組織内でのアクセス権の使用実態がセキュリティ制御の拡張計画に十分反映されていないことが原因です。 一貫したセキュリティ体制が整うまで、攻撃者は脆弱な部分を悪用でき、組織はこうした一時的な不均衡を突いた侵害により、長期的に影響を受けることになります。

パスワードの部分的保護がもたらす破綻

パスワードを部分的に保護してもリスク度は低下せず、単純にリスク対象が他にシフトするだけです。 攻撃者は、防御の固いユーザーアカウントには目もくれず、まったく管理されていないか、一部のみ管理されている特権アクセスやガバナンスが不十分な特権アクセスに狙いを定めます。 言うまでもなく、こうしたアカウントの方がはるかに侵害しやすいためです。 一元的に可視化できない状態では、特権アクセスを突破口として、侵害はあっという間に広範囲に拡大する可能性があります。

セキュリティ対策の部分導入は、始めるのは簡単ですが、十分とは言えません。 パスワード管理ツールは個々のユーザーを保護しますが、共有システム、インフラ、クラウド環境全体で特権アクセスを管理するには、より高度な制御が必要です。

そこで次のステップとしてお勧めなのが、KeeperPAM®です。 特権アクセスには、共有管理者アカウントの管理、時間制限付きアクセス権の適用、明確な監査記録の保持など、高度な制御が必要です。 ジャストインタイムアクセス (JIT)、セッション録画、一元的な可視性などの機能は、環境が拡大するほど重要度が増します。

KeeperPAMでインフラ、アプリケーション、クラウド環境全体にわたって可視性を拡張すると、パスワード管理プログラムの成熟に伴い生じるギャップを埋めることができます。

将来を見据えた拡張性が決め手

組織が成熟すると、過去に下したアクセス制御に関する決断の見直しが必要になります。 多くのチームが個々のツールの評価から、接続した単一システムとしてアイデンティティセキュリティを捉えるようになっており、 無駄な追加コストや複雑な操作を必要とせずに将来的に拡張が可能な単一プラットフォームを選択しています。

Keeperは、業界規模の拡大に呼応する組織の自然な成長を考慮して設計されています。Keeper企業向けパスワードマネージャーを使用すると、認証情報の保護をIT部門以外にも簡単に拡張できるため、組織は保護範囲を拡大しつつ、シームレスなデプロイメントと単純明快なライセンス運用が可能になります。 KeeperPAMはこの環境を基盤に、管理者の共有認証情報を使用せずに、サーバー、データベース、クラウド環境への特権アクセスを保護します。

KeeperPAMもゼロトラストセキュリティプラットフォームで動作するため、新たなインフラを追加したり、セキュリティスタックを再設計したりせずに、特権アクセス制御を拡張できます。 チームは、実装の開始や拡張を自分たちのペースで進めることが可能で、段階的導入計画と予算枠に合わせて、ロールベースのアクセス制御、セッションの可視性、監査で利用可能なレポートの作成を段階的に展開できます。 パスワードと特権アクセスの両方を一元的に管理できるため、重要なギャップが解消し、共有認証情報の使用頻度が減ります。さらに複雑さは今までのままで、監査への対応力が高まります。

アイデンティティセキュリティ分野では、妥協のない進歩が可能です。 適切な基盤があれば、コスト、保護範囲、リスクの調和を取りながら導入プログラムを進行できます。 認証情報、シークレット、接続、エンドポイントを保護するために技術スタックを統合し、単一プラットフォームに移行することで、組織全体への導入が迅速化し、統一ボルトにすべてのサイバーセキュリティツールへのアクセスを集約できます。

今すぐ、KeeperPAMのデモをリクエストするか、無料トライアルを開始して、特権アクセス保護の拡張に着手しましょう。

以下では、医療機関がリモートアクセスを安全に保つために求められる対応と、Keeperが医療分野のセキュリティ強化にどのように貢献できるかをご紹介します。

遠隔医療が医療分野のセキュリティにもたらした変化

遠隔医療は、医療の中核をなす要素となり、在宅勤務する医師や分散型の医療チームは、今では一般的な存在となっています。 そうした現場では、医師は自宅で検査結果を確認し、看護師はモバイルデバイスでバーチャル訪問を行い、専門医は場所を問わずリアルタイムで診療を行います。 この変化により、医療システムへのアクセスは、今や病院だけでなく、家庭のWi-Fiネットワーク、モバイルエンドポイント、私有ITデバイスの業務利用 (BYOD) 環境にも広がっています。

従来の境界ベースのセキュリティモデルは、遠隔医療が主導する環境ではもはや明確なネットワーク境界がないため、それだけでは不十分なことがよくあります。 リモートユーザーが仮想プライベートネットワーク (VPN) 経由で接続する場合、従来のツールの多くは広範なネットワークアクセスを提供するため、万が一認証情報が漏洩した場合、機密性の高い患者データが漏洩する可能性があります。 現代の医療提供においては、IDと最小権限に基づいて構築された安全なリモートアクセスが求められます。これにより、ユーザーは、許可されたシステムのみにアクセスできるようになります。

医療分野のリモートアクセスにおけるセキュリティリスク

医療分野の従業員がリモートワークを行う場合、臨床医が重要なシステムや機密性の高い患者データに接続することになるため、医療業界におけるセキュリティリスクは特に深刻になっています。 ここでは、リモート医療環境における最も一般的なリスクをいくつか紹介します。

Keeperが、遠隔医療および医療分野におけるリモートアクセスを保護する方法

クラウドネイティブのゼロトラストアイデンティティセキュリティ管理ソリューションとして、Keeperは、重要な医療システムへのアクセスを許可する前に、特権アクセスリクエストを検証するのに役立ちます。

EHRと臨床システムへの特権アクセスを保護

Keeperは、認証情報をゼロ知識型暗号化ボルトに保存することで、ユーザーがパスワードを露出させることなく重要なシステムに接続できるようにします。 また管理タスクに対しては、Keeperによってジャストインタイム (JIT) アクセスが強制されるため、ユーザーは必要な時だけ、特定のタスクのためにアクセス権を付与されます。 これを具体的にイメージするには、リモート勤務のIT管理者が、EHRデータベースに関連する遠隔医療システムのパフォーマンス問題をトラブルシューティングする場面を想像してみてください。 認証情報を共有したり、常時アクセスを許可したりする代わりに、Keeperはその管理者に一時アクセスを提供し、すべてのアクティビティを自動的に監視します。 パフォーマンス問題が解決されると管理者のアクセス権が取り消され、永続的な権限が排除されるため、詳細な監査証跡を維持することができます。

リモートエンドポイントで最小権限アクセスを適用

Keeperでは、リモートエンドポイント全体で最小権限アクセスを徹底することにより、常時アクセスを排除できます。 そうすることで、医療従事者は必要なときに、承認された業務に限り、特権アクセスを付与されます。 例えば、遠隔医療の看護師が、リモート勤務のシフト中にエンドポイントで特定のアプリケーションの更新を実行する必要があるとします。 Keeperなら、デバイスへの完全な管理者権限を看護師に与えるのではなく、そのタスクのために時間制限付きアクセスを許可することで、誤ってシステムを変更してしまうリスクを軽減します。

SSOとMFAで遠隔医療のアクセスを保護

Keeperでは、シングルサインオン (SSO) と統合し、多要素認証 (MFA) が強制されるため、医療従事者の認証が簡素化されると同時に、認証情報が漏洩した場合でも不正ログインを防止できます。 遠隔医療の看護師のログイン認証情報データが漏洩した場合、ダークウェブで売買される可能性がありますが、MFAが有効になっている場合、サイバー犯罪者はユーザー名とパスワードだけで看護師のアカウントにアクセスすることはできません。 またKeeperでは、連邦政府の施設で働く医療従事者向けにPIVカード認証もサポートしています。

医療現場における複雑な役割をRBACで管理

医療機関は、医師や看護師からIT管理者、請求担当スペシャリストまで、それぞれに異なるレベルのアクセス権を必要とするさまざまなロールを管理しています。Keeperはロールベースのアクセス制御 (RBAC) を適用し、職務機能に応じたアクセスを適用することで、認証されたユーザーのみが職務の遂行に必要なアクセス権を付与されるようにします。 ある医師が、フルタイムのオフィス勤務から遠隔医療サービスを提供するためにパートタイムのリモート勤務に移行した場合、Keeperの管理者は、新しい役割に基づいてアクセスポリシーを更新することができます。

患者ケアを犠牲にすることなく、安全な遠隔医療を実現

医療分野においてリモートアクセスが十分に管理されていない場合、医療ケアの提供が中断し、PHIが危険にさらされ、正確でタイムリーな治療を必要とする患者のリスクが高まるなど、壊滅的な事態を招く可能性があります。 遠隔医療が成長を続ける中、医療機関は、ゼロトラストセキュリティと最小権限の原則に基づいた安全なリモートアクセスを必要としています。 Keeperを使用することで、医療機関は、患者ケアの質を損なうことなく、患者の医療データを保護し、コンプライアンス基準をサポートし、遠隔医療を安全に拡大することができます。

ぜひKeeperのデモをご依頼いただき、医療機関におけるテレヘルスおよびリモートアクセスをゼロトラストセキュリティで保護する取り組みを今すぐご開始ください。

現実的に、AI環境は人間のユーザーだけでなく、AIエージェント、コンテナ、サービスアカウントなどの非人間アイデンティティ (NHI) によっても操作されています。 人間が使用するIDと比較すると、NHIは、動的で自動化されたパイプラインにおいて、監視および保護することが特に困難です。 AIを利用したサイバー攻撃のリスクを軽減するには、組織は最小権限アクセスを適用し、常時特権を排除し、ゼロトラストのセキュリティ原則を適用して、人間が使用するすべてのIDとマシンIDを保護する必要があります。

以下では、AIセキュリティリスクへの対策においてアイデンティティセキュリティが不可欠である理由と、Keeper^®が人間および非人間の両方のアイデンティティをどのように保護するかをご紹介します。

アイデンティティセキュリティが重要な理由

AIベースのシステムは、分散したインフラと重要な環境への高度なアクセスに依存しています。 エンジニア、DevOpsチーム、データサイエンティストなど人間のユーザーは、通常、データベース、Kubernetesクラスタ、GPU、本番環境のワークロードを管理するために管理者権限を必要とします。 しかしアクセスを必要とする人間のユーザーは、社内従業員だけではありません。 多くの組織は、インフラ管理や基盤プラットフォームの維持のために、外部ベンダーに特権アクセス管理を付与することがあるため、厳格な管理を必要とする外部リスクが生じています。ベンダー特権アクセス管理 (VPAM) は、サードパーティからのアクセスを制御および監視することで、このリスクに対処します。 VPAMは、内部システムへの外部アクセスのセキュリティ確保と管理に重点を置いて設計されており、最小権限アクセスを徹底し、監査可能な可視性を維持します。

AIを運用する上で、人間が使用するIDは非常に重要ですが、AIエージェント、サービスアカウント、API、自動化スクリプトのようなNHIも同様に重要です。 NHIは、データを移動したり、AIモデルを導入したり、自動パイプラインを実行したりするために、特権アクセスと認証情報を必要とします。 人間のユーザーとは異なり、NHIは通常、大規模で継続的に稼働するため、サイバー犯罪者にとって価値の高い標的となっています。 人間のIDやマシンIDが侵害された場合、その影響は、データの窃取や認証情報の悪用から、横方向への侵入拡大やコンプライアンス違反にまで及ぶ可能性があります。

人間および非人間アイデンティティに関する課題

AI環境におけるアイデンティティ管理は、急速に変化するインフラストラクチャ全体にわたって、人間のユーザーと自動化されたプロセスの両方を保護する必要があるため、困難を伴います。 特に、迅速な開発のためエンジニアやデータサイエンティストが常時アクセスを与えられているようなスピード感のある環境では、時間の経過とともに、人間のユーザーが過剰な権限設定を蓄積してしまうことがよくあります。

人間ユーザーにとってアクセス管理がどれほど複雑であるにせよ、NHIにはまた別の課題が伴います。 サービスアカウント、AIエージェント、スクリプト、APIは、スクリプトにハードコードされたり、コンテナに埋め込まれたりしたシークレットに依存していることが多いため、追跡、ローテーション、取り消しが困難です。 NHIがどう運用されているか、どのシステムがNHIに依存しているか、NHIがどのようなアクセス権を持っているかについて、把握できていない傾向があります。 AIインフラがマルチクラウド環境に拡大するにつれ、シークレットの散逸を制御することが困難になり、自動化のための監査証跡は実質的に存在しなくなります。 適切な監視や管理が行われない場合、侵害されたIDは検出されないままとなり、重要なシステムやAIモデルへの不正アクセスを許すことになりかねません。 この問題に対処するには、AIワークフロー全体で異常なアクティビティを検出し、人間およびマシンの両方のIDが承認されたアクセス制限内で動作していることを保証する必要があるため、行動分析と継続的な検証が重要になります。

AI環境全体でアイデンティティを保護するためのベストプラクティス

機密データおよび重要インフラを保護するには、組織はアイデンティティを第一に考えたセキュリティ戦略を採用し、人間と非人間アイデンティティの両方を守らなければなりません。 ここでは、AIライフサイクルのあらゆる段階において、アイデンティティを保護するためのベストプラクティスをいくつか紹介します。

Keeperが、人間と非人間アイデンティティを保護する方法

Keeperは、人間のIDとマシンIDのためのゼロトラストコントロールプレーンで、現代のAI環境のアイデンティティセキュリティの要求を満たすように構築されています。 Keeperは、組織のエコシステムにおけるすべてのアイデンティティを以下の機能で保護します。

Keeperで、AIのセキュリティリスクからすべてのIDを保護

AIの導入が加速する中で、管理されていないIDや監視されていないアクセスなど、適切に保護されていない場合、あらゆる人間のユーザーとマシンユーザーは、新たなセキュリティリスクに直面する可能性があります。 従来のアクセス管理方法では、現代のインフラストラクチャの急速な拡大に追いつくことができません。そこで必要になるのは、Keeperのような最新のアイデンティティセキュリティプラットフォームです。 Keeperにより、運用スピードを損なうことなくAI環境を強固に保護し、急速に拡大するAIインフラにもスケーラブルに対応するゼロトラストセキュリティを実現できます。

ぜひKeeperの無料トライアルをご利用いただき、最新の環境におけるすべてのアイデンティティ保護をご体験ください

Keeperのワンタイム共有では、認証情報を暗号化して完全に保護しながら、レコードに一時的にアクセスを許可し、安全でデバイスに紐付けされたリンクを作成して共有できるようにします。 このアプローチにより、共有相手はKeeperアカウントの作成やボルトへの継続的なアクセスを必要とせずに、迅速かつ安全に共有できます。

このブログでは、ワンタイム共有とは何か、標準のKeeper共有との違い、ワンタイム共有の詳細な仕組みを説明します。

Keeperのワンタイム共有とは何か？

Keeperのワンタイム共有では、誰とでも、共有相手がKeeperアカウントを作成する必要なく、時間制限付きで安全にレコードを共有できます。 Keeperのワンタイム共有は認証情報やファイルをエンドツーエンドで暗号化して完全に保護でき、メールやメッセージングに代わる安全な共有手段です。 アクセスはデバイスロックされ、共有者が選択した期限で自動的に共有が終了します。

ワンタイム共有を有効にすると、双方向共有もサポートされ、共有相手はレコードフィールドを編集できたり、ファイルをアップロードできたりします。 データに加えられたすべての変更は、アクセスが期限切れになるか取り消されるまで、共有者のKeeperボルト内の元のレコードに安全に同期されます。

ワンタイム共有の仕組み

ワンタイム共有の仕組みを段階を追って説明していきます。

ステップ1：共有するレコードを選択

Keeperボルトを開き、共有したいレコードを選択します。 レコード表示から [共有] をクリックし [ワンタイム共有] を選択します。

ステップ2：共有設定を構成

ワンタイム共有リンクの有効期間を選択します。 手動でレコードのアクセス取り消しを忘れても、選択した期限で自動的に共有は終了します。

この段階で、双方向共有を有効にするために [共有相手にレコードフィールドの編集とファイルのアップロードを許可する] を選択することもできます。 これを選択すると、共有相手は情報や添付ファイルを追加でき、それらを安全に元のレコードに同期できます。

ステップ3：共有リンクの作成と送信

構成を設定したら、ワンタイム共有リンクを作成します。 共有者は次の操作を行うことができます。

• リンクのコピー
• 共有招待の送信
• 共有相手にQRコードをスキャンしてもらう

ステップ4：共有相手がリンクを開く

共有相手がリンクを開くと、レコードが共有相手のデバイスブラウザ上に安全に表示されます。 レコードのデータは、AES-256ビット暗号化を使用してデバイス上でローカルに復号され、すべてのリクエストは楕円曲線暗号 (ECC) を使用して暗号署名されます。

ステップ5：デバイスへの紐付けとアクセス制御

リンクが開くとすぐに、デバイスロックがかかります。 リンクを開くために使用されたデバイスのみがレコードにアクセスできます。 リンクを後で別のデバイスで開くと、アクセスは拒否されます。

この仕組みにより、リンクが転送されたり、メールアカウントが侵害されたりした場合でも、データは保護されたままです。

ステップ6：双方向の更新

双方向共有が有効になっている場合には、共有相手は次の操作を行うことができます。

• レコードフィールドの編集
• ファイルのアップロード
• メモやリクエストされた情報の追加

共有相手が [保存] をクリックすると、すべての変更が自動的かつ安全に共有者のボルトにある元のレコードに同期されます。 共有期限が切れるかアクセスが取り消されるまで、両者は引き続き共同作業を行うことができます。

ステップ7：自動で期限切れ

ワンタイム共有リンクは、設定された期限を過ぎると必ず共有が終了します。

• リンクが一度も開かれなかった場合には、共有リンクは使用されないまま共有は終了
• リンクが開かれ、デバイスに紐付けされている場合、アクセスは設定されている期限に終了

有効期限が切れると、リンクにはアクセスできなくなり、それ以上の編集もできません。

Keeperでワンタイム共有を開始

ワンタイム共有はすべてのKeeperプランでご利用可能です。追加の設定なしにすぐに共有を開始できます。 安全性に欠ける認証情報の共有方法に代わるセキュアな方法を利用して、完全な制御と可視性の維持も実現してください。 ワンタイム共有と双方向共有、Keeperのゼロ知識アーキテクチャを組み合わせて、組織でセキュリティを犠牲にすることなく、自信を持ってアクセスを共有できます。

今すぐ無料トライアルを開始して、ワンタイム共有がどのように個人や組織間で認証情報を安全に共有できるかをご確認ください。

この習慣から脱する良い方法があります。SlackのワークフローにKeeperを組み込むのです。アクセス権の要求と承認は、安全性の高いジャストインタイム (JIT) 方式に切り替わります。 KeeperのSlack連携アプリを使うと、従業員はレコード、共有フォルダ、リソースへのアクセス権をSlackから直接要求でき、暗号化されていないプレーンテキスト形式でパスワードやシークレットを手動で共有する必要がなくなります。

以下では、Slackでのパスワード共有により組織のセキュリティが危険にさらされる理由と、KeeperのSlack連携アプリのメリットをご紹介します。

Slackでのパスワード共有が危険な理由

Slackは便利なコラボレーションツールですが、機密情報 (特にパスワード) 向けの安全なシステムとして設計されていません。 安全面で不安があるにもかかわらず、多くのチームがSlackのチャンネルやチャットで認証情報を共有しているのは、手軽で時間がかからないためです。 Slackから機密情報を送信するこうした習慣が原因で組織がさらされるセキュリティリスクの数は増えています。 以下にその主なものをいくつか挙げます。

KeeperのSlack連携アプリを使った認証情報の新たな共有方式

Keeperの連携アプリは、Slackチャンネルやチャットでパスワードを共有する安全な代替手段となります。 ユーザーは認証情報をメッセージに直接貼り付ける代わりに、機密リソースへのアクセス権を要求します。認証情報を見ることも扱うこともありません。 このアプリはゼロ知識暗号化と機密ワークフローの完全制御を維持したまま、Keeperのセキュリティアーキテクチャと連携します。 すべての操作はSlackから直接行われ、他のツールに切り替えずに、アクセス要求はリアルタイムに適切な承認者に転送され、アクセス権が許可または却下されます。

KeeperのSlack連携アプリでは、要求根拠やアクセス権が必要な期間など、十分なコンテキスト付きでアクセス権を要求できます。 また、ワンタイム共有リンクも生成できます。このリンクは期間限定アクセス向けに一定時間を過ぎると自動的に消滅するため、外部のベンダー、請負業者、緊急用途に最適です。 さらに、エンドポイント特権マネージャーの承認やシングルサインオン (SSO) 対応クラウドデバイスの承認などの特権アクセスをSlackから直接リアルタイムで承認できます。

KeeperのSlack連携アプリの主なメリット

KeeperのSlack連携アプリは、効率やコラボレーションを犠牲にすることなく強力なアクセス制御を維持できるため、現代組織でチームが安全にやり取りするのに役立ちます。 この他にも主に次のようなメリットがあります。

• Slackメッセージへの認証情報の保存を防止: パスワードがプレーンテキストで表示・共有されることは一切なく、不正アクセスのリスクを軽減します。 サードパーティのツールに1度だけログインする場合やフォルダを一時的に利用する場合など、Keeperは機密情報を危険にさらすことなくSlackからアクセス可能にします。
• アクセスがすばやく効率的に: Keeperの安全なアクセス手順がSlackに直接組み込まれるため、認証情報がチャットや不要なチャンネルに入り込むことがありません。 管理者はツールの切り替えも手動での調整も必要とせずにリアルタイムでアクセス要求を承認できるため、ユーザーへのアクセス付与が迅速化します。
• JITアクセスと完全な可視化を実現: アクセス権の要求と承認はすべて、社内のセキュリティポリシーとコンプライアンス基準に従って行われ、ログに記録され、時間制限とポリシーが適用されます。

KeeperのSlack連携アプリをお勧めするケース

KeeperのSlack連携アプリを導入すると、安全なアクセス手順が効率化し、危険なパスワードの共有を防ぐことができます。 中でもお勧めするのが次の用途での利用です。

Keeperのアクセス権の承認ワークフローをSlackに組み込み

Slackでパスワードを共有するのは手軽な方法ですが、習慣にするといずれセキュリティリスクが発生します。現代企業にとってこうしたリスクは、Keeperなどの安全な連携ツールで簡単に回避可能なものです。 Slackはコラボレーションツールであり、特権的な認証情報などの機密情報へのアクセスを管理する目的では設計されていません。 Keeperは、Slackメッセージでの認証情報のやり取りを防止する実用的な代替手段となります。チームが生産性の維持に必要なスピードと柔軟性を失うこともありません。 Keeper連携アプリでは、Slackでの作業を継続しながら、アクセス権の要求とパスワードの共有をきめ細かく制御し、リアルタイムに承認するワークフローを実現できるうえ、監査に十分対応可能な記録も残されます。

Slack環境での認証情報の共有は危険ですので、今すぐ止めて、当社マニュアルを参考にしながらKeeperのSlack連携アプリを導入しましょう。 セキュリティ分野のエキスパートへの相談をご希望の場合は、デモをご依頼ください。

パスキーは個人と法人の両方の用途で新たな標準的認証方法となっています。Keeperを使うと、パスキーだけでなく、従来のパスワード、シークレット、その他の重要な認証情報も安全に一元管理できます。

以下では、Keeperでパスキーを作成し、管理する方法を順番にご説明します。

Keeperでのパスキー管理機能

Keeperでのパスキー管理機能は、Keeperボルトから直接パスキーを作成、保存、整理、使用する役割を果たします。 パスワードは使い回し可能で、盗まれる危険性があり、フィッシング攻撃の標的になりやすいのに対し、パスキーは公開鍵暗号を使用し、生体認証やデバイスのPINでロックが解除されます。

Keeperを使用すると、パスキーはゼロ知識アーキテクチャのボルトに安全に保存され、適切なウェブサイトやアプリに自動的に関連付けられます。また、KeeperFill^®を通じてサインインが必要な時に利用可能になります。

Keeperでパスキーを作成・管理する方法

Keeperでのパスキーの作成・使用方法はシンプルで直感的です。 以下ではステップごとの手順を説明します。

ステップ1: 該当ウェブサイトかアプリのログイン画面を開く

パスキーを利用可能なウェブサイトで、アカウント設定メニューのパスキーの作成オプションに移動します。

ステップ2:「Create passkey (パスキーの作成)」を選択する

ウェブサイトで、「パスキーを作成」(または類似の) ボタンをクリックします。

Keeperでは、この段階で操作を検知したKeeperFillがパスキーをボルトに保存するようユーザーに促します。

ステップ3: デバイスで生体認証またはPINを確認する

使用デバイスの生体認証またはPINコードで本人確認を行います。 このステップにより、パスキーの作成と使用が可能なユーザーを本人のみに絞り込みます。

ステップ4: Keeperにパスキーを保存する

Keeperにパスキーを保存するかを尋ねるメッセージが表示されたら、その旨を確認します。 パスキーは暗号化されてボルトに保存され、 それ以降は、Keeperレコード内のフィールドとして表示されます。

各パスキーレコードには、次のようなキーのメタデータが含まれます。

• パスキーの作成日付
• アカウントに関連付けられたユーザー名
• ウェブサイトやアプリケーションなどの依拠当事者

パスキーレコードはフォルダを使って整理し、パスワードと一緒に管理できます。必要な場合、他のユーザーと安全に共有することもできます。

ステップ5: Keeperを使ってパスキーでログインする

パスキーでログイン可能なウェブサイトに戻り、パスキーでサインイン (または類似のオプション) を選択します。 KeeperFillが操作を検出して、保存されているパスキーの使用を促します。

生体認証またはデバイス認証を確認すると、パスワードを入力せずに、すぐサインインできます。

Keeperでパスキー管理を開始

Keeperなら、パスワードと同じボルトでパスキーを管理できるため、パスワードレス認証への移行への迷いを払拭できます。

Keeperの試用版でパスキー管理を試して、安全な認証をどれほど手間なく実現できるかをお確かめください。

この新たな環境を保護するうえで重要な役割を果たすのが特権アクセス管理 (PAM) です。 PAMは効果的に運用されれば、組織が行動を加速し、コラボレーション範囲を広げ、リスクを高めずに新規市場に進出するのに役立ちます。 PAMの先進ツールは、収益アップの鍵を握るシステムとワークフローに沿ってアクセス権を管理することで、セキュアなアクセスを事業上の強みに変えます。

現代企業におけるアクセスの変化

現代の企業活動はファイアウォールの垣根を越え、 従業員、サプライヤー、パートナー、顧客がやり取りする場所は、クラウドプラットフォームやSaaS (サービスとしてのソフトウェア) 環境、共有システム全体に拡大しています。 ところが、固定的な認証情報、仮想プライベートネットワーク (VPN)、レガシーのPAMソリューションは分散化されたクラウドファースト環境向けに設計されていません。

こうした境界のない世界で、企業は次のような変化に直面しています。

• 取引はパートナーのオンボードの所要時間に左右される
• プロジェクトの成否はアクセス速度によって決まる
• 信頼のおける協力関係が市場拡大の鍵を握る

先進的なPAMツールは、ロールに基づくジャストインタイムでのアクセス権の付与に対応しており、必要なときに、一定期間に限ってユーザーにアクセス権が付与される仕組みを確立できます。 営利面では、遅延の減少、統合コストの削減、収益化までの時間短縮と短期間で効果が現れます。

外部リソースと拡張的に連携可能

組織は急速に、サプライヤー、技術パートナー、インテグレーター、プラットフォームなどの外部リソースに成長力の源泉を求めるようになっていますが、 旧型のアクセス権管理モデルは、その足枷となります。権限が手動で、必要範囲を超えて付与され、リスクに基づく制限が設けられているためです。

新時代に適したPAMソリューションは以下を可能にします。

• 共有により認証情報をリスクにさらすことなく、外部リソースを迅速にオンボーディング
• 商業契約に沿って期限付きでアクセス権を付与
• パートナー活動を一元的に可視化

その結果、コラボレーションコストは低下し、契約から実行までのプロセスが加速します。 他にも契約成立の早期化、提携活動の拡張促進、運用経費の増加ペースを上回る増収達成といったメリットが得られます。

クラウドの速度を念頭にアクセスを確立

パブリッククラウドプラットフォームは、オンプレミスのデータセンターから移行する組織の動向を受け、主要IT業務にも対応するようになっています。 インフラは数秒でデプロイ可能ですが、アクセスにはタイムラグが生じることが珍しくありません。 この乖離により想定外のコストが発生し、イノベーションを減速させます。

先進のPAMソリューションは以下の機能を備え、アクセスとクラウドの動作ペースを同調させます。

• 業務遅延とリスク増大の原因となるスタンディング特権を排除する
• 手動での承認をなくして、DevOpsとプラットフォームチームを支援する
• 収益に直接打撃をもたらす停電や設定ミスを減らす

経営陣にとっての価値は明確であり、納品が迅速化し、業務中断が減少し、クラウド投資利回りが向上します。

柔軟な人材配置に必要な拡張性

国際的な人材配置はもはや例外的戦略でなく、運用モデルとして確立されています。 ただし、多くの組織が周期的な需要、短期的プロジェクト、買収、継続的変革といった環境の中でこのモデルの運用を迫られています。

最新のPAMソリューションは以下の機能により、組織がこうした環境に適応するのに役立ちます。

• VPNを使わずに、あらゆる場所から特権アクセスを保護
• 異なる地域やタイムゾーンにわたって、一貫したガバナンスを適用
• プロジェクトやピーク需要に合わせた迅速なオンボーディングとオフボーディング

組織はさまざまな環境への適応力を得ることで、長期的なコスト上昇を招くことなく活動を拡大可能になり、機会の最大化と利益率の維持の両方を達成できます。

高パフォーマンスの事例: F1チーム「ウィリアムズ」

F1チームのアトラシアン・ウィリアムズとKeeper Securityの提携関係は、特権アクセス管理が実世界の競争環境でのパフォーマンス向上にいかに役立つかを示す好例です。 ウィリアムズの活動地域は20か国以上にわたり、従業員は地理、デバイス、ネットワークに関係なく、重要なシステムに一貫して安全にアクセスする必要があります。 チームは従来のアクセスツールでこの課題に対処するのに苦慮していました。 権限を付与・削除するためのワークフローは俊敏性に欠けるうえ、大量のリソースを必要としました。また、デバイスの移動に伴い認証情報も移動することが多く、リスク上昇につながっていました。

そこでウィリアムズがKeeperPAM®を導入したところ、特権的認証情報の一元管理と保護、レースとエンジニアリング周期に沿ったロールベースのアクセス権の付与、チーム構成の変更に合わせた権限の付与と削除の自動化を実現しました。 その結果、運用効率向上、世界的な一貫性の確保、信頼性の強化といったメリットを手にしました。

先進PAMは防御だけでなく、パフォーマンスとコラボレーション、運用俊敏性に直接効果があるソリューションであることがこの例からおわかりいただけるでしょう。 デジタル変革、世界進出、迅速なプロジェクト実現、エコシステムの統合と、組織が達成を目指す目標はさまざまですが、KeeperPAMなら、すべての目標と特権アクセスを直結させることができます。

CISOの新しい役割

最高情報セキュリティ責任者 (CISO) の役割は資産の保護から、事業を加速させ、共同作業とアクセスを保護して成長を後押しすることにシフトしています。

KeeperPAMはセキュリティ製品の枠組みを超え、 特権アクセスを現代のビジネス成果に適合させるプラットフォームとして、このシフトに貢献します。

境界のない世界で成功する鍵は、アクセス権をIT部門だけに任せず、事業運営の一部として扱うことにあると言えます。

以下では、KeeperのSlackワークフロー連携ツールの機能、仕組み、利用する理由について説明します。

Slackワークフローと連携するKeeperツール

KeeperのSlackワークフロー連携は、セキュアなゼロ知識モデルを採用したサイバーセキュリティ用ソリューションです。コミュニケーションと共同作業のためにすでにSlackを利用している場合、直接Slackからアクセスの要求と承認ができるため利便性が向上します。 また、機密性の高い認証情報やシステムへのアクセスが可能なのは、所定の時間内で、必要な場合に限定されるため、ゼロスタンディング特権 (ZSP) の適用が徹底されやすくなります。

この連携ソリューションは、クラウドでホストされる承認サービスとしてでなく、Keeperボルトに直結しており、標準的なパスワードマネージャーレコードや共有フォルダなどに対するアクセス権の要求手順を管理します。 アクセス権の要求手順を保護するには、KeeperシークレットマネージャーかKeeperPAMのライセンスが必要です。 Slackでアクセスが要求されると、Keeperコマンダーに安全に伝達され、そこで処理されます。Keeperコマンダーはエンドツーエンドの暗号化とKeeperのゼロ知識アーキテクチャを維持するために顧客によってホストされます。 Slackがレコード自体にアクセスすることは一切なく、暗号化された承認用メタデータのみがやり取りされます。

連携する仕組み

KeeperのSlack連携アプリは、アクセス権を安全に要求・承認するために所定の手順に従います。Keeperは顧客がホストするワークフローからSlackに接続され、機密データを露呈することなく、承認された場合に限ってアクセス権が付与される仕組みを確立します。 以下はアプリがたどる具体的なステップです。

KeeperのSlackワークフロー連携ツールを使用する理由

KeeperのSlackワークフロー連携ツールは、組織が現代的な業務フローを妨げることなくアクセスを保護するのに役立ちます。 ポリシーに基づくアクセス権の承認方式がSlackワークフローに直接組み込まれるため、セキュリティだけでなく、生産性も向上します。ゼロ知識アーキテクチャを盤石に維持しながら、日常的な業務手順に無理なく溶け込みます。

ゼロ知識モデルを維持

Keeperが採用するゼロ知識アーキテクチャは、KeeperとSlackを含めて外部に機密データを露出することがありません。 シークレットはエンドツーエンドで暗号化された状態のまま、ユーザー自身のインフラ内でのみ処理されるため、特権的認証情報に対する制御力は確保されます。

生産性を向上

この連携ツールを使うと、すでに作業が進行している場所でもアクセス権の要求と承認が安全に行われます。 ユーザーと承認者は、システムやボルトを切り替える手間なく、Slackで直接アクセスを要求、確認、承認できます。 こうした効率的な手順によりチームは業務を中断なく迅速に進めることができます。また、セキュリティも高度に保たれます。

潜在的リスクを軽減

この連携ツールを使うと、スタンディング権限や安全でない認証情報の共有は排除され、最小権限原則に基づく、ジャストインタイム (JIT) でのみのアクセス権の付与が徹底されます。 承認されない限り、アクセス権は付与されず、付与の範囲は必要最小限に限定されます。また、所定の有効期限が過ぎるとアクセス権は自動的に失効します。

既存のワークフローに適合

Slackはすでに多くの組織でコミュニケーションとコラボレーション目的でよく使われており、 ユーザーはその使い方になじんでいるため、Keeperを新しい承認ツールとしてそのワークフローに組み込んでも、あらためてトレーニングする必要はなく、導入が容易です。 また、組織全体がKeeperのプロセスに一貫して従うようになり、リスクのある迂回策を防止できます。

監査に対応可能な仕様

アクセス権の要求、承認、適用といったすべてのアクションはKeeper内に自動的に記録され、 セキュリティ担当者はこの記録を通じて、規制上の義務の履行とインシデント対応をサポートするために講じられる措置を完全に把握できます。

完全自動化

Slackのワークフローはアクセス権の要求から適用までが自動化されるように構成可能です。 そのためには、KeeperのSlack連携ツールを、KeeperシークレットマネージャーかKeeperPAMと併用する必要があります。 Keeperシークレットマネージャーを使用する場合、構成データとシークレットは手作業なしで安全に取得されるため、設定ミスのリスクを軽減できます。

Slackで安全なアクセス管理が可能に

現代組織にとって、アクセス権の要求と承認を複数の個別ツールや手作業で処理するのはもはや時代遅れとなっています。 KeeperのSlack連携ツールを使えば、アクセス権の要求・承認・適用手順は、進行中のワークフローを妨げることなく、安全なひとつなぎのプロセスに集約されます。 JITアクセスとゼロ知識暗号化を兼ね備えるKeeperと連携することで、不正アクセスの減少と生産性向上の両方を達成できます。

Keeperのセルフホスト型Slackワークフローを実際に組み込む方法については、セットアップマニュアルで解説されています。Slackでアクセス権を安全に承認する便利な方法としてぜひ、ご活用ください。 セキュリティ分野のエキスパートへの相談をご希望の場合は、デモをご依頼ください。

これは、サプライチェーンの一員であるすべての企業に対し、セキュリティ対策の実効性と説明責任がこれまで以上に求められる時代の到来を意味しています。ここでは、経済産業省が示すセキュリティ評価制度の目的や対象範囲、制度の全体像と今後のスケジュールを整理するとともに、こうした制度要件に対してKeeperがどのような項目をカバーし、どの機能で対応できるのか をわかりやすく解説します。

セキュリティ評価制度の目的

「サプライチェーン強化に向けたセキュリティ評価制度」は、企業単体ではなくサプライチェーン全体のサイバーセキュリティ水準を底上げすることを目的とした制度です。
近年、取引先や委託先を起点としたサイバー攻撃が事業停止や信用失墜につながるケースが増加しており、こうしたリスクを可視化し、体系的に低減していくことが求められています。

こうした背景を踏まえ、本制度では、発注者が受注者に提示する取引条件の一部としてセキュリティ要件を位置づけ、その達成度を段階的に評価する仕組みが想定されています。具体的には、★3、★4、★5といった評価段階が設定され、2026年下期には★3および★4の運用開始が予定されています。

対象企業と対象機器

本制度は、以下のようなサプライチェーン上で重要な役割を担う企業を主な対象としています。

• 主要製造業や、複雑かつ多層的なサプライチェーンを持つ業種（自動車、半導体、精密機器、電子部品など）
• 流通・物流関連企業（倉庫管理、配送、在庫管理システムを運用する事業者など）
• 金融業・決済関連事業者（金融機関、決済代行事業者、フィンテック企業など）
•  IT企業 (クラウドサービスプロバイダー、システム開発ベンダー／SIer、アウトソーシングサービス事業者[ データセンター、マネージドサービス等 ])

これらの企業は、自社が直接攻撃を受けるだけでなく、取引先や顧客に影響を及ぼす「起点」となり得る立場にあることから、特に高いセキュリティ水準が求められます。今後は「評価制度に対応しているかどうか」が、新規取引や取引継続の前提条件になる可能性も十分に考えられます。

また、対象となる機器・システムは、企業のIT基盤全般です。

セキュリティ評価制度の概要

本セキュリティ評価制度の大きな特徴は、形式的な規程や文章の整備状況だけではなく、日常の業務やシステム運用の中で、セキュリティ対策が実際に機能しているかどうかを重視している点にあります。

単にルールを定めているだけでは評価されず、アクセス管理や権限管理、インシデント対応などが、現場レベルで継続的に実施・管理されているかが評価の対象となります。

そのため、本制度では技術的対策と運用面の両方を踏まえた評価項目が設定されており、企業は自社のセキュリティ対策状況を客観的に把握するとともに、段階的な改善につなげていくことが求められます。

以下の表では、こうした考え方に基づいて整理された、評価制度の全体像と主な評価観点を示します。ただし、経済産業省から一部の詳細がまだ公表されていないため、現時点では「TBD（未定）」としています。

評価項目は、国際的に広く参照されているNISTサイバーセキュリティフレームワークの考え方を基に構成されています。評価は、ガバナンス、識別、防御、検知、復旧、対応といった各領域に対して設定されており、企業のセキュリティ対策を多角的に確認できる内容となっています。特に本制度では、防御に関する評価項目の比重が高く、 ★3では13項目　★4では22項目が設定されており、他の領域と比較しても突出しています。これは、サプライチェーン全体のリスク低減において、侵入を防ぎ、被害を未然に抑止するための実効的な防御対策が特に重要視されていることを示しています。

制度開始までのスケジュール

2026年度下期の制度開始を目指し、現在、制度運営基盤の整備や利用促進に向けた取り組みが進められる予定です。 評価段階のうち、★3および★4は令和8年度下期からの運用開始が想定されており、★5については現時点では開始時期が未定とされています。

制度構築方針の発表から運用開始まで約1年と限られており、その間に「現状のセキュリティ対策状況の把握・分析」「対応方針の検討」「製品選定」「社内での予算申請」「製品購入」「構築および運用開始」までを段階的に実施する必要があります。特に★4では第三者評価が求められるため、申請手続きや評価に要する期間を考慮した、早期かつ計画的な対応が求必要不可欠です。

Keeper Security が対応できる項目と機能概要

評価制度における「防御」に関する要求事項について、Keeper Securityのソリューションは、IDおよび認証・アクセス管理の観点から、直接的または間接的に対応可能です。特に、防御領域では、ユーザーや管理者の認証情報を適切に管理し、不正利用や権限濫用を防止することが重要な評価ポイントとなっています。

主な対応項目は以下のとおりです。なお、ここに挙げた項目以外にも、運用管理や統制の観点から多くの要求事項に対応可能です。

• ユーザIDの管理手続  (要求事項：No.4-1-1)
• 管理者IDの管理手続  (要求事項：No.4-1-2)
• 認証の強度・実装方法の決定  (要求事項：No.4-1-3)
• パスワード設定ルールの策定・適用  (要求事項：No.4-1-5)
• パスワード管理ルールの整備・運用 (要求事項：No.4-1-6)
• 情報機器及びシステムに関するログの取得および、異常検知を目的とした定期的にレビュー (要求事項：No.4-1-6)

Keeper Securityは、ID・認証・特権管理を中核とした1つの統合プラットフォームとして、評価制度の「防御」に関する要求事項に対応するための以下の機能を提供します。を提供します。

• パスワード管理
  強固な暗号化による認証情報の保護に加え、強制適応ポリシー、パスワードの使い回し防止、MFA対応、ダークウェブ監視を通じて、漏えいや不正利用のリスクを低減します。
• 特権アクセス管理（PAM）
  特権IDの制御、操作証跡、セッション管理、管理者権限の最小化により、管理者アカウントの不正利用や内部不正を防止します。
• エンドポイント特権管理
  アプリケーション単位での権限制御を実現し、ユーザーに恒常的な管理者権限を付与することなく、業務に必要な操作のみを許可します。

また、Keeper Securityのパスワード管理および特権アクセス管理は、ユーザー単位のサブスクリプション課金によるクラウドネイティブで提供されます。そのため、オンプレミス型製品のような複雑な設計や大規模な構築作業を必要とせず、制度対応を見据えた対策であっても短期間での導入が可能です。

結果として、初期導入コストや運用負荷を抑えながら、評価制度に求められる要件を満たすTCO（総所有コスト）を意識したセキュリティ運用を実現できます。

Keeperがユーザーに選ばれる理由

サプライチェーンにおけるセキュリティ評価への対応は、今後の取引継続や事業成長を左右する重要な経営課題です。

Keeperは、ゼロトラストおよびゼロ知識アーキテクチャに基づいた高水準のセキュリティ設計を採用し、認証情報や機密データを保護するとともに、データ漏えいリスクの低減に取り組んでいます。こうした設計思想は、サプライチェーン全体のリスク低減を重視するセキュリティ評価制度の考え方とも親和性が高いものです。

またKeeper は、業界の中でも長年にわたりSOC 2への適合を維持しており、ISO 27001、27017、27018の各認証を取得しています。さらに、GDPR、CCPA、HIPAAへの準拠に加え、FedRAMP High およびGovRAMPの認可も取得しています。2025年には、暗号モジュールにおいて FIPS 140-3 認証を取得し、政府機関や高いセキュリティ要件が求められる組織向けのデータ保護体制を一層強化しました。

Keeperは、こうした国際的なセキュリティ基準への対応を通じて、あらゆる規模の組織がサイバーセキュリティのベストプラクティスを無理なく導入・継続できる環境を提供しています。

さらに、Keeperのサポート体制も、制度対応を進める企業にとって重要なポイントです。サポートチームは世界中で24時間365日日本語で対応しており、基本操作を学べるチュートリアル動画、ドキュメントポータル、オンデマンドのウェビナーなどのリソースを通じて、新任管理者やエンドユーザーが導入から活用までをスムーズに進められるよう支援しています。

実際の導入事例や第三者評価に基づいた、信頼できるサイバーセキュリティプラットフォームをお探しの方は、無料トライアルまたはデモを通じて、Keeperが機密性の高いデータ保護のソリューションとして、世界で10万を超える組織に選ばれている理由をぜひご体験ください。

注意書き：本資料における見解は、経済産業省が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」の内容を基に、Keeper Security の立場から作成したものです。本制度の内容および運用に関する最終的な解釈・適用については、今後の制度正式版や関係当局の発表等をご確認ください。