永続アクセス権を排除し、Windows、Linux、macOSのエンドポイントでジャストインタイム (JIT) アクセスを実現。
管理者は軽量エージェントを導入するだけで、永続管理者権限を削除し、必要な場合にのみポリシーに基づいた一時的な権限昇格を適用できます。システムは、ジャストインタイムアクセスを通じてカスタマイズ可能なセキュリティポリシーを適用し、任意で承認フローと多要素認証の適用も可能です。
すべての特権操作は一時アカウントを通じて行われ、作業完了後に自動的に昇格権限が取り消されます。この仕組みはWindows、macOS、Linux環境で機能し、一元化されたダッシュボードではすべての昇格アクティビティが追跡され高い可視性が得られるとともに監査とコンプライアンスにも対応。
すべての管理対象エンドポイントにKeeperエージェントがインストールされます。このエージェントが組織のポリシーに基づいて権限昇格リクエストを傍受し、評価します。
管理者はKeeper管理コンソールを使用して昇格ポリシーを定義。これらのポリシーは、ユーザーが実行できる操作、昇格権限で実行できるアプリケーション、承認または多要素認証の要否を決定します。
ユーザーに永続ローカル管理者権限が付与されることはありません。代わりに、Keeperエンドポイント特権マネージャーにより、Keeperが管理する一時的なアカウントを使用して、特定の操作に対して権限を一時的に昇格させます。
Keeper管理コンソールでは、環境全体にわたるすべての昇格操作、リクエスト、ポリシー適用がリアルタイムで可視化されます。管理者はリクエストの確認、承認、拒否のほか、コンプライアンス監査ログを閲覧できます。
ユーザーはKeeperエージェントを通じて、権限昇格を必要とするアプリケーションやプロセスに対する昇格フローを進めます。
アプリケーションまたはプロセスに権限昇格が必要な場合、Keeperエージェントが関連ポリシーをチェック。
承認が必要な場合、リクエストは管理コンソールまたはコマンドラインインターフェイス (CLI) を介して管理者に送信されます。
承認が不要な場合は、自動的に権限が昇格します。任意で多要素認証を適用できます。
Windows、macOS、Linux向けにカスタマイズされた実装により、オペレーティングシステム全体で一貫した管理が適用されます。
![Windows 11でのKeeperインターフェースでのJava for Windowsを起動するためのアクセスのリクエスト画面で、リクエストの理由を入力する欄に、Javaインストーラーには管理者権限が必要であるというメッセージを表示し、下部には[キャンセル]と[リクエストを送信]のボタンが備わっています。](/assets/images/pages/endpoint-privilege-management/ja_JP/windows-support@2x.webp)
エンドユーザーのデバイス、アプリケーション、アクセスリクエストに関する情報は、ユーザーのデバイス上で完全に暗号化され、Keeper管理コンソール内で権限のある管理者のみが復号できます。Keeperから顧客データ、エンドユーザーのアクティビティ、アプリケーションの詳細情報にアクセスしたり、閲覧したりすることはありません。これにより、完全なプライバシーとコントロールが実現します。
権限昇格が必要な作業を実行するために、システムが一時的な特権アカウントを生成し、作業完了後に自動的に削除されます。これによりゼロスタンディング特権が実現し、セキュリティ リスクが最小限に抑えられます。
ユーザーとシステムに対し、許可された作業を実行するために必要な最小限のアクセス権のみに制限します。
業界のプロトコルと仕様を活用して、さまざまなプラットフォームやテクノロジー間でシステムが簡単に連携できるようにします。
特定の承認済み作業に必要な場合にのみ一時的な昇格権限を付与し、作業が完了するか指定した期間が経過すると、権限が自動的に取り消されます。
管理者は、ユーザーの役割やアプリケーション、組織全体のセキュリティ要件に応じて特権昇格の条件を柔軟に調整できる、状況に応じたカスタムルールを作成できます。
特定のアプリケーションに対してのみ選択的に昇格権限を付与することで、必要なプログラムが管理者機能を実行できる一方で、ユーザー全体には昇格権限を与えず、システム全体のセキュリティを維持します。
永続管理者権限を排除し、承認されたアプリケーションに対してのみジャストインタイムで昇格を許可することで、攻撃対象領域を削減し、セキュリティを強化します。
特権の使用状況に関する包括的な監査ログを提供し、管理者アクセスの制御を記録することで、規制要件を遵守します。
日常的な管理作業への承認を自動化することで、ヘルプデスクの負担を軽減します。
承認されたアプリケーションの権限昇格を自動化することで、IT部門の処理で待たされることなくユーザーが必要な作業を完了できるようにします。
一元化されたプラットフォームからWindows、macOS、Linuxの各エンドポイントに渡って最小限の特権権限ポリシーを効率的に適用し、特権アクセスを管理できるようにします。
詳細なログとSIEMツールへの統合により、昇格アクティビティ、承認状況、エンドポイントポリシーの適用状況を可視化し、インシデントへの対応が迅速になります。
Keeperエンドポイント特権マネージャー は、Windows、macOS、Linux環境におけるエンドポイント全体で最小特権アクセスのポリシーを適用する、特権昇格と委任管理 (PEDM) ソリューションです。ローカル管理者権限を恒常的に付与することなく、ユーザーやプロセスに対して必要なときだけ一時的に権限を昇格 (JIT: Just-in-Time) させることができます。
承認が必要な場合、ユーザーのアクセスリクエストはKeeperの管理者に送信され、「管理コンソール」または「コマンダーCLI」を通じて管理されます。適用されているポリシーに基づき承認が不要な場合は、Keeperエージェントが自動的に特権昇格を許可します。多要素認証 (MFA) が必須となっている場合、ユーザーは続行前にMFAの完了を求められます。この柔軟な仕組みにより、ユーザーによる操作を伴うJITアクセスと、ポリシーに基づく自動JITアクセスの両方に対応し、あらゆるデバイスで一貫した運用が可能です。
エンドポイント特権マネージャーは、Windows、macOS、Linuxへのエージェントベースの導入を通じて、永続ローカル管理者権限を排除し、ジャストインタイムアクセスによるプロセスレベルの制御を実現します。ユーザーは永続的な管理者権限を持たずに操作を行い、Keeperが管理する一時アカウントとロールを通じて特権コマンドを実行するため、真のゼロ常時権限 (ZSP) 環境を実現します。
Keeperプラットフォームは、SPIFFEやMQTTなどのプロトコルを活用した標準ベースのアーキテクチャをサポートし、安全でスケーラブルな統合を実現します。ポリシーは柔軟に適用でき、組織のリスク許容度に合わせて調整できるため、マシンレベルとプロセスレベルでのきめ細かな制御が可能です。
ダッシュボードでは、監視モードのイベントを含むすべての最近のイベントが表示され、主要なワークフローへの入り口として機能します。
Keeperエンドポイント特権マネージャーにより、KeeperPAMのゼロトラストアプローチが拡張され、エンドポイント上での権限昇格を直接制御することで、PAM全体のソリューションでの接続機能を補完します。KeeperPAMではユーザーの接続経路が保護されるのに対し、エンドポイント特権マネージャーでは接続後にユーザーが行使できる管理者権限を管理します。
Keeperエージェントを実行している管理者には、適用されているすべての特権ポリシーが表示され、デスクトップインターフェースで昇格リクエストが追跡されます。ユーザーが昇格権限を必要とする操作を実行しようとすると、組織のポリシーに基づいたポップアップが表示されます。
すでにLAPSを導入している組織においてもシームレスに連携できます。この補完的な構成では、LAPSがドメイン参加済みコンピュータ上のローカル管理者パスワードのローテーションを引き続き管理し、KeeperPAMがドメインアカウント、サービスアカウント、その他LAPSの対象外となる特権認証情報の管理を担います。これにより、既存のLAPSへの投資を活かしつつ、より広範なシステムとアカウント種別に対する特権アクセス保護を拡張できます。
エンドポイント特権マネージャーにより、エンドポイント上での最小特権の適用を通じて、このセキュリティエコシステムがさらに強化されます。LAPSが永続管理者アカウントの認証情報を保護するのに対し、エンドポイント特権マネージャーでは一時的な特権昇格を特定のタスクに対して可能にすることで、そもそもそれらのアカウントを使用する必要性を低減します。これらのソリューションを組み合わせることで、包括的な保護が実現します。LAPSがローカル管理者パスワードを保護し、KeeperPAMがそれらの認証情報やその他の特権アカウントへのアクセスを管理・制御し、エンドポイント特権マネージャーが必要かつ承認された場合に限ってユーザーに特権を付与します。
Keeperエンドポイント特権マネージャーの技術資料、こちらでご覧いただけます。
チャットサポートを利用する場合、Cookie を有効にしてください。