JTP Technology Port

    技術や情報、そして人々が集まる"港"

事例から学ぶ特権アクセス管理 ― JTPがKeeper Securityを採用した理由と、安心安全な運用を支えるサービス | Interop Tokyo 2026 セッションレポート

JTPは、Interop Tokyo 2026において、Keeper Security社との共同セッション「事例から学ぶ特権アクセス管理」に登壇しました。前半ではKeeper Security社より、認証情報を狙う攻撃の動向と特権アクセス管理ソリューション「KeeperPAM」のご紹介があり、後半ではJTPサイバーセキュリティ部より、Keeper Securityを自社サービスに採用した決め手と、お客様に安心安全にご利用いただくためのJTPの取り組みをご紹介しました。本記事では、JTPの講演内容を中心にレポートします。

 

 

KeeperPAMとは

KeeperPAMは、Keeper Security社が提供するクラウドネイティブの特権アクセス管理(PAM)プラットフォームです。エンタープライズパスワード管理、シークレット管理、特権セッション管理、エンドポイント特権管理などの機能を単一のインターフェースに統合し、サーバー、ウェブアプリケーション、データベースといった重要なリソースへのアクセスを保護・管理します。ゼロトラスト・ゼロ知識アーキテクチャを採用しており、暗号化された認証情報は利用者本人にしか復号できません。ブラウザから利用できる手軽さと、セッションの録画・監査ログによる高い証跡性を両立している点も特長です。

詳細は、Keeper Security社の製品ページ「特権アクセス管理 (PAM) ソリューション - Keeper」をご覧ください。

クラウド監視・運用サービス「Kyrios」でのKeeper Security活用

JTPは、お客様のクラウド環境をリモートで監視・運用するサービス「Kyrios」を提供しており、その運用基盤にKeeper SecurityのKeeperPAMを導入しています。講演では、導入の目的として「お客様の環境を守ること」に加え、「運用にあたるオペレーターを守ること」を挙げました。

オペレーターはガイドラインに沿ったパスワード管理を実践し、管理者は運用環境が正しく使われているかを確認する。さらにKeeperPAMにより、正しい人が必要なときにだけお客様環境へアクセスできる仕組みを実現しています。これらを統合的に管理するのがKeeper ボルトであり、オペレーターも管理者も、ブラウザ上のボルトを中心にセキュリティを担保しています。また、Keeper SaaSへの通信はアウトバウンドのみで構成できるため、インターネット・VPN・専用線のいずれの経路においても通信の秘匿性を確保できます。

図1:Kyrios(JTPクラウド運用サービス)におけるKeeper Securityの構成イメージ(講演資料より)

なぜKeeper Securityを採用したのか

講演では、採用の決め手として大きく3つのポイントを挙げました。

  1. パスワード管理の柔軟さ
    ゼロトラスト・ゼロ知識アーキテクチャという高度なセキュリティで保護された環境下で、パスワードの管理を柔軟に実施できます。オペレーターは安全な保管庫(Keeperボルト)の中でガイドラインに沿ったパスワード運用を実践でき、管理者はパスワードの強度や使い回しの状況を可視化して、運用環境が正しく使われているかを確認できます。
     
  2. 柔軟な特権管理と証跡の取得
    必要なときにだけアクセスを許可するといった柔軟なアクセス制約に加え、ISMSで必要となる操作履歴(画面キャプチャを含む)の証跡を取得できます。誰が、いつ、どこにアクセスして何を行ったかを後から確認できるため、監査対応の観点でも大きな効果があります。この2つの機能、すなわちパスワード管理と特権管理を1つの製品で高いレベルで実現でき、アクセス・管理のインターフェースが単一である点も、大きな評価ポイントでした。
     
  3. 最小特権やDB特権までの制御
    いわゆる特権IDの管理にとどまらず、各ユーザーやプログラムが使用するライブラリ、実行ファイル、データベースのクエリといった非常に細かい単位まで制御する機能を備えています。「アクセスできてしまえば何でも作業できてしまう」という実行面の課題に対しても、必要な人に必要なタイミングで必要な権限だけを渡す、というゼロトラストの考え方を徹底できます。

図2:Keeper Securityを採用した3つの決め手(講演資料より)

導入時の考慮点 ― 現場目線の3つのポイント

講演では、実際の導入と運用定着に向けて考慮すべきポイントとして、次の3点を紹介しました。

 

①接続情報の洗い出し

特権管理ツールの導入では、まず「どのIDで、どこに接続しているか」という接続情報の洗い出しが必要になります。従来型の特権管理ツールは特権IDを軸に情報を整理し、設計・作り込みを行う必要があり、これが導入の長期化や複雑化の一因となっていました。これに対しKeeper Securityは、アクセスするユーザーを軸にアクセス先を紐づけていく設計のため小回りが利き、柔軟かつ迅速に導入できます。この点も、JTPがKeeper Securityを選んだ大きな決め手の一つでした。

② オペレーターが使いやすいインターフェースの設計

ファイアウォールやクラウド上のセキュリティ製品と大きく異なるのは、パスワード・特権管理ツールは現場のオペレーターが日々最も頻繁に使うツールであるという点です。機能が豊富に提供されていても、使いづらければ運用は定着しません。Keeper Securityは、視覚的なダッシュボード、簡潔明瞭な設定画面、分類されたアラート・ログといった直感的に操作できる環境を備えており、運用の負担を抑えられます。

図3:直感的なダッシュボードと整理されたアラートが運用負担を軽減(講演資料より)

 

③運用を意識した管理者権限の調整

お客様の環境を特権とパスワードで守る立場としては、単純に「全権を持つ管理者とオペレーター」という構成にするのではなく、必要な権限を必要な人に与えながら、管理の効率性を上げていくことが重要です。JTPでは、Keeper全体の統括やアカウントの新規発行を担う「全体管理者」、担当チームへのメンバーの出し入れや個別IDレコードの作成・登録を行う現場のチームリーダーなどの「サブ管理者」、フォルダやレコードの作成権限を持たずに運用・監視業務を行う「一般ユーザー」と、役割ごとに権限を分担しています。全体管理者は全社のセキュリティポリシーやライセンスの統括に集中でき、現場では即座に対応できるため、現場対応の速さと安全性を両立できます。また、管理外の特権アクセスレコードを発生させない仕組みづくりにもつながっています。

権限

役割

担当する作業内容 (例)

メリット

全体管理者

管理者

  • Keeper全体の統括
  • 新メンバーの「Keeperアカウント」の新規発行
  • 「チーム」自体の作成・削除

全社のセキュリティポリシーや

ライセンスの統括に集中できる。

サブ管理者

現場のチームリーダー

  • 担当する取引先チームへの「メンバーの出し入れ」
  • 新メンバー用の「個人フォルダ」の作成
  • 新メンバー用の「個別IDレコード」の作成・登録

現場で即座に対応できるため、

全体管理者の作業負担を低減できる。

一般ユーザー

現場の担当者等

  • 各取引先環境の運用・監視業務
    (フォルダやレコード作成権限はできない)

管理外の特権アクセスレコードを

発生させない。

表1:役割ごとに権限を分担する管理者権限の調整(講演資料より)

 

Keeper Securityの価値を引き出す、JTPの伴走型導入支援サービス

JTPはKeeper Security社のビジネスパートナーとして、自社導入で得た経験・知見をもとに、要件定義から運用までを支援する導入支援サービスを提供しています。セキュリティ製品は「入れて終わり」ではなく、何を守るべきか、そのために製品でどうアプローチするかという最初の要件定義が極めて重要です。JTPはProofpoint ITM(内部不正・情報漏洩対策)で培った伴走型支援の経験を活かし、要件定義、導入・実装、展開、調整・改善まで、お客様と一緒に運用定着を進めます。

さらに導入後の運用フェーズでは、Kyriosによる監視・運用(Keeper Securityのアラート監視、定型作業代行、ゲートウェイ死活監視など)を提供しており、Keeper Securityの導入から運用まで一気通貫で、お客様の安心安全な環境づくりをサポートします。

図4:JTPが提供するインプリメントサービスの全体像(講演資料より)

 

おわりに

Keeper Securityソリューションの導入をご検討の際は、ぜひJTPまでお問い合わせください。自社導入とサービス提供の経験をもとに、お客様の環境に最適なご提案をいたします。

本記事の内容は、公開時点での内容のものです。
実際に導入を検討する際は、各製品・サービスの情報は、公式サイトのドキュメント等をご参照ください。

JTP Technology Port 新着記事