ランサムウェア被害を“侵入後”に拡大させない、特権アカウント防御の要 特権ID・特権アクセス管理「KeeperPAM」とは
目次
1.「KeeperPAM」が必要な背景(ランサムウェアと特権ID)
ランサムウェア被害は企業規模を問わず拡大しており、初期侵入後の短時間で被害が顕在化しやすい点が大きな脅威となっています。
攻撃者は、不正に入手したID/パスワードを悪用し、侵入後に権限昇格や横展開(ラテラルムーブメント)を行いながら、重要サーバへと到達し被害を拡大させていくケースが一般的です。
特権IDは「ほぼすべての操作が可能」となり得るため、一度悪用されると業務やシステムへの影響は極めて大きなものとなります。
そのため、ランサムウェア対策においては「入口対策」だけでなく、侵入後の段階において“特権IDを奪わせない/使わせない/証跡を残す”仕組みを整備することが不可欠です。
2.「KeeperPAM」とは
「KeeperPAM」は、特権IDの管理と特権アクセス(リモート接続)の制御・監査を一体化した、特権ID/特権アクセス管理(PAM)サービスです。
- ■ID管理
- 特権ID(ユーザー名・パスワード)の管理、払い出し、定期ローテーションを実施します。
- ■セッション管理
- 管理通信向けのリモートアクセス(VPN代替)に加え、操作監視やセッション録画による監査に対応します。
- ■昇格・委任管理
- 最小権限の付与やロールベース制御により権限管理を行い、レポート機能によってコンプライアンス対応を支援します。
3.「KeeperPAM」の主な特徴
- ① “奪われても使えない”を実現(パスワード秘匿+自動ローテーション)
-
ランサムウェア攻撃では、盗まれた認証情報が横展開や権限昇格に悪用されます。
「KeeperPAM」は、利用者にパスワードを見せることなく特権アクセスを実行でき、さらに定期・オンデマンド・利用後自動といったパスワードローテーションに対応しています。
-
<パスワードローテーションについて>
手動変更 オンデマンド処理で特定レコード上にあるパスワードを変更する 定期変更 特定レコード上にあるパスワードをスケジュール設定で定期変更を行う 自動変更 特権アクセス向けに特権アカウントを利用後、パスワードを自動変更する -
対応範囲も広く、ローカル環境(Windows/Linux/macOS/Active Directory)に加え、「Microsoft Azure」や「Amazon AWS」、データベース、SaaS、ネットワーク機器まで、ローテーション対象を拡張することが可能です
これにより、漏えいした資格情報の「有効期間」を短縮し、攻撃者による横展開の成功確率を低減できます。また、パスワードの平文共有やExcelによる管理を排除することで、特権IDの漏えいリスクの低減にも寄与します。
-
<対応環境/対応アカウント>
環境 対応アカウント ローカル ネットワーク Windows/Linux/macOS ユーザアカウント, Active Directoryアカウント、データベースアカウント(MySQL, PostgresQL, MariaDB, MongoDB, Oracle, MsSQL Server Azure Azure ADドメインアカウント、仮想マシン、マネージドデータベース(Azure SQL,MySQL, MariaDB,PostgresQL) AWS AWS ADユーザ,EC2ユーザ、IAMユーザ,IAMアクセスキー,マネージドデータベースユーザ(MySQL, SQL server, Postgresql, MariaDB, Oracle) SaaS アカウント Okta, Snowflake, REST API ネットワーク 機器 Cisco IOS, Meraki - ② ゼロトラスト、リモートブラウザ分離によるリモートアクセス
-
「KeeperPAM」は、管理通信におけるリモートアクセス手段として、ゼロトラストアクセスおよびリモートブラウザ分離を活用しています。
管理者端末から直接ネットワークに接続する構成を最小化し、「必要な時に、必要な対象へ、必要最小限のアクセス」を実現します。
対応プロトコルは、SSH/RDP/VNC/HTTP(S)に加え、データベースやKubernetesなどの管理アクセスにも対応しています。
-
<管理通信の接続イメージ>
PAM利用ユーザーは、払い出されたレコードから「開始」ボタンをクリックするだけで、認証情報を意識することなく安全なリモートアクセスを開始できます。
- ③“やった/やってない”で揉めない(セッションレコーディング)
-
侵害時に重要なのは、封じ込めや復旧だけでなく、「誰が、いつ、どのような操作を行ったか」を追跡することです。
「KeeperPAM」は、特権アクセスにおける操作履歴をセッション録画として保存し、事後に再生することができます。
セッションレコーディングとは、特権IDや特権ユーザーアカウントによるリモートアクセス時の操作履歴をすべて録画する機能であり、事後に動画としてプレイバックが可能です。
また、CLIアクセスについてはテキストファイル形式での出力にも対応しています。
これにより、インシデント発生時にも確実な証跡を確保でき、迅速な調査と再発防止に寄与します。
さらに、作業の監査性を向上させることで、内部不正や過失への備えにもつながります。
-
<対応プロトコル>
レコーディング方法 対応プロトコル セッション動画 SSH, RDP, MySQL, SQL Server, PostgreSQL, VNC, Telnet, HTTPS テキストファイル
(TypeScript)SSH, MySQL, SQL Server, PostgreSQL, Telnet - <録画した動画の確認画面>
- ④監査・運用を回す:レポート/アラート
-
管理コンソールでは、トンネルの開始・停止、接続の開始・停止、RBI(リモートブラウザ分離)の開始・停止、ゲートウェイの状態、ローテーションの成功・失敗などのログを確認することができます。
これにより、異常の早期検知 、監査対応、コンプライアンス報告に活用することが可能です。
- <ダッシュボード上で確認できる操作録画画面>
4.構成・利用イメージ
- ① 構成概要(Web Vault+Gateway)
-
「KeeperPAM」は、SaaS側のWeb Vaultを中心に、接続先(オンプレ/クラウド)へ到達できる位置にKeeper Gateway(ソフトウェア)を配置する構成です。
GatewayはDockerまたはLinuxでの展開が推奨されており、同時接続数に応じたサイジングの検討が必要となります。
また、ネットワーク要件として、GatewayからKeeper Cloudへのアウトバウンド通信を許可する必要があります。
<導入構成イメージ>
例: On-premise/AWS 環境設置のサーバー向けに特権アカウント管理を利用したい
- ② 利用イメージ(払い出し→期限→開始ボタンで接続)
-
PAMリソースレコードを作成し、利用ユーザーへ安全に共有(払い出し)を行います。
その後、有効期限の指定や通知を設定することで、アクセス権限の管理を行うことができます。
また、失効後には自動でパスワードを変更することも可能です。
利用者は、共有されたレコード内の「起動」ボタンからリモートアクセス(ZTNA/RBI)を開始し、安全な環境で作業を実施します。
- ③ 代表的な活用シーン
-
サーバ運用(Windows/Linux)では、RDPやSSHによる特権作業を、パスワード秘匿とセッション録画により安全に実施できます。
「Active Directory」や「Entra ID」においては、特権アカウントの定期的なローテーションや、利用後の自動パスワード変更による管理が可能です。
データベース運用保守では、「MySQL」、「PostgreSQL」、「SQL Server」などへの管理アクセスを可視化し、操作内容の監査を行うことができます。
また、「AWS」や「Azure」といったクラウド環境においては、IAMユーザーやアクセスキーの管理にも対応しています。
さらに、ネットワーク機器運用では、「Cisco IOS」や「Cisco Meraki」などへの管理アクセスを統制し、安全な運用を実現します。
5.こんな課題をお持ちの企業様へおすすめ
特権IDの管理が属人化・ブラックボックス化しており、一部の管理者のみがパスワードを把握しているケースや、共有方法がExcelやメモなどに依存している場合には、セキュリティリスクや引き継ぎ時の問題が発生しがちです。
また、退職者や異動者の権限が適切に管理されていない場合、アカウントの無効化漏れや過剰な権限付与が残存し、内部不正や外部からの不正利用リスクが潜在的に存在します。
さらに、サーバやネットワーク機器への操作ログが十分に取得できていない場合には、「誰が、いつ、何をしたのか」を正確に追跡できず、インシデント発生時の原因特定や監査対応に時間を要する可能性があります。
ランサムウェア対策として、EDRやメールセキュリティなどの入口対策のみを実施している場合には、侵入後の横展開や権限昇格を防ぐ仕組みが不十分となり、被害拡大のリスクを抱えることになります。
また、本来は最小権限でのアクセス制御や期限付き利用が必要であるにもかかわらず、実運用では恒久的な権限付与やパスワード共有が常態化しているケースも少なくありません。
※価格、ライセンスの詳細やユニット計算方法については、弊社までお問い合わせください。
その他のセキュリティ製品
