はじめに
自社では Keeper の パスワード管理ツール を日常的に活用しています。
QiitaをきっかけにKeeperPAMを知り、同じKeeper Security社の製品であることから「どんな機能があるのか」を調べてみました。
本記事では、PAM とは何か、KeeperPAM と VPN クライアント(FortiClient)の違い、KeeperPAM の使い方、実際に使ってみた感想をまとめています。
PAM (Privileged Access Management)とは?
サーバーや重要な機器に強い権限でアクセスする人を安全に管理する仕組みです。
- 誰が(ユーザー)
- いつ(日時)
- どこで(場所や端末)
- 何をしたか(操作内容)
をはっきり記録・制御して、不正利用やミスを防ぎます。
KeeperPAM とは
特別な権限を持ったユーザーのアクセスを安全に管理するクラウドサービスです。
- パスワードや秘密情報をまとめて保管
- 必要なときだけ短時間でアクセス権を自動発行・自動回収
- 誰が何をしたかを録画およびログとして記録
FortiClient (VPN) との違い
当社ではFortiClient (VPN) を使って社内のWindows PCに安全にアクセスしています。
では「KeeperPAM」は「VPN」と何が違うの?と思い、今回、その機能について簡単に比較してみました。
| FortiClient (VPN) | KeeperPAM | |
|---|---|---|
| 目的 | ネットワークに安全につなぐ | 特権ユーザーの操作を管理・記録する |
| アクセス範囲 | 社内ネットワーク全体 | サーバーやデータベースなど特定の資源 |
| 操作記録 | 接続の履歴(ログイン・ログアウト) | 画面・コマンド・ファイル転送まで録画 |
| 権限管理 | 手動でアカウント発行・削除 | 自動で一時発行(JIT)・SCIM連携 |
| セキュリティ | VPNトンネル | ゼロトラスト接続(ZTNA) |
VPN は、会社のネットワークに安全につなぐツール。一方、KeeperPAM は、ネットワークにつないだ後、「誰が」「何を」したかまで管理するツールです。
FortiClient に PAM 機能がない理由
FortiClient はウイルス対策やVPN接続が主な役割です。
特別な権限のアカウント管理や操作の録画を行う場合は、別製品の FortiPAM を導入する必要があります。
まとめ
FortiClient (VPN):ネットワークに入るための「
鍵」
KeeperPAM:入った後の操作を管理・記録する「
監視カメラ」
- パスワードや秘密情報をまとめて安全に保管
- 必要なときだけ短時間で権限を自動発行・回収
- 全操作を録画・ログとして残せる
FortiClient (VPN)は、あくまで「社内ネットワークへ安全に接続するための手段」です。誰がいつサーバーやデータにアクセスし、どんな操作をしたかまではわかりません。
KeeperPAM は、ネットワーク内で権限を持つユーザーの操作をリアルタイムで録画・記録し、必要なときだけ管理者権限を付与し、作業後すぐに権限を取り消すことで不正利用を防止します。その録画データをもとに、「誰が」「いつ」「どこで」「何をしたか」を瞬時に確認できます。
ゼロトラストの時代には、ネットワーク接続後の操作も見える化することが欠かせません。
KeeperPAM のインストール
以下のリンクから KeeperPAM の無料トライアルを開始できます。
Keeper PAM の環境構築手順
サンドボックス環境を構築して、KeeperPAMの機能について体験してみました。
① KeeperPAMの起動(管理コンソールにログインします)
②左メニューの「管理者」をクリックします。
[ロール]タブをクリックして、[ロールを追加]ボタンをクリックします。
ロールの名前(例:Test Role)を入力して[ロールを追加]ボタンをクリックして、新しいロールを作成します。
③追加した「ロール(Test Role)」を選択して、[強制適用ポリシー]ボタンをクリックします。
[特権アクセス管理]ボタンをクリックして、PAMに関する全ての強制適用ポリシーのチェックボックスを有効にして(全てチェックを入れる)、[完了]ボタンをクリックします。
④[+ユーザーを追加]ボタンをクリックして、作成した「ロール(Test Role)」にログインできるユーザーを追加します。
⑤アクセス許可をするユーザーを選択して、[ユーザーを追加]ボタンをクリックします。
▶ 補足メモ
Keeperゲートウェイは、Docker や Linux、Windows にインストールして使えるサービスです。
・ パスワードなどを自動で更新(ローテーション)
・ 不正な動きを見つける(検出)
・ 暗号化した安全なトンネル接続
の機能をまとめて実行します。
接続は、Keeperボルトから送られたデータは暗号化されたままKeeperゲートウェイが外向きにだけ接続するので、社内に受信ポートを開けずに済むため、設定がとても簡単です。
⑥次に、Keeperボルトにログインします
※ PAMに関する強制適用ポリシーが有効になっている場合、左メニューに「シークレットマネージャー」ボタンが表示されています。
⑦右上の[+新規作成]ボタンをクリックして[ゲートウェイ]ボタンをクリックします。
⑧このゲートウェイのプロジェクト名を(例:テスト)入力し、ゲートウェイを実行するオペレーティングシステム(例:Docker)を選択して、「サンプルレコードを作成する」にチェックを入れて、[次へ]ボタンをクリックします。
ゲートウェイが構築されます。
完了したら、リンクから「Docker Composeファイル」をダウンロードします。
リモートブラウザの分離機能も利用するので、Dockerのseccompファイルもダウンロードしてください。
[完了]ボタンで閉じます。
⑨Docker環境を設定します。
※前提条件:Dockerの環境がインストールされている前提で説明しています。
Dockerを起動して、ターミナルを開き、作業ディレクトリ(例:docker-test)まで移動します。
作業ディレクトリに「⑧の手順でダウンロードしたdocker-compose.ymlとdocker-seccomp.json」を配置します。
docker-compose.ymlの内容は、使用する環境(API/Connectorの設定など)に合わせて修正してください。
今回は、体験テストなのでdocker-seccomp.json はそのまま使用します。
docker compose upを実行すると、環境構築が開始されます。
PC のスペックにもよりますが、 構築が完了するまで 40 分ほど かかりました。
## 作業ディレクトリに移動
% cd docker-test
## 作業ディレクトリ内にdocker-compose.ymlとdocker-seccomp.jsonが格納されていることを確認
% ls
docker-compose.yml
docker-seccomp.json
## docker環境を構築
% docker compose up
⑩PAM機能を確認します。
左メニューの[マイボルト]から「⑧で作成したゲートウェイフォルダ(テストフォルダ)」をクリックします。
リソースフォルダをクリックして「VNC Machine」を選択して、[Launch]をクリックしてリソースにログインできます。
下記のように画面が表示されて、リモートアクセスできます。
▶ 補足メモ
「GatewayOffline Unable to establish connection to gateway 」画面が表示されたら、dockerが起動されていることの確認してください、または、下記の処理を試してみてください。
## docker-compose.ymlとdocker-seccomp.jsonが格納されている作業ディレクトリ内で下記のコマンドを実施
docker compose up -d keeper-gateway
# keeper-gateway が "Up" になっているか確認する
docker ps
これでPAM機能の設定確認が完了し、実際のリソースアクセスを安全に運用できる状態になりました。
最後に体験した感想
KeeperPAMを操作してみて、Keeper Security社の既存製品を利用中の人にとって、全てを一元管理できるのは非常に便利だと感じました。
管理しやすいことで無駄な作業が減り、コスト削減につながります。
そして、ロール権限でアクセスできるユーザを設定できるので、管理もとても楽になります。
私が、KeeperPAMを体験して一番すごいと思った機能は、アクセスログ(レポート機能)です!
操作手順は下記になるのですが、「誰が・いつ・どこで・何にアクセスしたかを」 リアルタイムで監視できるのは、すごく便利だと思いました。
レポート機能
① KeeperPAMの起動(管理コンソールにログインします)
https://keepersecurity.jp/console/#login
②右メニューから「レポートとアラート」ボタンをクリックして、「最近のアクティビティ」をクリックします。
③下記のように、アクセスしたログが全て表示されます。
※個人情報は全てダミーデータに差し替えています。
最後までお読みいただき、ありがとうございました。
誤りなどがございましたら、コメント欄でお知らせください。確認次第、速やかに修正いたします。