【Keeper PAM】Keeper PAMの仕組みを紐解いてみた

» 技術 » Keeper
kusumin kusumin

はじめに

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です。

企業の特権アクセス管理(PAM)を次世代のゼロトラスト・ゼロ知識ベースへ引き上げる「Keeper PAM」の導入を検討する中で、「コンポーネントが多くて、それぞれの役割やつながりが分かりづらい…」と感じたことはありませんか?

私はあります!

そこで今回は、Keeper PAMを構成する重要な要素の役割と、それらがどのように連携して安全なアクセスを実現しているのかを、シンプルに解説します。

PAMの概要については下記ブログをご参照ください。

Keeper PAMを構成する主要な要素

Keeper PAMの仕組みを理解するためには、要素を大きく「①インフラとクラウドを繋ぐ橋渡し」「②管理対象の整理」「③実際のアクセス」の3つのグループに分けて整理すると、分かりやすくなります。

① インフラとクラウドを繋ぐ橋渡し

Keeperの保管庫(Keeper Vault)と、社内ネットワーク(オンプレミスやクラウド上の仮想ネットワーク)を安全に接続するためのコンポーネントです。

  • ゲートウェイ(Keeper Gateway)
    • 社内ネットワークやクラウド環境に配置する軽量なサービスです。
    • ファイアウォールの内側からKeeperクラウドへアウトバウンドで接続するため、外部に対して通信ポートを公開する必要がありません。
    • パスワードのローテーション処理や、ターゲット機器への安全なリモート接続を実際に実行する「手足」のような役割を担います。
  • シークレットマネージャーのアプリケーション
    • ゲートウェイがKeeper Vaultへプログラム的にアクセスするための「認証用クライアント」としての役割を持ちます。
    • APIベースで安全にシークレットをやり取りするために必要です。
  • シークレットマネージャーのPAM構成
    • 上記のアプリケーションとゲートウェイを紐づけ、ゲートウェイが「どのリソースにアクセスし、どのようなPAMタスク(パスワード変更など)を実行できるか」を定義した設定ファイル(プロファイル)です。 

Keeper-pam-architect-003

② 管理対象の整理

ターゲットとなるサーバーや、そこで使われる特権アカウントをKeeperボルト内でどのように整理するかを定義します。

  • リソースフォルダ
    • 対象となるサーバー、データベース、ネットワーク機器などの「リソース(接続先)」レコードをまとめて格納する共有フォルダです。
    • 各リソースを利用するユーザーに共有します。
  • ユーザーフォルダ
    • リソースに紐づく特権アカウント情報(Administratorやrootなど)をまとめて格納する共有フォルダです。
    • PAMユーザーと呼ばれる、実際の「特権アカウント(クレデンシャル情報)」を格納し、アカウントのパスワードを定期的に(またはアクセス毎に)ローテーションすることが可能です。
    • 各リソースを利用するユーザーに共有しないことで、ユーザーからは認証情報を見えなくすることが可能です。

Keeper-pam-architect-001

③ 実際のアクセス

ユーザーがターゲット機器へ操作を行うためのコンポーネントです。

  • 接続(Connection)
    • ユーザーがKeeperを通じてターゲットのリソース(RDP、SSH、VNC、データベース接続など)に対して確立するリモートセッションを指します。
    • VPNを使わずに、ブラウザからのTLS暗号化通信を通じて、ターゲット機器をインターネットに公開することなくゼロトラスト原則に基づいたセキュアなアクセスを提供します。

Keeper-pam-architect-002

どのように動作するのか?

これらの要素がどのように連携して「安全な特権アクセスとパスワードローテーション」を実現しているのか、一連の流れを見てみましょう。

  1. 環境の準備(橋渡し) 
    社内環境にゲートウェイを構築します。このゲートウェイは、シークレットマネージャーのアプリケーションPAM構成を通じて、Keeperクラウドと安全な通信を確立します。
  2. 情報の整理(管理)
    Keeper Vault内で、接続先のサーバー情報をリソースフォルダに、そこで使う特権アカウント(PAMユーザー)をユーザーフォルダに整理し、それらを関連付けます。
  3. パスワードの自動変更
    設定したスケジュールに基づき、Keeperクラウドからゲートウェイに指示が飛びます。 ゲートウェイは対象サーバーにアクセスし、PAMユーザーのパスワードを安全に変更(ローテーション)し、新しいパスワードをボルトに保存します。
  4. 安全なリモートアクセス(接続)
    管理者がサーバーにアクセスしたい時は、VPNに繋ぐ必要はありません。Keeperから対象のリソースを選ぶだけで、ゲートウェイを経由してブラウザ上でRDPやSSHの**接続(Connection)**が確立されます。ユーザーは裏側でローテーションされた複雑なパスワードを知る必要すらありません。

ざっくりですが、これらの流れをまとめてみました。

keeperpam-architect

さいごに

一見複雑に見えるKeeper PAMですが、役割ごとに分解すると非常にロジカルに設計されていることが分かります。

  • ゲートウェイPAM構成/アプリが安全な土台を作り
  • リソース/ユーザーフォルダで情報を整理し
  • 最終的に安全な接続を提供する

これがKeeper PAMの全貌です。

攻撃の起点として狙われやすいVPN依存から脱却し、よりセキュアで管理のしやすいゼロトラスト環境の構築に向けて、ぜひKeeper PAMを活用してみてください!

2025_SaaSLP_バナー