ニュース
PAM(特権アクセス管理)の国内展開を進めるKeeper、「日本はセキュリティ投資の考え方を変える必要」
2025年7月29日 06:30
Keeper Securityの日本法人であり、アジア太平洋地域の本社機能を持つKeeper Security APACは、PAM(Privileged Access Management:特権アクセス管理)ソフトウェアである「KeeperPAM」の日本での事業展開を強化。さらに、国内800社の導入実績をベースに、中堅企業や大手企業にも提案を加速。パートナーを通じた事業展開を推進する。
PAMとは、組織の重要なITシステムなどへアクセスできる権利を持つ「特権アカウント」を保護するソリューションを指す。Keeper Securityでは、PAMを導入して攻撃のターゲットになりやすい特権アカウントを守ることで、認証情報の盗難や不正使用に関連するサイバー攻撃を減少させられるとしている。
あわせて、2025年8月下旬には、KeeperAIを発表することも明らかにした。AIネイティブな特権セッション監視ソリューションと位置づけており、リアルタイム脅威検知の実現や、ゼロトラスト時代における新たなPAMの役割を担うという。
これまでのPAM導入における課題「複雑」「高コスト」を解決
Keeper Security APAC アジアパシフィック地域営業担当シニアバイスプレジデント兼日本カントリーマネージャーの西山高徳氏は、「独自のゼロ知識暗号化モデルによって、IDやパスワードの情報を暗号化するとともに、復号化するキーはエンドユーザーしか持たないという環境を実現しているのが特徴。この技術を活用したPAMは他社にはない」としながら、「日本でPAMを採用している企業は43%に留まり、その多くが大手企業である。導入が進まない理由は、導入形態が複雑であること、導入コストが高いこと、既存環境との連携に課題があることなどであり、中小企業では導入の対象外という認識もあった。その結果、日本の企業におけるアクセス管理やパスワード管理といった入口対策が遅れている。Keeper Securityはシンプルなアーキテクチャを用いており、コストを抑えながら導入ができる。これまでのPAMの課題を解決できる」と自信をみせる。
また、Keeper Security APACアドバイザーの平野拓也氏は、「企業向けパスワード管理やシークレット管理、接続管理、ゼロトラストネットワークアクセス、リモートブラウザー分離といった企業に必要なセキュリティソリューションを、体系化し、群として提供することができる企業はない」としながら、「日本におけるKeeper Securityの認知度が低い。これを解決していきたい」と意気込む。
平野氏は、日本マイクロソフトの元社長としてIT業界の成長を牽引。現在、Keeper Security APACのアドバイザーとともに、富士通やルネサスエレクトロニクス、横河電機で社外取締役を務め、弥生の取締役会長も務めている。また、本田技研工業のエグゼクティブアドバイザー、KKR &Co. のシニアアドバイザーも務め、Three Fields Advisors, LLCの共同創業者でもある。
Keeper Securityは、2011年に米国で設立したサイバーセキュリティ専業企業で、本社は米イリノイ州シカゴにある。社員数は約530人で、米カリフォルニア州エルドラドヒルに開発拠点を置き、アイルランド(コーク市)、フィリピン(セブ)にもオフィスを展開している。全世界で400万人の有料ユーザーを獲得しており、そのうち約300万人が企業ユーザー、約100万人が個人ユーザーだという。平野氏は「毎月900社前後の新規顧客を獲得し続けている。米国防省をはじめとして、政府系にも導入が進んでいる」としている。
日本の拠点は2023年5月に開設。日本のほか、東アジアやオーストラリア、ニュージーランドを含むAPAC地域全体を統括する。
公共機関向けや個人向けも含め、21言語、120カ国以上でサービスを提供
主力製品となるKeeperPAMは、サーバーやウェブアプリケーション、データベース、ワークロードなどの重要なリソースへのアクセスを、保護、管理するゼロトラスト特権アクセス管理ソフトウェアで、クラウドネイティブのゼロ知識暗号化モデルを採用。企業向けパスワード管理、シークレット管理、接続管理、ゼロトラストネットワークアクセス、リモートブラウザー分離の各機能をひとつのインターフェースに統合しており、完全なエンドトゥエンドの暗号化と、独自のデータ分離フレームワークを活用して、サイバー攻撃やデータ侵害からシステムを保護する。
具体的には、完全な制御と可視性により、パスワードの管理、保護、発見、共有およびローテーションを可能にし、組織の監査とコンプライアンスを簡素化する「Keeper Password Manager」、APIキーやデータベースクレデンシャル、アクセスキー、認証情報などの機密を保護する完全管理型のクラウドベースソリューション「Keeper Secrets Manager」(KSM)、特権セッション管理を即座に実現するエージェントレスリモートデスクトップゲートウェイによりVPNが不要で安全なリモートインフラストラクチャとデータベースアクセスを保証する「Keeper Connection Manager」(KCM)などで構成。エージェントレスおよびクライアントレスであること、シンプルな料金体系であること、50以上の製品と統合が可能であり、実装手数料がなく、迅速で簡単に導入が可能であることが特徴だとする。AWSのインフラを活用しており、21言語、120カ国以上でサービスを提供している。
西山氏は「サーバーにログインした情報は全て収集、蓄積し、インシデントが発生した場合に、すぐに情報として利用できるようにしている」とした。
Keeper Securityが採用している暗号化方式は、広く信頼されているアルゴリズムであるAES(Advanced Encryption Standard)であり、256ビットの鍵長を使用。PBKDF2とHMAC-SHA256を使用して、ユーザーのマスターパスワードを256ビットの暗号化キーに変換する。
このプロセスは、最低でも100万回反復して実行するほか、ユーザー間でシークレット(CI/CDやカスタムアプリ、CLIなど)を共有する際には、楕円曲線暗号を使用して安全にキーを配布する。そして、Keeper SecurityのクラウドSSO機能では、ユーザーのボルトに対して、完全なゼロ知識暗号化を維持しながら、SAML 2.0 IDプロバイダーへの認証を実現するという。
また、ボルト内のレコードの安全は、厳格に監視された内部管理手続きを通じて確保されており、AICPAサービス組織管理フレームワークに基づき、10年以上にわたりSOC 2タイプ2への準拠を継続。ISO 27001、27017、27018の各認証の取得や、FIPS 140-3検証済みの暗号化モジュールを採用している。
また、公共機関向けのパスワード管理および特権アクセス管理プラットフォームであるKeeper Security Government Cloud(KSGC)は、FedRAMPおよびStateRAMPを取得している。
さらに、個人向け製品でも実績があり、パスワード管理と個人情報保護を行う「Keeper Unlimited」、同製品にBreachWatchダークウェブ監視とセキュアファイルストレージを提供する「Keeper PlusBundle」、Keeper UnlimitedとKeeper PlusBundleの全ての機能を、1世帯最大5人まで利用できる「Keeper Family」を提供している。
世界初のAIを活用したPAMソリューション「KeeperAI」は8月下旬提供
8月下旬に新たに提供するKeeperAIは、AIによって、特権セッションを監視するソリューションであり、リアルタイム脅威検知の実現のほか、迅速なインシデント対応などを行うことができる。
サーバーやデータベース、アプリケーションのセッション管理や、コマンドキー操作のモニタリングなどを行い、インシデントの発生の可能性を事前に予測したり、不審な動作があり、AIがクリティカルな脅威と判断した場合には、セッションを切断したりといった対応が可能になる。
主な機能として、セッションメタデータやキーストロークログ、コマンド実行ログを分析し、異常な挙動を検出する「自動セッション分析」、セッション全体を対象に、特定のキーワードや操作を検索する「検索機能」、検出した脅威を自動的にカテゴリ分けし、リスクレベルを割り当てる「脅威分類」のほか、クラウド環境およびオンプレミスでのLLM推論への対応、環境に合わせてリスクパラメータや検出ルールを調整できる設定のカスタマイズが可能だ。
脅威を排除する時間が99%短縮するほか、同一時間内にカバーするセッションの範囲を約20倍にまで拡大できるという。
平野氏は、「PAMにAIエージェントを活用するケースとしては、世界で初めてになる。AIによる攻撃を理解した上で、AIによって対策を行うことができるのが特徴である」とした。
今後の日本での展開について、Keeper Security APAC 日本カントリーマネージャーの西山氏は、「日本でPAMの展開を開始したのは2025年に入ってからであり、それ以前は、パスワードマネージャーが事業の中心となっていた。中小企業を対象にビジネスを展開してきたが、今年から来年に向けて、PAMを通じて、中堅企業や大手企業にも積極的にアプローチをしていきたい」とする。
現在、日本では800社が、Keeper Securityの製品を利用しており、日本に拠点が設置される前から、日本でパートナーが個別に販売してきた経緯がある。現在、ダイワボウ情報システム、SB C&Sを通じた販売体制を構築しており、パートナービジネスによる事業成長を目指すという。
「PAMをリリースしてから、数万人規模の企業からの問い合わせがある。グローバルでは、大手企業での導入が進んでおり、そこに開発投資をしている。日本でも、PAMの本格的な事業展開や、新たなKeeperAIの投入により、中堅企業や大手企業への提案を強化する」という。
また、平野氏は、「日本に拠点を開設する前から、米本社に日本人の社員を雇用し、日本語環境へのローカライズをしてきた経緯がある。日本に進出する際にも、WeWorkなどを間借りするのではなく、独自にオフィスを開設するかたちで日本に拠点を置いていること、日本の拠点からアジアをカバーする体制を取っていることからも分かるように、本社が日本市場を重視している」と語った。
現在、Keeper Security APACの社員数は17人であり、今後、エンタープライズ営業担当者やSEなどを増員していくという。
「AIを活用した攻撃には、AIにより対抗する必要がある」
一方で、平野氏は、日本の企業のセキュリティ投資の考え方には変化が必要であるとも提言する。
「米国での投資の考え方は、これから先の動きを捉えて、必要であると考えられるものを導入する姿勢があるが、日本では、ジャストインタイムで、必要なものを必要なときに、最小限の投資で導入するという考え方が多い。だが、セキュリティにはこの考え方は適していない」と前置きし、「今後、AIが普及すると、セキュリティを取り巻く環境にはパラダイムシフトが起きる。攻撃が洗練され、頻度も増え、特定した個人や企業を狙った攻撃も増えることが想定される。AIを活用した攻撃に対しては、AIによって対抗する必要がある。日本の企業のセキュリティ対策の発想を大きく超える必要がある」と語る。
その上で、「セキュリティは、いかに早く導入するかが重要な意味を持つ。競合他社との差別化につながる部分である。日本の企業は、事例を見てから導入するというケースが多く、新しいものを勉強する意識が低い。ビジネスの変化のスピードや、テクノロジーの変化のスピードが格段に変わっていることを認識し、従来通りの考え方で導入したり、検証したりといったことではますます差がつくことを理解すべきだ。事例が蓄積されるのを待つのではなく、勇気のあるIT投資をしてもらいたい」と、現在の日本の企業のIT投資やセキュリティ投資の姿勢に対して警鐘を鳴らした。
また、西山カントリーマネージャーは、「日本の企業は、ネットワークやデバイスなどのセキュリティ対策が中心となり、入口対策よりも、脅威が侵入したあとの対策に投資をしている。だが、ガートナーの調査でも、セキュリティ対策として、IDおよびアクセス管理を重視する企業が増加していること、攻撃者が狙っているのがアクセス権限であることが認識されるなど、ここにきて、入口対策が注目されはじめている。パスワード管理や特権アクセスの可視化と制御が不十分であれば、多層防御も突破されるリスクが高いことが理解されており、システムインテグレータからの関心も高まっている」などとした。