> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/path-variables.md). # ポリシー: パス変数と保護パス

変数	Windowsの例	Linuxの例	macOSの例	説明
`{rootdir}`	`C:\`	`/`	`/`	ドライブまたはファイルシステムのルート
`{documents}`	`C:\Users\<user>\Documents`	`/home/<user>/Documents`	`/Users/<user>/Documents`	ユーザーのドキュメントフォルダ
`{userdocuments}`	`{documents}` と同じ	`{documents}` と同じ	`{documents}` と同じ	ドキュメントの別名
`{userdesktop}`	`C:\Users\<user>\Desktop`	`/home/<user>/Desktop`	`/Users/<user>/Desktop`	ユーザーのデスクトップ
`{hasdesktop}`	`"true"` / `"false"`	`"true"` / `"false"`	`"true"` / `"false"`	デスクトップ環境の有無

変数	一般的な値	説明
`{systemroot}`	`C:\Windows`	Windowsディレクトリ
`{windows}`	`C:\Windows`	systemrootの別名
`{systemdrive}`	`C:`	システムドライブ (末尾のバックスラッシュなし)
`{system32}`	`C:\Windows\System32`	System32ディレクトリ
`{syswow64}`	`C:\Windows\SysWOW64`	64ビットWindows上の32ビットシステム領域
`{programfiles}`	`C:\Program Files`	Program Files
`{programfilesx86}`	`C:\Program Files (x86)`	Program Files (x86)
`{userprofile}`	`C:\Users\<user>`	ユーザープロファイルディレクトリ
`{appdata}`	`C:\Users\<user>\AppData\Roaming`	ローミングAppData
`{localappdata}`	`C:\Users\<user>\AppData\Local`	ローカルAppData
`{programdata}`	`C:\ProgramData`	ProgramData
`{temp}`	`C:\Users\<user>\AppData\Local\Temp`	ユーザー用一時ディレクトリ

| 変数 | 例 | 説明 | | ----------------- | ------------------------- | ----------------- | | `{system}` | `/System` | システムルート | | `{library}` | `/Library` | ライブラリ | | `{applications}` | `/Applications` | アプリケーションフォルダ | | `{volumes}` | `/Volumes` | ボリュームのマウントポイント | | `{downloads}` | `/Users//Downloads` | ユーザーのダウンロード | | `{launchdaemons}` | `/Library/LaunchDaemons` | システム用LaunchDaemon | | `{launchagents}` | `/Library/LaunchAgents` | Launchエージェント |

変数	Linuxの例	macOSの例	説明
`{bin}`	`/bin`	`/bin`	実行ファイル
`{etc}`	`/etc`	`/etc`	設定
`{tmp}`	`/tmp`	`/tmp`	一時領域
`{usr}`	`/usr`	`/usr`	ユーザープログラム
`{var}`	`/var`	`/var`	可変データ
`{home}`	`/home/<user>`	`/Users/<user>`	ユーザーホーム

| 変数 | 説明 | 例 (Windows) | | -------------- | ------------------ | ------------------------------------------------- | | `{approot}` | アプリケーションのルートディレクトリ | `C:\Program Files\KeeperPrivilegeManager` | | `{pluginroot}` | プラグインディレクトリ | `C:\Program Files\KeeperPrivilegeManager\Plugins` | | `{jobroot}` | ジョブディレクトリ | `C:\Program Files\KeeperPrivilegeManager\Jobs` | **パス変数**は、`{userprofile}` や `{system32}` のように、各マシン上の実パスへと展開されるプレースホルダです。対応OSやインストール先が異なる環境でも、1本のポリシーやジョブのまま扱えます。 * **形式:** `{variableName}` は中括弧で囲み、`$` 接頭辞は付けません。 * **大文字と小文字:** Windowsでは区別されません。LinuxおよびmacOSでは区別されます。 * **解決のタイミング:** ファイル保存時ではなく、評価時 (ポリシーまたはジョブが実行されるとき) に解決されます。 ## 共通のパス変数 (全プラットフォーム)

変数	Windowsの例	Linuxの例	macOSの例	説明
`{rootdir}`	`C:\`	`/`	`/`	ドライブまたはファイルシステムのルート
`{documents}`	`C:\Users\<user>\Documents`	`/home/<user>/Documents`	`/Users/<user>/Documents`	ユーザーのドキュメントフォルダ
`{userdocuments}`	`{documents}` と同じ	`{documents}` と同じ	`{documents}` と同じ	ドキュメントの別名
`{userdesktop}`	`C:\Users\<user>\Desktop`	`/home/<user>/Desktop`	`/Users/<user>/Desktop`	ユーザーのデスクトップ
`{hasdesktop}`	`"true"` / `"false"`	`"true"` / `"false"`	`"true"` / `"false"`	デスクトップ環境の有無

## Windows固有のパス変数

変数	一般的な値	説明
`{systemroot}`	`C:\Windows`	Windowsディレクトリ
`{windows}`	`C:\Windows`	systemrootの別名
`{systemdrive}`	`C:`	システムドライブ (末尾のバックスラッシュなし)
`{system32}`	`C:\Windows\System32`	System32ディレクトリ
`{syswow64}`	`C:\Windows\SysWOW64`	64ビットWindows上の32ビットシステム領域
`{programfiles}`	`C:\Program Files`	Program Files
`{programfilesx86}`	`C:\Program Files (x86)`	Program Files (x86)
`{userprofile}`	`C:\Users\<user>`	ユーザープロファイルディレクトリ
`{appdata}`	`C:\Users\<user>\AppData\Roaming`	ローミングAppData
`{localappdata}`	`C:\Users\<user>\AppData\Local`	ローカルAppData
`{programdata}`	`C:\ProgramData`	ProgramData
`{temp}`	`C:\Users\<user>\AppData\Local\Temp`	ユーザー用一時ディレクトリ

## **macOS固有のパス変数**

変数	例	説明
`{system}`	`/System`	システムルート
`{library}`	`/Library`	ライブラリ
`{applications}`	`/Applications`	アプリケーションフォルダ
`{volumes}`	`/Volumes`	ボリュームのマウントポイント
`{downloads}`	`/Users/<user>/Downloads`	ユーザーのダウンロード
`{launchdaemons}`	`/Library/LaunchDaemons`	システム用LaunchDaemon
`{launchagents}`	`/Library/LaunchAgents`	Launchエージェント

## LinuxおよびmacOS共通のパス変数

変数	Linuxの例	macOSの例	説明
`{bin}`	`/bin`	`/bin`	実行ファイル
`{etc}`	`/etc`	`/etc`	設定
`{tmp}`	`/tmp`	`/tmp`	一時領域
`{usr}`	`/usr`	`/usr`	ユーザープログラム
`{var}`	`/var`	`/var`	可変データ
`{home}`	`/home/<user>`	`/Users/<user>`	ユーザーホーム

## アプリケーション固有のパス変数以下は、エンドポイント特権マネージャーのインストール位置を基準に解決されます。

変数	説明	例 (Windows)
`{approot}`	アプリケーションのルートディレクトリ	`C:\Program Files\KeeperPrivilegeManager`
`{pluginroot}`	プラグインディレクトリ	`C:\Program Files\KeeperPrivilegeManager\Plugins`
`{jobroot}`	ジョブディレクトリ	`C:\Program Files\KeeperPrivilegeManager\Jobs`

インストール場所が変わってもパスを正しく保てるよう、プラグインの構成やジョブのパスに指定します。 ### ユーザー固有とシステムの変数 * **ユーザー固有:** `{userprofile}`、`{documents}`、`{userdesktop}`、`{appdata}`、`{temp}`、`{home}`、`{downloads}` は、**要求を出したユーザー**のパス (例: 操作によってポリシー評価が走ったユーザー) に解決されます。 * **システム:** `{systemroot}`、`{system32}`、`{programfiles}`、`{programdata}`、`{bin}`、`{etc}` は、そのマシン上のすべてのユーザーで同じパスに解決されます。 ### カスタムパス変数一部の環境では、**カスタム**のパス変数 (例: アプリケーションまたはパス解決の設定) が利用できます。利用できる場合は、`{companyshare}` や `{deployroot}` のような名前を定義し、組み込み変数と同様にポリシーやジョブから参照できます。定義場所は、ご利用の構成または管理コンソールをご確認ください。 *** ## 保護パス {% hint style="info" %} #### 保護パスはファイルアクセスポリシーに不可欠保護パスは、ファイルアクセスポリシーの評価に組み込まれた安全装置です。ファイルアクセスポリシーでワイルドカード (たとえばフォルダ内のすべての `*.exe` を拒否する) を使うと、`C:\Windows\System32` や `/usr/bin` などのシステムディレクトリ内の重要なOSバイナリにまで意図せず一致し、通常のOS動作を損なう可能性があります。これを防ぐため、プラットフォームごとに保護ディレクトリの一覧が維持され、ワイルドカードによるファイルアクセス `DENY` ポリシーはパターンがどれほど広くても、これらのディレクトリでは自動的に適用されません。明示的なパスポリシーは保護の有無に関わらず常に評価されるため、必要に応じて保護ディレクトリ内の特定の実行ファイルに対してもファイルアクセス制御を適用できます。 {% endhint %} Windowsでは、特定のパスが**保護**されています。この種のパス上にある実行ファイルは、ワイルドカードのファイルアクセス `DENY` ポリシーのブロック対象に含まれず、重要なシステム実行ファイルが誤ってブロックされにくくなります。保護パスとして想定される例は以下のとおりです。 * `{systemroot}` (およびSystem32、WinSxS、Microsoft.NET、Boot、recoveryなどの主要なサブディレクトリ) * `{programfiles}` および `{programfilesx86}` 構成やポリシーにより、保護パスの一覧を拡張できます。ファイルアクセスポリシーを設計するときは、システムの実行ファイルを誤って拒否しないようご注意ください。 #### Linuxの既定の保護パス以下のパス上の実行ファイルは、ワイルドカードによるファイルアクセス `DENY` ポリシーの対象外です。保護はすべてのサブディレクトリに再帰的に適用されます。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。

パス	説明
`/bin`	必須のシステムバイナリ
`/sbin`	システム管理用バイナリ
`/usr/bin`	ユーザー向けシステムユーティリティ
`/usr/sbin`	システム管理ユーティリティ
`/usr/lib`	システム共有ライブラリ
`/usr/libexec`	システムデーモンの実行ファイル
`/lib`	必須の共有ライブラリ
`/lib64`	64ビット必須の共有ライブラリ
`/etc`	システム構成ファイル
`/etc/passwd`	ユーザーアカウントデータベース
`/etc/shadow`	暗号化されたユーザーパスワードストア
`/etc/sudoers`	sudo 特権の構成
`/boot`	ブートローダーとカーネルファイル
`/dev`	デバイスファイル
`/proc`	カーネルおよびプロセス情報 (仮想ファイルシステム)
`/sys`	ハードウェアおよびドライバー情報 (仮想ファイルシステム)
`/opt/keeper`	エンドポイント特権マネージャーのインストールディレクトリ

#### Linuxの高リスクパス以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、認証が破損したり、システムの初期化が無効になったり、起動不能になる可能性があります。

パス	説明	リスク
`/etc/passwd`	ユーザーアカウントデータベース	破損するとシステム全体のユーザー認証が機能しなくなる
`/etc/shadow`	暗号化されたユーザーパスワードストア	破損するとすべてのユーザーのパスワードログインができなくなる
`/bin/sh`	既定のシステムシェル	破損すると `sh` に依存するスクリプト、システム初期化、復旧ツールが動作しなくなる
`/sbin/init`	システム初期化プロセス (PID 1)	破損するとOSが起動しなくなる

{% hint style="info" %} アプリケーションとフォルダのフィルターでのワイルドカードの振る舞いと注意点の詳細は、[**ポリシー: ワイルドカード**](/keeperpam/jp/endpoint-privilege-manager/policies/wildcards.md)をご参照ください。 {% endhint %} #### 汎用Unixの既定の保護パス以下のパスは、プラットフォーム固有の一覧が定義されていないUnix系環境向けのフォールバック保護ディレクトリセットです。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。

パス	説明
`/bin`	必須のシステムバイナリ
`/sbin`	システム管理用バイナリ
`/usr/bin`	ユーザー向けシステムユーティリティ
`/usr/sbin`	システム管理ユーティリティ
`/etc`	システム構成ファイル
`/dev`	デバイスファイル
`/proc`	カーネルおよびプロセス情報 (仮想ファイルシステム)
`/sys`	ハードウェアおよびドライバー情報 (仮想ファイルシステム)

#### macOSの既定の保護パス以下のパス上の実行ファイルに対しては、ワイルドカードによるファイルアクセス `DENY` ポリシーが適用されません。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。

パス	説明
`/System`	macOSのシステムルートおよびすべてのサブディレクトリ
`/bin`	必須のシステムバイナリ
`/sbin`	システム管理用バイナリ
`/usr/bin`	ユーザー向けシステムユーティリティ
`/usr/sbin`	システム管理ユーティリティ
`/private/etc`	システム構成ファイル
`/Library/Security`	セキュリティフレームワーク
`/Applications/Utilities`	組み込みユーティリティアプリ
`/Applications`	メインのApplicationsフォルダ内のすべてのアプリ
`/System/Applications`	組み込みmacOSアプリ

#### macOSの高リスクパス以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、コアOSサービスが破損したり、認証が機能しなくなったり、起動不能になる可能性があります。 | パス | 説明 | リスク | | ------------------------------ | ----------------------------------------------- | ------------------------------------------------------------------- | | `/System/Library/CoreServices` | Finder、WindowServer、起動コンポーネントなどのコアmacOSシステムサービス | 破損するとシステム起動、GUI環境、またはその両方が機能しなくなる | | `/private/etc` | システム構成ファイル (`/etc` としてもアクセス可能) | `passwd`、`sudoers`、`hosts` などのファイルを破損すると、認証、特権の解決、ネットワークの動作が機能しなくなる | {% hint style="success" %} `/Applications` と `/System/Applications` は設計上保護されています。ワイルドカードと明示的なパスポリシーのスコープ設定の考え方の詳細は、[macOS保護パスの設計意図](/keeperpam/jp/endpoint-privilege-manager/reference/macos-protected-path-design-intent.md)をご参照ください。 {% endhint %} ### Windowsの既定の保護パス以下のパス上の実行ファイルは、ワイルドカードによるファイルアクセス `DENY` ポリシーの対象外です。保護は再帰的に適用され、すべてのサブディレクトリが含まれます。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。保護パスの一覧は、保護パスポリシー、または PathResolution ストレージフォルダ配下の `UserProtectedDirectories.json` / `PolicyProtectedDirectories.json` ファイルで拡張できます。 | 変数 | 解決先 (一般的) | 説明 | | --------------------------------- | -------------------------------------------------------------- | -------------------------------- | | `{systemroot}` | `C:\Windows` | Windowsディレクトリのルートおよびすべてのサブディレクトリ | | `{system32}` | `C:\Windows\System32` | コアシステムバイナリ | | `{systemroot}\SysWOW64` | `C:\Windows\SysWOW64` | 64ビットWindows上の32ビットシステムバイナリ | | `{systemroot}\WinSxS` | `C:\Windows\WinSxS` | Side-by-Sideコンポーネントアセンブリ | | `{systemroot}\servicing` | `C:\Windows\servicing` | Windows UpdateおよびServicing Stack | | `{systemroot}\Microsoft.NET` | `C:\Windows\Microsoft.NET` | .NET Frameworkランタイムファイル | | `{systemroot}\assembly` | `C:\Windows\assembly` | グローバルアセンブリキャッシュ (GAC) | | `{systemroot}\Boot` | `C:\Windows\Boot` | ブートマネージャーファイル | | `{systemroot}\recovery` | `C:\Windows\recovery` | Windows回復環境 | | `{systemroot}\System32\config` | `C:\Windows\System32\config` | レジストリハイブファイル | | `{systemroot}\System32\drivers` | `C:\Windows\System32\drivers` | カーネルモードデバイスドライバー | | `{programfiles}` | `C:\Program Files` | インストール済み64ビットアプリ | | `{programfilesx86}` | `C:\Program Files (x86)` | 64ビットWindows上のインストール済み32ビットアプリ | | `{programfiles}\Windows Defender` | `C:\Program Files\Windows Defender` | Windows Defenderウイルス対策バイナリ | | `{programfiles}\Windows NT` | `C:\Program Files\Windows NT` | コアWindows NTコンポーネント | | N/A | `C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup` | システム起動プログラム | #### Windowsの高リスクパス以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、レジストリが破損したり、ドライバーが不安定になったり、起動不能になる可能性があります。 | パス | 説明 | リスク | | ----------------------------- | --------------------------------------------------- | ----------------------- | | `C:\Windows\System32\config` | レジストリハイブファイル (`SYSTEM`、`SAM`、`SECURITY`、`SOFTWARE`) | レジストリ破損、システム起動不能 | | `C:\Windows\System32\drivers` | カーネルモードデバイスドライバー (`.sys` ファイル) | ドライバー障害、ブルースクリーン (BSOD) | --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/path-variables.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.