# ポリシーのコントロール (ファイルアクセスのグローバル拒否)

<figure><img src="/files/5qtIJlcgj2X3PnXYt2OB" alt=""><figcaption></figcaption></figure>

本例は、**ファイルアクセスポリシー**を使って、**ユーザーが特定のアプリケーションを実行できないように拒否する**方法を示します。有効にすると、ファイルアクセスポリシーにフィルターとして追加した**アプリケーションコレクション**で定義されたすべてのアプリケーションに適用されます。ユーザーが指定したアプリケーションコレクション内のアプリケーションのいずれかを起動しようとすると、すべてのエンドポイントにわたって評価されます。**グローバル拒否ファイルアクセスポリシー**をこのように整えたうえで、特定のユーザー・チーム・シナリオについては承認または正当な理由により、拒否されていたアプリケーションを実行できるよう、追加のポリシーを重ねられます。

***

### このポリシーの動作 <a href="#what-this-policy-does" id="what-this-policy-does"></a>

**対象内エンドポイント**上のユーザーが、このポリシーに一致するアプリケーションを実行しようとするとき、以下のとおりです。

1. 要求は**ファイルアクセス**のポリシーエンジンで評価されます。
2. ポリシーは定義済みのアプリケーション集合 (ワイルドカードではない) を対象にしているため、対象の各エンドポイントでは、特定として識別された実行ファイルの実行試行にだけ一致します。
3. ポリシーは**拒否**コントロールを適用し、操作の続行を即座にブロックします。

### この動作の理由 <a href="#why-it-behaves-this-way" id="why-it-behaves-this-way"></a>

このポリシーは意図的に「対象を絞った一致」として書かれ、強いブロックを適用します。

* **適用**: ポリシーは有効で、(ログだけでなく) コントロールを適用します。
* **一致時の拒否コントロール**: ポリシーに一致すると、実行は即座にブロックされ、ユーザーに通知されます。
* **すべてのユーザー**: ワイルドカードのユーザーフィルターにより、対象マシン上のあらゆるユーザーアカウントに適用されます。
* **特定のアプリケーション**: アプリケーションコレクションでアプリケーションフィルターを定義し、選んだアプリケーションコレクション内のアプリケーションにだけ、このファイルアクセスポリシーが適用されます。
* **組み込みチェック**: 標準のチェック (ユーザー、マシン、ファイル、日時・曜日、証明書) があります。これらの制約を狭めていない場合 (例: 日時・曜日・証明書の制限を入れていない)、ポリシーは対象エンドポイント上の対象アプリケーションに対して恒常的にブロックを適用するルールとして機能します。

### ユーザー側で起きること <a href="#what-the-user-experiences" id="what-the-user-experiences"></a>

* 対象エンドポイントで、選んだアプリケーションコレクション内で明示的に定義されたアプリケーションを起動しようとすると、**即座にブロック**されます。
* ポリシーには、実行しようとしたアプリケーションが<mark style="color:red;">**拒否**</mark>されたことを明確に説明するユーザー向け通知メッセージが含まれます。通知を閉じるまでプロンプトが表示されるため、ユーザーは拒否とその理由を確認できます。**拒否**はその時点で既に適用されています。

<figure><img src="/files/IbiOZ508kIxocFmk58od" alt="" width="211"><figcaption></figcaption></figure>

***

### 重要な注意点とよくある調整 <a href="#important-notes-and-common-adjustments" id="important-notes-and-common-adjustments"></a>

* 必要に応じて**アプリケーション一覧を拡張**する:
  * 同じツールの別バリアント (別インストールパスや別バージョンの実行ファイルなど) をカバーするためにアプリケーションIDを追加する
  * 証明書の制約で、未信頼または未署名ビルドだけを対象にし、正当に署名された版はブロックしないようにする
* 必要に応じて**ユーザースコープを狭める**:
  * ブロックすべき役割が一部だけの場合 (標準ユーザーは対象だがIT管理者は除くなど)、ユーザーフィルターを特定のユーザーまたはグループに限定する
* 一時的または営業時間内のみの適用のため、**時刻・曜日・日付の制限**を加える
* 正当な理由があるユーザーまたはグループ向けに**許可または承認ポリシーを重ねる** — それらのユーザーを対象にした優先度の高い許可または承認ポリシーが、このグローバル拒否より優先されます

***

## グローバル拒否ファイルアクセスポリシーの作成手順 <a href="#how-build-a-global-deny-file-access-policy" id="how-build-a-global-deny-file-access-policy"></a>

{% stepper %}
{% step %}
**ポリシーの作成**

**Keeper管理コンソール**のエンドポイント特権マネージャーページで**ポリシー**タブを開き、<mark style="color:blue;">**ポリシーの作成**</mark>ボタンをクリックします。

<figure><img src="/files/RNRpoBrnNUFkJ8D0EVw6" alt=""><figcaption></figcaption></figure>

**ポリシー作成フォーム**がモーダルウィンドウで開きます。

<figure><img src="/files/p06fuYTDRNfdCqLkuZ65" alt="" width="375"><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**ポリシー名**

新しい**グローバル拒否ファイルアクセスポリシー**用の、内容が分かる名前を入力します。

<figure><img src="/files/1aQT4YKQYXHuPa3jvg4H" alt="" width="375"><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**ポリシータイプ**

**ポリシータイプ**の選択リストから<mark style="color:blue;">**ファイルアクセス**</mark>を選びます。
{% endstep %}

{% step %}
**ステータス**

**ポリシーの作成**フォームを完了して送信したときに、新しい**グローバル拒否ファイルアクセスポリシー**に付けたいステータスを選びます。

<figure><img src="/files/Z3dkxV6uiyKd8p6x01lV" alt="" width="375"><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**コントロール**

**承認コントロール**および**拒否コントロール**は、ポリシー作成画面左下の<mark style="color:blue;">**Advanced Mode**</mark>リンクから開ける JSON フォームで指定します。Advanced フォームに切り替わり、新しい**グローバル拒否ファイルアクセスポリシー**の JSON 構造を表示・編集できます。

<figure><img src="/files/ayK9i1rXbjwjmnpwquKc" alt="" width="375"><figcaption></figcaption></figure>

**グローバル拒否ファイルアクセスポリシー**ではコントロールとして**拒否を指定**する必要があります。ポリシー作成画面のコントロールのサブフォームからは、承認コントロールおよび拒否コントロールを直接選べません。以下に例を示します。

```
			"Controls": [
				"DENY"
			]
```

{% endstep %}

{% step %}
**ユーザーグループ**

ポリシー作成フォームで<mark style="color:blue;">**グループの追加**</mark>リンクをクリックします。**グループの追加**サブフォームが開きます。

<figure><img src="/files/9vm8KIJA0ZgftxT9XByf" alt="" width="273"><figcaption></figcaption></figure>

**グループの追加**サブフォームで<mark style="color:blue;">**すべてのユーザーを選択**</mark>にチェックを入れ、サブフォームの外側をクリックして閉じます。**すべてのユーザーとグループ**が、**グローバル拒否ファイルアクセスポリシー**に適用された**ユーザーグループ**の下に表示されます。

<figure><img src="/files/5Odibeg17XB7UruCuMCA" alt="" width="375"><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**マシンコレクション**

ポリシー作成フォームで<mark style="color:blue;">**コレクションの追加**</mark>リンクをクリックします。**コレクションの追加**サブフォームが開きます。

<figure><img src="/files/K8YExQKxyVMAoeanfzLU" alt="" width="375"><figcaption></figcaption></figure>

**コレクションの追加**サブフォームで<mark style="color:blue;">**すべてのマシンを選択**</mark>にチェックを入れ、サブフォームの外側をクリックして閉じます。**すべてのマシン**が、**グローバル拒否ファイルアクセスポリシー**に適用された**マシンコレクション**の下に表示されます。
{% endstep %}

{% step %}
**アプリケーション**

ポリシー作成フォームで<mark style="color:blue;">**アプリケーションの追加**</mark>リンクをクリックします。**アプリケーションの追加**サブフォームが開きます。

<figure><img src="/files/giu8igNbG9SkVGkVlilJ" alt="" width="375"><figcaption></figcaption></figure>

拒否したい**特定のアプリケーション**を検索して選択します。**すべてのアプリケーションを選択**のチェックボックスは使わないでください。このポリシーは意図的に、ブロックするアプリケーションの定義済みリストにスコープが絞られており、すべてのアプリケーションではありません。拒否したい各アプリケーションのチェックボックスにチェックを入れます。

選択した**アプリケーション**が、**グローバル拒否ファイルアクセスポリシー**に適用された**アプリケーション**の下に表示されます。
{% endstep %}

{% step %}
**日付と時刻**

**グローバル拒否ファイルアクセスポリシー**では、**日付と時刻の範囲**を<mark style="color:blue;">**常時**</mark>にすることを推奨します。時間帯の切れ目なく、拒否コントロールが継続して適用されます。

<figure><img src="/files/H1C2g8kH2rj0NtYfmnom" alt="" width="375"><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**グローバル拒否ファイルアクセスポリシーの保存**

これまでの手順どおりフォームに十分入力すると、<mark style="color:blue;">**保存**</mark>ボタンが非アクティブからアクティブに変わります。<mark style="color:blue;">**保存**</mark>をクリックします。**ポリシーの作成**モーダルが閉じ、**グローバル拒否ファイルアクセスポリシー**が保存されます。

<div align="right"><figure><img src="/files/kv1gnUCvaITAmc4jCG00" alt="" width="44"><figcaption></figcaption></figure></div>
{% endstep %}
{% endstepper %}

***

## 代表的な利用場面 <a href="#use-case-definitions" id="use-case-definitions"></a>

**グローバル拒否ファイルアクセスポリシー**は、既知の悪性または不正なアプリケーションをすべてのエンドポイントでブロックするパターンです。エンドポイント特権マネージャーにおいて明確で重要な戦略的役割を果たします。主な利用場面とその背景を以下に整理します。

#### 基本的な考え方: 「既知の悪性または不正なアプリケーションに対する明示的ブロック」 <a href="#the-core-concept-explicit-block-for-known-bad-or-unauthorized-applications" id="the-core-concept-explicit-block-for-known-bad-or-unauthorized-applications"></a>

広い承認ゲートやユーザー教育だけに頼るのではなく、**直接的な強制**を取ります。特定のアプリケーションは、対象内のすべてのエンドポイントですべてのユーザーに対して明示的にブロックされます。既知の悪意ある送信元からの通信を破棄するファイアウォール規則のように、対象が明確で決定的かつ即時です。

### 主な利用場面 <a href="#primary-use-cases" id="primary-use-cases"></a>

**1. Living Off the Land (LOTL) バイナリのブロック**

多くの高度な脅威は、スクリプトエンジン、コマンドラインインタープリター、リモート実行ユーティリティなど、正当なシステムツールを悪用します。これらのツールを特定のアプリケーションIDで対象にしたグローバル拒否ポリシーは、管理対象のすべてのエンドポイントで標準ユーザーによる実行を防ぎ、インシデントのたびに手を打たなくても共通の攻撃経路を塞げます。

**2. ソフトウェアブロックリストの強制**

組織はしばしば、禁止アプリケーションの一覧 (不正なリモートアクセスツール、P2P クライアント、無許諾ソフト、シャドウ IT) を保持します。グローバル拒否ポリシーは、そのブロックリストをエンドポイントで技術的に強制する仕組みであり、紙面上の方針にとどまらず端末側で実際に効くコントロールです。

**3. コンプライアンスおよび規制要件**

一部のコンプライアンス枠組み (例: PCI-DSS、CMMC、NIST 800-171) では、規制対象エンドポイント上の特定カテゴリのソフトウェア利用を防ぐ技術的コントロールを示すことが求められます。グローバル拒否ポリシーは、それらのコントロールについて文書化および監査に耐える強制の証跡を提供します。

**4. 脅威インテリジェンスへの迅速な対応**

特定のバイナリまたはアプリケーションに対する新たな脆弱性や積極的悪用が判明したとき、グローバル拒否ポリシーはすべてのエンドポイントに即座に展開でき、パッチや恒久対策の準備中に速く広い防御的対応を可能にします。

**5. 標準ユーザーの攻撃面の縮小**

より広い最小権限の取り組みの一環として、デバッグユーティリティ、パッケージマネージャー、スクリプトランタイムなどの管理用または高リスクツールはIT職員には適切でも、標準ユーザーからは隔離すべき場合があります。グローバル拒否ポリシーは、マシンごとの設定なしに、管理対象のすべてのエンドポイントでその分離を強制します。

**6. インシデント対応/侵害の封じ込め**

特定のアプリケーションまたはバイナリが侵害に関与している、または疑われる場合、グローバル拒否ポリシーを即座にプッシュして、調査と修復のあいだ**そのツールのさらなる実行**をすべてのエンドポイントで防ぎ、そのアプリケーションに依存した横展開や永続化を制限できます。

***

### ファイルアクセスポリシーとする理由 (特権昇格ポリシーではない理由) <a href="#why-file-access-policy-not-privilege-elevation-for-the-use-cases" id="why-file-access-policy-not-privilege-elevation-for-the-use-cases"></a>

細かいが重要な違いです。**ファイルアクセスポリシー**は、ファイルの**実行** (アプリケーションが起動した瞬間) をポリシー評価でインターセプトします。**特権昇格**ポリシーは、昇格した権限で何かを実行しようとしたときにだけインターセプトします。ここではファイルアクセスを使うことで、ユーザーが標準権限か昇格権限のどちらで実行しようとしているかにかかわらず、拒否コントロールは**あらゆる起動試行**に適用され、対象実行ファイルに対して完全なカバレッジになります。

#### ベースラインを土台としたレイヤー型のポリシー戦略 <a href="#the-layered-policy-strategy-that-follows" id="the-layered-policy-strategy-that-follows"></a>

複数のポリシーを同一リソースに重ねるレイヤー型の構成で、防御の深さを確保できます。グローバル拒否のベースラインが整ったあとは、その上に制御された例外モデルを重ねられます。

| 優先度         | ポリシー                               | スコープ                |
| ----------- | ---------------------------------- | ------------------- |
| 高           | **許可** — 正当な必要がある特定ユーザー (例: IT管理者) | 特定ユーザー/グループ、拒否対象アプリ |
| 高           | **承認** — エッジケースの一時的または正当化付きアクセス    | 特定ユーザー/グループ、拒否対象アプリ |
| 低 (キャッチオール) | **拒否** — ブロック対象アプリケーション            | すべてのユーザー、特定の拒否アプリ   |

優先度の高い許可または承認ポリシーに一致したユーザーは、それぞれ許可またはプロンプトの対象になります。それ以外のユーザーが拒否アプリケーションを起動しようとすると、このグローバル拒否でブロックされます。

***

### 運用上の重要な考慮事項 <a href="#key-operational-consideration" id="key-operational-consideration"></a>

このポリシーは**拒否**コントロールと、ユーザーが内容を確認しなければならない通知を組み合わせているため、対象アプリケーションを起動するたびにブロック通知が表示されます。まず**監視**モードで正しいアプリケーションIDが対象になっていることを確認してから**適用**に切り替えることを強く推奨し、正当なワークフローを意図せず妨げないようにしてください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/policy-examples/policy-global-deny-file-access.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.