ポリシーのコントロール (ファイルアクセスのグローバル拒否)

本例は、ファイルアクセスポリシーを使って、ユーザーが特定のアプリケーションを実行できないように拒否する方法を示します。有効にすると、ファイルアクセスポリシーにフィルターとして追加したアプリケーションコレクションで定義されたすべてのアプリケーションに適用されます。ユーザーが指定したアプリケーションコレクション内のアプリケーションのいずれかを起動しようとすると、すべてのエンドポイントにわたって評価されます。グローバル拒否ファイルアクセスポリシーをこのように整えたうえで、特定のユーザー・チーム・シナリオについては承認または正当な理由により、拒否されていたアプリケーションを実行できるよう、追加のポリシーを重ねられます。

このポリシーの動作

対象内エンドポイント上のユーザーが、このポリシーに一致するアプリケーションを実行しようとするとき、以下のとおりです。

1. 要求はファイルアクセスのポリシーエンジンで評価されます。

2. ポリシーは定義済みのアプリケーション集合 (ワイルドカードではない) を対象にしているため、対象の各エンドポイントでは、特定として識別された実行ファイルの実行試行にだけ一致します。

3. ポリシーは拒否コントロールを適用し、操作の続行を即座にブロックします。

この動作の理由

このポリシーは意図的に「対象を絞った一致」として書かれ、強いブロックを適用します。

• 適用: ポリシーは有効で、(ログだけでなく) コントロールを適用します。

• 一致時の拒否コントロール: ポリシーに一致すると、実行は即座にブロックされ、ユーザーに通知されます。

• すべてのユーザー: ワイルドカードのユーザーフィルターにより、対象マシン上のあらゆるユーザーアカウントに適用されます。

• 特定のアプリケーション: アプリケーションコレクションでアプリケーションフィルターを定義し、選んだアプリケーションコレクション内のアプリケーションにだけ、このファイルアクセスポリシーが適用されます。

• 組み込みチェック: 標準のチェック (ユーザー、マシン、ファイル、日時・曜日、証明書) があります。これらの制約を狭めていない場合 (例: 日時・曜日・証明書の制限を入れていない)、ポリシーは対象エンドポイント上の対象アプリケーションに対して恒常的にブロックを適用するルールとして機能します。

ユーザー側で起きること

• 対象エンドポイントで、選んだアプリケーションコレクション内で明示的に定義されたアプリケーションを起動しようとすると、即座にブロックされます。

• ポリシーには、実行しようとしたアプリケーションが拒否されたことを明確に説明するユーザー向け通知メッセージが含まれます。通知を閉じるまでプロンプトが表示されるため、ユーザーは拒否とその理由を確認できます。拒否はその時点で既に適用されています。

重要な注意点とよくある調整

• 必要に応じてアプリケーション一覧を拡張する:

  • 同じツールの別バリアント (別インストールパスや別バージョンの実行ファイルなど) をカバーするためにアプリケーションIDを追加する

  • 証明書の制約で、未信頼または未署名ビルドだけを対象にし、正当に署名された版はブロックしないようにする

• 必要に応じてユーザースコープを狭める:

  • ブロックすべき役割が一部だけの場合 (標準ユーザーは対象だがIT管理者は除くなど)、ユーザーフィルターを特定のユーザーまたはグループに限定する

• 一時的または営業時間内のみの適用のため、時刻・曜日・日付の制限を加える

• 正当な理由があるユーザーまたはグループ向けに許可または承認ポリシーを重ねる — それらのユーザーを対象にした優先度の高い許可または承認ポリシーが、このグローバル拒否より優先されます

グローバル拒否ファイルアクセスポリシーの作成手順

1

ポリシーの作成

Keeper管理コンソールのエンドポイント特権マネージャーページでポリシータブを開き、ポリシーの作成ボタンをクリックします。

ポリシー作成フォームがモーダルウィンドウで開きます。

2

ポリシー名

新しいグローバル拒否ファイルアクセスポリシー用の、内容が分かる名前を入力します。

3

ポリシータイプ

ポリシータイプの選択リストからファイルアクセスを選びます。

4

ステータス

ポリシーの作成フォームを完了して送信したときに、新しいグローバル拒否ファイルアクセスポリシーに付けたいステータスを選びます。

5

コントロール

承認コントロールおよび拒否コントロールは、ポリシー作成画面左下のAdvanced Modeリンクから開ける JSON フォームで指定します。Advanced フォームに切り替わり、新しいグローバル拒否ファイルアクセスポリシーの JSON 構造を表示・編集できます。

グローバル拒否ファイルアクセスポリシーではコントロールとして拒否を指定する必要があります。ポリシー作成画面のコントロールのサブフォームからは、承認コントロールおよび拒否コントロールを直接選べません。以下に例を示します。

6

ユーザーグループ

ポリシー作成フォームでグループの追加リンクをクリックします。グループの追加サブフォームが開きます。

グループの追加サブフォームですべてのユーザーを選択にチェックを入れ、サブフォームの外側をクリックして閉じます。すべてのユーザーとグループが、グローバル拒否ファイルアクセスポリシーに適用されたユーザーグループの下に表示されます。

7

マシンコレクション

ポリシー作成フォームでコレクションの追加リンクをクリックします。コレクションの追加サブフォームが開きます。

コレクションの追加サブフォームですべてのマシンを選択にチェックを入れ、サブフォームの外側をクリックして閉じます。すべてのマシンが、グローバル拒否ファイルアクセスポリシーに適用されたマシンコレクションの下に表示されます。

8

アプリケーション

ポリシー作成フォームでアプリケーションの追加リンクをクリックします。アプリケーションの追加サブフォームが開きます。

拒否したい特定のアプリケーションを検索して選択します。すべてのアプリケーションを選択のチェックボックスは使わないでください。このポリシーは意図的に、ブロックするアプリケーションの定義済みリストにスコープが絞られており、すべてのアプリケーションではありません。拒否したい各アプリケーションのチェックボックスにチェックを入れます。

選択したアプリケーションが、グローバル拒否ファイルアクセスポリシーに適用されたアプリケーションの下に表示されます。

9

日付と時刻

グローバル拒否ファイルアクセスポリシーでは、日付と時刻の範囲を常時にすることを推奨します。時間帯の切れ目なく、拒否コントロールが継続して適用されます。

10

グローバル拒否ファイルアクセスポリシーの保存

これまでの手順どおりフォームに十分入力すると、保存ボタンが非アクティブからアクティブに変わります。保存をクリックします。ポリシーの作成モーダルが閉じ、グローバル拒否ファイルアクセスポリシーが保存されます。

代表的な利用場面

グローバル拒否ファイルアクセスポリシーは、既知の悪性または不正なアプリケーションをすべてのエンドポイントでブロックするパターンです。エンドポイント特権マネージャーにおいて明確で重要な戦略的役割を果たします。主な利用場面とその背景を以下に整理します。

基本的な考え方: 「既知の悪性または不正なアプリケーションに対する明示的ブロック」

広い承認ゲートやユーザー教育だけに頼るのではなく、直接的な強制を取ります。特定のアプリケーションは、対象内のすべてのエンドポイントですべてのユーザーに対して明示的にブロックされます。既知の悪意ある送信元からの通信を破棄するファイアウォール規則のように、対象が明確で決定的かつ即時です。

主な利用場面

1. Living Off the Land (LOTL) バイナリのブロック

多くの高度な脅威は、スクリプトエンジン、コマンドラインインタープリター、リモート実行ユーティリティなど、正当なシステムツールを悪用します。これらのツールを特定のアプリケーションIDで対象にしたグローバル拒否ポリシーは、管理対象のすべてのエンドポイントで標準ユーザーによる実行を防ぎ、インシデントのたびに手を打たなくても共通の攻撃経路を塞げます。

2. ソフトウェアブロックリストの強制

組織はしばしば、禁止アプリケーションの一覧 (不正なリモートアクセスツール、P2P クライアント、無許諾ソフト、シャドウ IT) を保持します。グローバル拒否ポリシーは、そのブロックリストをエンドポイントで技術的に強制する仕組みであり、紙面上の方針にとどまらず端末側で実際に効くコントロールです。

3. コンプライアンスおよび規制要件

一部のコンプライアンス枠組み (例: PCI-DSS、CMMC、NIST 800-171) では、規制対象エンドポイント上の特定カテゴリのソフトウェア利用を防ぐ技術的コントロールを示すことが求められます。グローバル拒否ポリシーは、それらのコントロールについて文書化および監査に耐える強制の証跡を提供します。

4. 脅威インテリジェンスへの迅速な対応

特定のバイナリまたはアプリケーションに対する新たな脆弱性や積極的悪用が判明したとき、グローバル拒否ポリシーはすべてのエンドポイントに即座に展開でき、パッチや恒久対策の準備中に速く広い防御的対応を可能にします。

5. 標準ユーザーの攻撃面の縮小

より広い最小権限の取り組みの一環として、デバッグユーティリティ、パッケージマネージャー、スクリプトランタイムなどの管理用または高リスクツールはIT職員には適切でも、標準ユーザーからは隔離すべき場合があります。グローバル拒否ポリシーは、マシンごとの設定なしに、管理対象のすべてのエンドポイントでその分離を強制します。

6. インシデント対応/侵害の封じ込め

特定のアプリケーションまたはバイナリが侵害に関与している、または疑われる場合、グローバル拒否ポリシーを即座にプッシュして、調査と修復のあいだそのツールのさらなる実行をすべてのエンドポイントで防ぎ、そのアプリケーションに依存した横展開や永続化を制限できます。

ファイルアクセスポリシーとする理由 (特権昇格ポリシーではない理由)

細かいが重要な違いです。ファイルアクセスポリシーは、ファイルの実行 (アプリケーションが起動した瞬間) をポリシー評価でインターセプトします。特権昇格ポリシーは、昇格した権限で何かを実行しようとしたときにだけインターセプトします。ここではファイルアクセスを使うことで、ユーザーが標準権限か昇格権限のどちらで実行しようとしているかにかかわらず、拒否コントロールはあらゆる起動試行に適用され、対象実行ファイルに対して完全なカバレッジになります。

ベースラインを土台としたレイヤー型のポリシー戦略

複数のポリシーを同一リソースに重ねるレイヤー型の構成で、防御の深さを確保できます。グローバル拒否のベースラインが整ったあとは、その上に制御された例外モデルを重ねられます。

優先度の高い許可または承認ポリシーに一致したユーザーは、それぞれ許可またはプロンプトの対象になります。それ以外のユーザーが拒否アプリケーションを起動しようとすると、このグローバル拒否でブロックされます。

運用上の重要な考慮事項

このポリシーは拒否コントロールと、ユーザーが内容を確認しなければならない通知を組み合わせているため、対象アプリケーションを起動するたびにブロック通知が表示されます。まず監視モードで正しいアプリケーションIDが対象になっていることを確認してから適用に切り替えることを強く推奨し、正当なワークフローを意図せず妨げないようにしてください。