# ファイルアクセスポリシータイプ

<figure><img src="/files/tz0fu2UAYcvdwH1W1uz4" alt=""><figcaption></figcaption></figure>

## 概要 <a href="#overview" id="overview"></a>

ファイルアクセスポリシーは、特定のファイルへのアクセスを制御し、機密データ、構成ファイル、システムファイルに対してきめ細かなアクセス制御を実現します。

このポリシーは、**実行可能ファイル**および**非実行ファイル**の両方へのアクセスを制限します。

ファイルアクセスポリシーは、より広いデフォルト拒否の適用モデルの中で運用することもでき、その場合は機密ファイルへのアクセスまたは実行に先立ち、明示的な承認またはポリシーによる承認が必要になります。

## 動作の仕組み <a href="#how-it-works" id="how-it-works"></a>

* **実行可能ファイル:** 昇格ポリシーと同様に、実行時点でアクセスが制限されます。
* **非実行ファイル (テキストファイル、データベースファイル、構成ファイルなど):** OSのネイティブACLを利用した制御により、MFA、理由入力、承認などの実行要件を満たさない場合、ファイルに対する `READ` / `WRITE` / `DELETE` が拒否されます。
* ファイルアクセスポリシーは標準ユーザーだけでなく、システム上のすべてのユーザーに適用されます。
* ファイルアクセスのリクエストは、Keeperクライアントとコマンドラインの両方から開始でき、ユーザー操作のパターン間で一貫した制御とワークフローの整合性が確保されます。

## 特記事項 <a href="#special-considerations" id="special-considerations"></a>

* 対象ファイルが「保護パス」内にある場合、ファイルアクセスポリシーは適用されません。詳細については、[保護パス](#protected-paths)の項をご参照ください。
* 同じ実行ファイルにファイルアクセスと特権昇格ポリシーが両方設定されている場合は、ファイルアクセスポリシーは無効化され、Keeperは特権昇格ポリシーのみを適用します。
* ファイルアクセスポリシーの評価では、適用判断の一環としてコンテキストに応じたリスクシグナルを取り込む場合があり、ファイルのガバナンスをより広範なリスク管理施策と整合させたい組織を支援します。
* エンドポイント上の共通フォルダやパスにポリシーを割り当てる際には、[パス変数](#path-variables)を利用できます。
* Keeperは、ポリシーが適用される対象ユーザーに対して、明示的にターゲットファイルのACLを変更します。対象ユーザーを明示的にACLに追加し、アクセス許可を設定します。ユーザーがファイルアクセスをリクエストし、承認されると、Keeperはそのユーザーに対して読み取り/書き込み権限を「許可」に変更します。
* Linuxシステムでは、ユーザーがすでに「allow」権限を持つグループに所属している場合、Keeperの設定に関係なく、グループ権限に基づいてファイルへアクセスできます。

***

{% stepper %}
{% step %}
**アプリケーションコレクションを作成**

ポリシーを作成する前に、対象ファイルを **アプリケーションコレクション** にまとめる必要があります。**\[コレクション]** → **\[アプリケーション]** に移動し、<mark style="color:blue;">**\[新しいコレクション]**</mark> をクリックします。**\[新しいコレクション]** のモーダルが開きます。**\[種類]** の選択欄で **\[アプリケーション]** を選び、識別しやすい名前を付け、<mark style="color:blue;">**\[次へ]**</mark> をクリックします。

<figure><img src="/files/G8khhNXuHPGCExkHoCZx" alt="" width="375"><figcaption></figcaption></figure>

**\[アイテムをコレクションに追加]** のモーダルが表示されます。追加するオブジェクト名を入力して候補から選ぶか、**\[リソースを手動で定義する]** にチェックを入れてリソースを手動で定義します。

各対象ファイルをカスタムリソースとして追加します。パスをハードコードしないよう、該当する箇所では [パス変数](broken://pages/E3BQ3kP4uECttGaKgOlA)を使います (例: `{system32}\powershell.exe`)。追加するリソースを選択または入力したら **\[追加]** をクリックし、必要なリソースがすべてアプリケーションコレクションに入るまで繰り返します。

<div><figure><img src="/files/CElqLMj0kDZfu20KRrYO" alt="" width="375"><figcaption></figcaption></figure> <figure><img src="/files/XRJtWvdoDkBOdJHf3uzs" alt="" width="375"><figcaption></figcaption></figure></div>

{% hint style="info" %}
**ヒント:** ポリシーに割り当てたときに用途が分かるよう、「Restricted System Tools」や「Protected Config Files」など、目的が伝わる名前を付けます。
{% endhint %}

<figure><img src="/files/JPgVCeWTCutjIn2ej5VL" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**ポリシーフォームを開く**

Keeper管理コンソールで **\[エンドポイント特権マネージャー]** → **\[ポリシー]** に移動し、<mark style="color:blue;">**\[ポリシーの作成]**</mark> をクリックします。**\[ポリシーの作成]** のモーダルが開きます。

<figure><img src="/files/FM1lDmX4N521JuGqqeFY" alt="" width="375"><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**ポリシーを設定**

以下の項目を入力します。

* **ポリシー名:** わかりやすい名前 (例: `File Access – Restricted System Tools`、`File Access – Protected Config Files`)
* **ポリシータイプ:** ファイルアクセス
* **ステータス:** 適用

<figure><img src="/files/YHWlyOsfVhfrHqQPtAlG" alt="" width="375"><figcaption></figcaption></figure>

{% hint style="info" %}
**ヒント:** 適用前に **\[監視]** でどの程度マッチするか確認することをおすすめします。
{% endhint %}
{% endstep %}

{% step %}
**コントロールを選択**

**\[コントロールを追加]** をクリックし、ユーザーが該当する操作を行ったときに適用するコントロールを選択します。

* **\[承認が必要]** — 指定した承認者がリクエストを承認するまでブロックされます
* **\[MFA必須]** — 続行する前に TOTP コードで本人確認が必要です
* **\[正当な理由が必要]** — 続行する前に理由の入力が必要です

<figure><img src="/files/1FF2FdIHGbszs02X4Qep" alt="" width="375"><figcaption></figcaption></figure>

1つのポリシーに複数のコントロールを追加できます。複数を重ねる場合、操作が許可されるまですべての要件を満たす必要があります。
{% endstep %}

{% step %}
**ポリシーフィルターを設定**

**\[コントロールを追加]** の下で、フィルターを指定してポリシーの適用範囲を定義します。

* **ユーザーグループ:** 対象とするユーザーグループのコレクションを選ぶか、**\[すべてを選択]** で全ユーザーを対象にします
* **マシン:** 対象とするマシンのコレクションを選ぶか、**\[すべてを選択]** で登録済みの全エンドポイントを対象にします
* **アプリケーション:** 手順1で作成したアプリケーションコレクションを選択します
* **日時ウィンドウ:** 必要に応じて、特定の日付、曜日、または時間帯に限定します

<figure><img src="/files/lTYs3da2bkuFucWMXR7Z" alt="" width="375"><figcaption></figcaption></figure>

{% hint style="info" %}
ユーザーグループ、マシン、アプリケーションなどのフィルターのいずれかで **\[すべてを選択]** を指定するとワイルドカードとなり、将来コレクションに追加される新しいユーザー、マシン、またはアプリケーションが自動的に対象に含まれます。
{% endhint %}
{% endstep %}

{% step %}
**保存して展開**

上記の手順どおりに入力すると、<mark style="color:blue;">**\[保存]**</mark> が有効になります。<mark style="color:blue;">**\[保存]**</mark> をクリックします。

<div align="right"><figure><img src="/files/kv1gnUCvaITAmc4jCG00" alt="" width="44"><figcaption></figcaption></figure></div>

ポリシーは、およそ **30分** 以内に適用範囲内のすべてのエンドポイントに配信されます。対象エンドポイントのユーザーは、Keeperエージェントの **\[ポリシーを更新]** から即時同期を実行することもできます。

ポリシーが適用されると、対象ユーザーにはローカルの管理者グループから削除された旨を知らせる画面通知が表示されます。
{% endstep %}
{% endstepper %}

***

### 例1. 実行ファイルに対するファイルアクセスポリシー <a href="#example-1-file-access-policy-on-executables" id="example-1-file-access-policy-on-executables"></a>

たとえば、ITチームのメンバーのみが使用する特定のアプリケーションの実行を制限したい場合があります。このような制御を行うことで、「Living off the Land (LoL)」と呼ばれる、一般的な管理ツールを悪用するマルウェアによる攻撃を防ぐことができます。このカテゴリに該当するツールの例としては、以下のようなものがあります。

```
{system32}\cmd.exe
{system32}\certutil.exe
{system32}\cscript.exe
{system32}\PATHPING.EXE
{system32}\PING.EXE
{system32}\NDKPing.exe
{system32}\RpcPing.exe
{system32}\WMIC.exe
{system32}\WindowsPowerShell\v1.0\powershell.exe
{system32}\WindowsPowerShell\v1.0\powershell_ise.exe
```

{% stepper %}
{% step %}
**コレクションを作成**

**\[コレクション]** > **\[アプリケーション]** に移動し、新しいコレクションを作成します。たとえば、このコレクションを「Restricted Files on Windows」と名付け、対象ファイルをカスタムリソースとして追加します。

**注:** `{system32}` 変数は、Keeperで定義されている[パス変数](#path-variables)の1つです。

<figure><img src="/files/f5QHTwbLnG0FuiYBGHbj" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**ファイルアクセスポリシーを作成**

ポリシー画面からファイルアクセスポリシーを作成し、必要な制御を設定します。適用するアプリケーションコレクションには、「Restricted Files on Windows」コレクションを指定します。

<figure><img src="/files/OY3s8sFgCixps7cNmILU" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**ユーザー体験**

ユーザー (この場合は「標準ユーザー」) がリスト内のいずれかのアプリケーションを実行しようとすると、Keeperから理由の入力と承認を求めるプロンプトが表示されます。

<figure><img src="/files/YrzyKGfxHOvst8a60Avq" alt="" width="184"><figcaption></figcaption></figure>

リクエストが承認されると、Keeperクライアントアプリケーションにそのリクエストが表示されます。ユーザーは、その画面から直接アプリケーションを起動できます。

<figure><img src="/files/xIrN69WHbQaMZ7XS3CmZ" alt="" width="180"><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

***

### 例2. システムファイルの保護 <a href="#example-2-protection-of-a-system-file" id="example-2-protection-of-a-system-file"></a>

この例では、すべてのWindowsマシンで保護対象ファイル「netlogon.inf」へのアクセスに承認を必要とする設定を行います。

{% stepper %}
{% step %}
**コレクションを作成**

保護対象のファイルリソースを管理するために、「Protected Files」コレクションを作成します。

<figure><img src="/files/0FISfGjQH7fn6WGWPK0Y" alt=""><figcaption><p>保護対象ファイルの新しいコレクションを作成</p></figcaption></figure>
{% endstep %}

{% step %}
**アイテムをコレクションに追加**

**\[リソースを手動で定義する]** をチェックし、`netlogon.inf` ファイルをコレクションに追加します。

<figure><img src="/files/tlyOY8NMCU3EnJDV5qNf" alt=""><figcaption><p>アイテムをコレクションに追加</p></figcaption></figure>
{% endstep %}

{% step %}
**ポリシーを作成**

**\[ポリシー]** タブで **\[ポリシーの作成]** をクリックし、以下の設定を行います。

* **ポリシータイプ:** ファイルアクセス
* **ステータス:** 適用
* **コントロールを追加:** **\[MFA]**、**\[正当な理由]**、**\[承認]** のいずれかを選択
* **ユーザーグループ:** 対象となるユーザーまたはグループ、または **\[すべてのユーザーとグループ]** を選択
* **マシン:** ポリシーを適用するマシン、または **\[すべてのマシン]** を選択
* **アプリケーション:** 上記で定義した「Protected Files」コレクションを選択

<figure><img src="/files/JgkKQFvg5Ot7hLWkRLKt" alt=""><figcaption></figcaption></figure>

ファイルリソースへのアクセスに管理者の承認を必要とする場合は、**\[承認が必要]** を選択し、承認者を指定します。

<figure><img src="/files/73LvFUjS43wNPqKuQLBv" alt=""><figcaption></figcaption></figure>

ポリシーを保存すると、数分以内に対象となるすべてのマシンに適用されます。
{% endstep %}
{% endstepper %}

***

### パス変数 <a href="#path-variables" id="path-variables"></a>

ファイルアクセスポリシーを定義する際に、変数を使用することでポリシー作成を簡略化し、パスのハードコーディングを避けることができます。

#### 組み込みパス変数 <a href="#built-in-path-variables" id="built-in-path-variables"></a>

**Windows変数**

* `{windows}` → `C:\Windows` (Windowsディレクトリ)
* `{system32}` → `C:\Windows\System32` (System32ディレクトリ)
* `{syswow64}` → `C:\Windows\SysWOW64` (32ビットシステムディレクトリ)
* `{systemdrive}` → `C:\` (システムドライブのルート)
* `{userprofile}` → `C:\Users\username` (ユーザープロファイルディレクトリ)
* `{programdata}` → `C:\ProgramData` (プログラムデータディレクトリ)
* `{programfiles}` → `C:\Program Files` (Program Filesディレクトリ)
* `{programfilesx86}` → `C:\Program Files (x86)` (32ビットProgram Filesディレクトリ)
* `{temp}` → `C:\Users\username\AppData\Local\Temp` (一時ディレクトリ)
* `{appdata}` → `C:\Users\username\AppData\Roaming` (アプリケーションデータ)
* `{localappdata}` → `C:\Users\username\AppData\Local` (ローカルアプリケーションデータ)

**macOS変数**

* `{system}` → `/System` (システムディレクトリ)
* `{library}` → `/Library` (ライブラリディレクトリ)
* `{home}` → `/Users/username` (ユーザーホームディレクトリ)
* `{applications}` → `/Applications` (アプリケーションディレクトリ)
* `{volumes}` → `/Volumes` (ボリュームディレクトリ)
* `{temp}` → `/tmp` (一時ディレクトリ)

**Linux変数**

* `{usr}` → `/usr` (ユーザーディレクトリ)
* `{home}` → `/home/username` (ユーザーホームディレクトリ)
* `{temp}` → `/tmp` (一時ディレクトリ)
* `{root}` → `/` (ルートディレクトリ)

**クロスプラットフォーム変数**

* `{userdocuments}` → ユーザードキュメントディレクトリ
* `{userdesktop}` → ユーザーデスクトップディレクトリ

***

## 保護パス <a href="#protected-paths" id="protected-paths"></a>

Keeperエンドポイント特権マネージャーは、サポート対象すべてのプラットフォームにおいて包括的な保護パスのリストを管理しています。これらのパスは、標準ユーザーが変更してはならない重要なシステムディレクトリおよびファイルを示しており、システムの整合性を維持するためにACLの適用対象から除外されています。

### 保護のカテゴリ <a href="#protection-categories" id="protection-categories"></a>

#### 1. 保護ディレクトリ <a href="#id-1-protected-directories" id="id-1-protected-directories"></a>

システムの整合性を維持するため、特定のディレクトリはアクセス制御リスト (ACL) による変更から自動的に保護されます。

#### 2. 高リスクパス <a href="#id-2-high-risk-paths" id="id-2-high-risk-paths"></a>

絶対に変更してはならない重要なシステムファイルであり、ストレージ操作(書き込み・削除など)がブロックされます。

#### 3. 重要システムパス <a href="#id-3-critical-system-paths" id="id-3-critical-system-paths"></a>

インベントリスキャン中に除外される仮想ファイルシステムや問題のあるパスです。

## プラットフォーム別保護パス <a href="#platform-specific-protected-paths" id="platform-specific-protected-paths"></a>

#### Windows保護ディレクトリ <a href="#windows-protected-directories" id="windows-protected-directories"></a>

以下のディレクトリはWindowsシステム上で保護されています。

```
C:\Windows\System32
C:\Windows\SysWOW64
C:\Windows\WinSxS
C:\Program Files\Windows NT
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
```

**変数ベースの保護パス (実行時に解決されます)**

```
{system32}
{systemroot}\SysWOW64
{systemroot}\WinSxS
{programfiles}\Windows Defender
{systemroot}\System32\config
{systemroot}\System32\drivers
```

#### Windows高リスクパス <a href="#windows-high-risk-paths" id="windows-high-risk-paths"></a>

変更してはならない重要なシステムファイル

```
C:\Windows\System32\config
C:\Windows\System32\drivers
```

***

#### Linux保護ディレクトリ <a href="#linux-protected-directories" id="linux-protected-directories"></a>

Linuxシステム上の重要なシステムディレクトリおよびファイル

```
/bin
/sbin
/usr/bin
/usr/sbin
/boot
/dev
/proc
/sys
/etc/passwd
/etc/shadow
/etc/sudoers
```

#### Linux高リスクパス <a href="#linux-high-risk-paths" id="linux-high-risk-paths"></a>

変更してはならない重要なシステムファイル

```
/etc/passwd
/etc/shadow
/bin/sh
/sbin/init
```

***

#### macOS保護ディレクトリ <a href="#macos-protected-directories" id="macos-protected-directories"></a>

macOSのシステムディレクトリおよび重要ファイル

```
/System
/bin
/sbin
/usr/bin
/usr/sbin
/private/etc
/Library/Security
/Applications/Utilities
```

#### macOS高リスクパス <a href="#macos-high-risk-paths" id="macos-high-risk-paths"></a>

変更してはならない重要なシステムパス

```
/System/Library/CoreServices
/private/etc (and /etc)
```

***

#### 汎用Unix保護ディレクトリ <a href="#generic-unix-protected-directories" id="generic-unix-protected-directories"></a>

未知のUnix系バリアント向けのフォールバック保護ディレクトリ

```
/bin
/sbin
/usr/bin
/usr/sbin
/etc
/dev
/proc
/sys
```

***

## MacおよびLinuxでのポリシー適用 <a href="#mac-and-linux-policy-enforcement" id="mac-and-linux-policy-enforcement"></a>

macOSおよびLinuxデバイスでは、ファイルアクセスポリシーを適用する際に、Keeperクライアントアプリケーションのユーザーインターフェースを使用する必要があります。ファイルアクセスをリクエストする場合、ユーザーはシステムトレイの **\[アクセスをリクエスト]** から申請を行います。

<figure><img src="/files/UUaQ1OJwYYsEogyrkyje" alt="" width="375"><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/file-access-policy-type.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.