ファイルアクセスポリシータイプ
ファイルアクセスポリシーの管理
概要
ファイルアクセスポリシーは、特定のファイルへのアクセスを制御し、機密データ、構成ファイル、システムファイルに対してきめ細かなアクセス制御を実現します。
このポリシーは、実行可能ファイルおよび非実行ファイルの両方へのアクセスを制限します。
ファイルアクセスポリシーは、より広いデフォルト拒否の適用モデルの中で運用することもでき、その場合は機密ファイルへのアクセスまたは実行に先立ち、明示的な承認またはポリシーによる承認が必要になります。
動作の仕組み
実行可能ファイル: 昇格ポリシーと同様に、実行時点でアクセスが制限されます。
非実行ファイル (テキストファイル、データベースファイル、構成ファイルなど): OSのネイティブACLを利用した制御により、MFA、理由入力、承認などの実行要件を満たさない場合、ファイルに対する
READ/WRITE/DELETEが拒否されます。ファイルアクセスポリシーは標準ユーザーだけでなく、システム上のすべてのユーザーに適用されます。
ファイルアクセスのリクエストは、Keeperクライアントとコマンドラインの両方から開始でき、ユーザー操作のパターン間で一貫した制御とワークフローの整合性が確保されます。
特記事項
同じ実行ファイルにファイルアクセスと特権昇格ポリシーが両方設定されている場合、ファイルアクセスポリシーは適用されず、特権昇格ポリシーのみが評価されます。
ファイルアクセスポリシーの評価では、適用判断の一環としてコンテキストに応じたリスクシグナルを取り込む場合があり、ファイルのガバナンスをより広範なリスク管理施策と整合させやすくなります。
エンドポイント上の共通フォルダやパスにポリシーを割り当てる際には、パス変数を利用できます。
Keeperは、ポリシーが適用される対象ユーザーに対して、明示的にターゲットファイルのACLを変更します。対象ユーザーを明示的にACLに追加し、アクセス許可を設定します。ユーザーがファイルアクセスをリクエストし、承認されると、Keeperはそのユーザーに対して読み取り/書き込み権限を「許可」に変更します。
Linuxシステムでは、ユーザーがすでに「allow」権限を持つグループに所属している場合、Keeperの設定に関係なく、グループ権限に基づいてファイルへアクセスできます。
アプリケーションコレクションを作成
ポリシーを作成する前に、対象ファイルを アプリケーションコレクション にまとめる必要があります。[コレクション] → [アプリケーション] に移動し、[新しいコレクション] をクリックします。[新しいコレクション] のモーダルが開きます。[種類] の選択欄で [アプリケーション] を選び、識別しやすい名前を付け、[次へ] をクリックします。
[アイテムをコレクションに追加] のモーダルが表示されます。追加するオブジェクト名を入力して候補から選ぶか、[リソースを手動で定義する] にチェックを入れてリソースを手動で定義します。
各対象ファイルをカスタムリソースとして追加します。パスをハードコードしないよう、該当する箇所では パス変数を使います (例: {system32}\powershell.exe)。追加するリソースを選択または入力したら [追加] をクリックし、必要なリソースがすべてアプリケーションコレクションに入るまで繰り返します。
ヒント: ポリシーに割り当てたときに用途が分かるよう、「Restricted System Tools」や「Protected Config Files」など、目的が伝わる名前を付けます。
ポリシーフィルターを設定
[コントロールを追加] の下で、フィルターを指定してポリシーの適用範囲を定義します。
ユーザーグループ: 対象とするユーザーグループのコレクションを選ぶか、[すべてを選択] で全ユーザーを対象にします
マシン: 対象とするマシンのコレクションを選ぶか、[すべてを選択] で登録済みの全エンドポイントを対象にします
アプリケーション: 手順1で作成したアプリケーションコレクションを選択します
日時ウィンドウ: 必要に応じて、特定の日付、曜日、または時間帯に限定します
ユーザーグループ、マシン、アプリケーションなどのフィルターのいずれかで [すべてを選択] を指定するとワイルドカードとなり、将来コレクションに追加される新しいユーザー、マシン、またはアプリケーションが自動的に対象に含まれます。
例1. 実行ファイルに対するファイルアクセスポリシー
たとえば、ITチームのメンバーのみが使用する特定のアプリケーションの実行を制限したい場合があります。このような制御を行うことで、「Living off the Land (LoL)」と呼ばれる、一般的な管理ツールを悪用するマルウェアによる攻撃を防ぐことができます。このカテゴリに該当するツールの例としては、以下のようなものがあります。
コレクションを作成
[コレクション] > [アプリケーション] に移動し、新しいコレクションを作成します。たとえば、このコレクションを「Restricted Files on Windows」と名付け、対象ファイルをカスタムリソースとして追加します。
注: {system32} 変数は、Keeperで定義されているパス変数の1つです。
ファイルアクセスポリシーを作成
ポリシー画面からファイルアクセスポリシーを作成し、必要な制御を設定します。適用するアプリケーションコレクションには、「Restricted Files on Windows」コレクションを指定します。
ユーザー体験
ユーザー (この場合は「標準ユーザー」) がリスト内のいずれかのアプリケーションを実行しようとすると、Keeperから理由の入力と承認を求めるプロンプトが表示されます。
リクエストが承認されると、Keeperクライアントアプリケーションにそのリクエストが表示されます。ユーザーは、その画面から直接アプリケーションを起動できます。
例2. システムファイルの保護
この例では、すべてのWindowsマシンで保護対象ファイル「netlogon.inf」へのアクセスに承認を必要とする設定を行います。
コレクションを作成
保護対象のファイルリソースを管理するために、「Protected Files」コレクションを作成します。
アイテムをコレクションに追加
[リソースを手動で定義する] をチェックし、netlogon.inf ファイルをコレクションに追加します。
ポリシーを作成
[ポリシー] タブで [ポリシーの作成] をクリックし、以下の設定を行います。
ポリシータイプ: ファイルアクセス
ステータス: 適用
コントロールを追加: [MFA]、[正当な理由]、[承認] のいずれかを選択
ユーザーグループ: 対象となるユーザーまたはグループ、または [すべてのユーザーとグループ] を選択
マシン: ポリシーを適用するマシン、または [すべてのマシン] を選択
アプリケーション: 上記で定義した「Protected Files」コレクションを選択
ファイルリソースへのアクセスに管理者の承認を必要とする場合は、[承認が必要] を選択し、承認者を指定します。
ポリシーを保存すると、数分以内に対象となるすべてのマシンに適用されます。
パス変数
ファイルアクセスポリシーを定義する際に、変数を使用することでポリシー作成を簡略化し、パスのハードコーディングを避けることができます。
パス変数の一覧および詳細は、パス変数をご参照ください。
保護パス
Keeperエンドポイント特権マネージャーは、サポート対象すべてのプラットフォームにおいて包括的な保護パスのリストを管理しています。これらのパスは、標準ユーザーが変更してはならない重要なシステムディレクトリおよびファイルを示しており、システムの整合性を維持するためにACLの適用対象から除外されています。
保護のカテゴリ
1. 保護ディレクトリ
システムの整合性を維持するため、特定のディレクトリはアクセス制御リスト (ACL) による変更から自動的に保護されます。
2. 高リスクパス
絶対に変更してはならない重要なシステムファイルであり、ストレージ操作(書き込み・削除など)がブロックされます。
3. 重要システムパス
インベントリスキャン中に除外される仮想ファイルシステムや問題のあるパスです。
プラットフォーム別保護パス
Linuxの既定の保護パス
以下のパス上の実行ファイルは、ワイルドカードによるファイルアクセス DENY ポリシーの対象外です。保護はすべてのサブディレクトリに再帰的に適用されます。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。
/bin
必須のシステムバイナリ
/sbin
システム管理用バイナリ
/usr/bin
ユーザー向けシステムユーティリティ
/usr/sbin
システム管理ユーティリティ
/usr/lib
システム共有ライブラリ
/usr/libexec
システムデーモンの実行ファイル
/lib
必須の共有ライブラリ
/lib64
64ビット必須の共有ライブラリ
/etc
システム構成ファイル
/etc/passwd
ユーザーアカウントデータベース
/etc/shadow
暗号化されたユーザーパスワードストア
/etc/sudoers
sudo 特権の構成
/boot
ブートローダーとカーネルファイル
/dev
デバイスファイル
/proc
カーネルおよびプロセス情報 (仮想ファイルシステム)
/sys
ハードウェアおよびドライバー情報 (仮想ファイルシステム)
/opt/keeper
エンドポイント特権マネージャーのインストールディレクトリ
Linuxの高リスクパス
以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、認証が破損したり、システムの初期化が無効になったり、起動不能になる可能性があります。
/etc/passwd
ユーザーアカウントデータベース
破損するとシステム全体のユーザー認証が機能しなくなる
/etc/shadow
暗号化されたユーザーパスワードストア
破損するとすべてのユーザーのパスワードログインができなくなる
/bin/sh
既定のシステムシェル
破損すると sh に依存するスクリプト、システム初期化、復旧ツールが動作しなくなる
/sbin/init
システム初期化プロセス (PID 1)
破損するとOSが起動しなくなる
ワイルドカードについて
アプリケーションとフォルダのフィルターでの振る舞いと注意点は、ワイルドカードをご参照ください。
汎用Unixの既定の保護パス
以下のパスは、プラットフォーム固有の一覧が定義されていないUnix系環境向けのフォールバック保護ディレクトリセットです。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。
/bin
必須のシステムバイナリ
/sbin
システム管理用バイナリ
/usr/bin
ユーザー向けシステムユーティリティ
/usr/sbin
システム管理ユーティリティ
/etc
システム構成ファイル
/dev
デバイスファイル
/proc
カーネルおよびプロセス情報 (仮想ファイルシステム)
/sys
ハードウェアおよびドライバー情報 (仮想ファイルシステム)
macOSの既定の保護パス
以下のパス上の実行ファイルに対しては、ワイルドカードによるファイルアクセス DENY ポリシーが適用されません。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。
/System
macOSのシステムルートおよびすべてのサブディレクトリ
/bin
必須のシステムバイナリ
/sbin
システム管理用バイナリ
/usr/bin
ユーザー向けシステムユーティリティ
/usr/sbin
システム管理ユーティリティ
/private/etc
システム構成ファイル
/Library/Security
セキュリティフレームワーク
/Applications/Utilities
組み込みユーティリティアプリ
/Applications
/Applications フォルダ内のすべてのアプリ
/System/Applications
組み込みmacOSアプリ
macOSの高リスクパス
以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、コアOSサービスが破損したり、認証が機能しなくなったり、起動不能になる可能性があります。
/System/Library/CoreServices
Finder、WindowServer、起動コンポーネントなどのmacOSコアシステムサービス
破損するとシステム起動、GUI環境、またはその両方が機能しなくなる
/private/etc
システム構成ファイル (/etc としてもアクセス可能)
passwd、sudoers、hosts などのファイルを破損すると、認証、特権の解決、ネットワークの動作が機能しなくなる
/Applications と /System/Applications は設計上保護されています。ワイルドカードと明示的なパスポリシーのスコープ設定の考え方の詳細は、macOS保護パスの設計意図をご参照ください。
Windowsの既定の保護パス
以下のパス上の実行ファイルは、ワイルドカードによるファイルアクセス DENY ポリシーの対象外です。保護は再帰的に適用され、すべてのサブディレクトリが含まれます。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。
保護パスの一覧は、保護パスポリシー、または PathResolution ストレージフォルダ配下の UserProtectedDirectories.json / PolicyProtectedDirectories.json ファイルで拡張できます。
{systemroot}
C:\Windows
Windowsディレクトリのルートおよびすべてのサブディレクトリ
{system32}
C:\Windows\System32
コアシステムバイナリ
{systemroot}\SysWOW64
C:\Windows\SysWOW64
64ビットWindows上の32ビットシステムバイナリ
{systemroot}\WinSxS
C:\Windows\WinSxS
Side-by-Sideコンポーネントアセンブリ
{systemroot}\servicing
C:\Windows\servicing
Windows UpdateおよびServicing Stack
{systemroot}\Microsoft.NET
C:\Windows\Microsoft.NET
.NET Frameworkランタイムファイル
{systemroot}\assembly
C:\Windows\assembly
グローバルアセンブリキャッシュ (GAC)
{systemroot}\Boot
C:\Windows\Boot
ブートマネージャーファイル
{systemroot}\recovery
C:\Windows\recovery
Windows回復環境
{systemroot}\System32\config
C:\Windows\System32\config
レジストリハイブファイル
{systemroot}\System32\drivers
C:\Windows\System32\drivers
カーネルモードデバイスドライバー
{programfiles}
C:\Program Files
インストール済み64ビットアプリ
{programfilesx86}
C:\Program Files (x86)
64ビットWindows上のインストール済み32ビットアプリ
{programfiles}\Windows Defender
C:\Program Files\Windows Defender
Windows Defenderウイルス対策バイナリ
{programfiles}\Windows NT
C:\Program Files\Windows NT
コアWindows NTコンポーネント
N/A
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
システム起動プログラム
Windowsの高リスクパス
以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、レジストリが破損したり、ドライバーが不安定になったり、起動不能になる可能性があります。
C:\Windows\System32\config
レジストリハイブファイル (SYSTEM、SAM、SECURITY、SOFTWARE)
レジストリ破損、システム起動不能
C:\Windows\System32\drivers
カーネルモードデバイスドライバー (.sys ファイル)
ドライバー障害、ブルースクリーン (BSOD)
MacおよびLinuxでのポリシー適用
macOSおよびLinuxデバイスでは、ファイルアクセスポリシーを適用する際に、Keeperクライアントアプリケーションのユーザーインターフェースを使用する必要があります。ファイルアクセスをリクエストする場合、ユーザーはシステムトレイの [アクセスをリクエスト] から申請を行います。
最終更新