> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/file-access-policy-type.md). # ファイルアクセスポリシー

## 概要ファイルアクセスポリシーは、特定のファイルへのアクセスを制御し、機密データ、構成ファイル、システムファイルに対してきめ細かなアクセス制御を実現します。このポリシーは、**実行可能ファイル**および**非実行ファイル**の両方へのアクセスを制限します。ファイルアクセスポリシーは、より広いデフォルト拒否の適用モデルの中で運用することもでき、その場合は機密ファイルへのアクセスまたは実行に先立ち、明示的な承認またはポリシーによる承認が必要になります。 ## 動作の仕組み * **実行可能ファイル:** 昇格ポリシーと同様に、実行時点でアクセスが制限されます。 * **非実行ファイル (テキストファイル、データベースファイル、構成ファイルなど):** OSのネイティブACLを利用した制御により、MFA、理由入力、承認などの実行要件を満たさない場合、ファイルに対する `READ` / `WRITE` / `DELETE` が拒否されます。 * ファイルアクセスポリシーは標準ユーザーだけでなく、システム上のすべてのユーザーに適用されます。 * ファイルアクセスのリクエストは、Keeperクライアントとコマンドラインの両方から開始でき、ユーザー操作のパターン間で一貫した制御とワークフローの整合性が確保されます。 ### 特記事項 * 同じ実行ファイルにファイルアクセスと特権昇格ポリシーが両方設定されている場合、ファイルアクセスポリシーは適用されず、特権昇格ポリシーのみが評価されます。 * ファイルアクセスポリシーの評価では、適用判断の一環としてコンテキストに応じたリスクシグナルを取り込む場合があり、ファイルのガバナンスをより広範なリスク管理施策と整合させやすくなります。 * エンドポイント上の共通フォルダやパスにポリシーを割り当てる際には、[パス変数](#path-variables)を利用できます。 * Keeperは、ポリシーが適用される対象ユーザーに対して、明示的にターゲットファイルのACLを変更します。対象ユーザーを明示的にACLに追加し、アクセス許可を設定します。ユーザーがファイルアクセスをリクエストし、承認されると、Keeperはそのユーザーに対して読み取り/書き込み権限を「許可」に変更します。 * Linuxシステムでは、ユーザーがすでに「allow」権限を持つグループに所属している場合、Keeperの設定に関係なく、グループ権限に基づいてファイルへアクセスできます。 *** {% stepper %} {% step %} **アプリケーションコレクションを作成** ポリシーを作成する前に、対象ファイルを **アプリケーションコレクション** にまとめる必要があります。**\[コレクション]** → **\[アプリケーション]** に移動し、**\[新しいコレクション]** をクリックします。**\[新しいコレクション]** のモーダルが開きます。**\[種類]** の選択欄で **\[アプリケーション]** を選び、識別しやすい名前を付け、**\[次へ]** をクリックします。

**\[アイテムをコレクションに追加]** のモーダルが表示されます。追加するオブジェクト名を入力して候補から選ぶか、**\[リソースを手動で定義する]** にチェックを入れてリソースを手動で定義します。各対象ファイルをカスタムリソースとして追加します。パスをハードコードしないよう、該当する箇所では [パス変数](broken://pages/E3BQ3kP4uECttGaKgOlA)を使います (例: `{system32}\powershell.exe`)。追加するリソースを選択または入力したら **\[追加]** をクリックし、必要なリソースがすべてアプリケーションコレクションに入るまで繰り返します。

{% hint style="info" %} **ヒント:** ポリシーに割り当てたときに用途が分かるよう、「Restricted System Tools」や「Protected Config Files」など、目的が伝わる名前を付けます。 {% endhint %}

{% endstep %} {% step %} **ポリシーフォームを開く** Keeper管理コンソールで **\[エンドポイント特権マネージャー]** → **\[ポリシー]** に移動し、**\[ポリシーの作成]** をクリックします。**\[ポリシーの作成]** のモーダルが開きます。

{% endstep %} {% step %} **ポリシーを設定** 以下の項目を入力します。 * **ポリシー名:** わかりやすい名前 (例: `File Access – Restricted System Tools`、`File Access – Protected Config Files`) * **ポリシータイプ:** ファイルアクセス * **ステータス:** 適用

{% hint style="info" %} **ヒント:** 適用前に **\[監視]** でどの程度マッチするか確認することをおすすめします。 {% endhint %} {% endstep %} {% step %} **コントロールを選択** **\[コントロールを追加]** をクリックし、ユーザーが該当する操作を行ったときに適用するコントロールを選択します。 * **\[承認が必要]:** 指定した承認者がリクエストを承認するまでブロックされます * **\[MFA必須]:** 続行する前に TOTP コードで本人確認が必要です * **\[正当な理由が必要]:** 続行する前に理由の入力が必要です

1つのポリシーに複数のコントロールを追加できます。複数を重ねる場合、操作が許可されるまですべての要件を満たす必要があります。 {% endstep %} {% step %} **ポリシーフィルターを設定** **\[コントロールを追加]** の下で、フィルターを指定してポリシーの適用範囲を定義します。 * **ユーザーグループ:** 対象とするユーザーグループのコレクションを選ぶか、**\[すべてを選択]** で全ユーザーを対象にします * **マシン:** 対象とするマシンのコレクションを選ぶか、**\[すべてを選択]** で登録済みの全エンドポイントを対象にします * **アプリケーション:** 手順1で作成したアプリケーションコレクションを選択します * **日時ウィンドウ:** 必要に応じて、特定の日付、曜日、または時間帯に限定します

{% hint style="info" %} ユーザーグループ、マシン、アプリケーションなどのフィルターのいずれかで **\[すべてを選択]** を指定するとワイルドカードとなり、将来コレクションに追加される新しいユーザー、マシン、またはアプリケーションが自動的に対象に含まれます。 {% endhint %} {% endstep %} {% step %} **保存して展開** 上記の手順どおりに入力すると、**\[保存]** が有効になります。**\[保存]** をクリックします。

ポリシーは、およそ **30分** 以内に適用範囲内のすべてのエンドポイントに配信されます。対象エンドポイントのユーザーは、Keeperエージェントの **\[ポリシーを更新]** から即時同期を実行することもできます。ポリシーが適用されると、対象ユーザーにはローカルの管理者グループから削除された旨を知らせる画面通知が表示されます。 {% endstep %} {% endstepper %} ## 例1: 実行ファイルに対するファイルアクセスポリシーたとえば、ITチームのメンバーのみが使用する特定のアプリケーションの実行を制限したい場合があります。このような制御を行うことで、「Living off the Land (LoL)」と呼ばれる、一般的な管理ツールを悪用するマルウェアによる攻撃を防ぐことができます。このカテゴリに該当するツールの例としては、以下のようなものがあります。 ``` {system32}\cmd.exe {system32}\certutil.exe {system32}\cscript.exe {system32}\PATHPING.EXE {system32}\PING.EXE {system32}\NDKPing.exe {system32}\RpcPing.exe {system32}\WMIC.exe {system32}\WindowsPowerShell\v1.0\powershell.exe {system32}\WindowsPowerShell\v1.0\powershell_ise.exe ``` {% stepper %} {% step %} **コレクションを作成** **\[コレクション]** > **\[アプリケーション]** に移動し、新しいコレクションを作成します。たとえば、このコレクションを「Restricted Files on Windows」と名付け、対象ファイルをカスタムリソースとして追加します。 **注:** `{system32}` 変数は、Keeperで定義されている[パス変数](#path-variables)の1つです。

{% endstep %} {% step %} **ファイルアクセスポリシーを作成** ポリシー画面からファイルアクセスポリシーを作成し、必要な制御を設定します。適用するアプリケーションコレクションには、「Restricted Files on Windows」コレクションを指定します。

{% endstep %} {% step %} **ユーザー体験** ユーザー (この場合は「標準ユーザー」) がリスト内のいずれかのアプリケーションを実行しようとすると、Keeperから理由の入力と承認を求めるプロンプトが表示されます。

リクエストが承認されると、Keeperクライアントアプリケーションにそのリクエストが表示されます。ユーザーは、その画面から直接アプリケーションを起動できます。

{% endstep %} {% endstepper %} ## 例2: システムファイルの保護この例では、すべてのWindowsマシンで保護対象ファイル「netlogon.inf」へのアクセスに承認を必要とする設定を行います。 {% stepper %} {% step %} **コレクションを作成** 保護対象のファイルリソースを管理するために、「Protected Files」コレクションを作成します。

{% endstep %} {% step %} **アイテムをコレクションに追加** **\[リソースを手動で定義する]** をチェックし、`netlogon.inf` ファイルをコレクションに追加します。

{% endstep %} {% step %} **ポリシーを作成** **\[ポリシー]** タブで **\[ポリシーの作成]** をクリックし、以下の設定を行います。 * **ポリシータイプ:** ファイルアクセス * **ステータス:** 適用 * **コントロールを追加:** **\[MFA]**、**\[正当な理由]**、**\[承認]** のいずれかを選択 * **ユーザーグループ:** 対象となるユーザーまたはグループ、または **\[すべてのユーザーとグループ]** を選択 * **マシン:** ポリシーを適用するマシン、または **\[すべてのマシン]** を選択 * **アプリケーション:** 上記で定義した「Protected Files」コレクションを選択

ファイルリソースへのアクセスに管理者の承認を必要とする場合は、**\[承認が必要]** を選択し、承認者を指定します。

ポリシーを保存すると、数分以内に対象となるすべてのマシンに適用されます。 {% endstep %} {% endstepper %} ファイルアクセスポリシーを定義する際に、変数を使用することでポリシー作成を簡略化し、パスのハードコーディングを避けることができます。 **パス変数**は、`{userprofile}` や `{system32}` のように、各マシン上の実パスへと展開されるプレースホルダです。対応OSやインストール先が異なる環境でも、1本のポリシーやジョブのまま扱えます。 * **形式:** `{variableName}` は中括弧で囲み、`$` 接頭辞は付けません。 * **大文字と小文字:** Windowsでは区別されません。LinuxおよびmacOSでは区別されます。 * **解決のタイミング:** ファイル保存時ではなく、評価時 (ポリシーまたはジョブが実行されるとき) に解決されます。 ## 共通のパス変数 (全プラットフォーム)

変数	Windowsの例	Linuxの例	macOSの例	説明
`{rootdir}`	`C:\`	`/`	`/`	ドライブまたはファイルシステムのルート
`{documents}`	`C:\Users\<user>\Documents`	`/home/<user>/Documents`	`/Users/<user>/Documents`	ユーザーのドキュメントフォルダ
`{userdocuments}`	`{documents}` と同じ	`{documents}` と同じ	`{documents}` と同じ	ドキュメントの別名
`{userdesktop}`	`C:\Users\<user>\Desktop`	`/home/<user>/Desktop`	`/Users/<user>/Desktop`	ユーザーのデスクトップ
`{hasdesktop}`	`"true"` / `"false"`	`"true"` / `"false"`	`"true"` / `"false"`	デスクトップ環境の有無

## Windows固有のパス変数

変数	一般的な値	説明
`{systemroot}`	`C:\Windows`	Windowsディレクトリ
`{windows}`	`C:\Windows`	systemrootの別名
`{systemdrive}`	`C:`	システムドライブ (末尾のバックスラッシュなし)
`{system32}`	`C:\Windows\System32`	System32ディレクトリ
`{syswow64}`	`C:\Windows\SysWOW64`	64ビットWindows上の32ビットシステム領域
`{programfiles}`	`C:\Program Files`	Program Files
`{programfilesx86}`	`C:\Program Files (x86)`	Program Files (x86)
`{userprofile}`	`C:\Users\<user>`	ユーザープロファイルディレクトリ
`{appdata}`	`C:\Users\<user>\AppData\Roaming`	ローミングAppData
`{localappdata}`	`C:\Users\<user>\AppData\Local`	ローカルAppData
`{programdata}`	`C:\ProgramData`	ProgramData
`{temp}`	`C:\Users\<user>\AppData\Local\Temp`	ユーザー用一時ディレクトリ

## **macOS固有のパス変数**

変数	例	説明
`{system}`	`/System`	システムルート
`{library}`	`/Library`	ライブラリ
`{applications}`	`/Applications`	アプリケーションフォルダ
`{volumes}`	`/Volumes`	ボリュームのマウントポイント
`{downloads}`	`/Users/<user>/Downloads`	ユーザーのダウンロード
`{launchdaemons}`	`/Library/LaunchDaemons`	システム用LaunchDaemon
`{launchagents}`	`/Library/LaunchAgents`	Launchエージェント

## LinuxおよびmacOS共通のパス変数

変数	Linuxの例	macOSの例	説明
`{bin}`	`/bin`	`/bin`	実行ファイル
`{etc}`	`/etc`	`/etc`	設定
`{tmp}`	`/tmp`	`/tmp`	一時領域
`{usr}`	`/usr`	`/usr`	ユーザープログラム
`{var}`	`/var`	`/var`	可変データ
`{home}`	`/home/<user>`	`/Users/<user>`	ユーザーホーム

## アプリケーション固有のパス変数以下は、エンドポイント特権マネージャーのインストール位置を基準に解決されます。

変数	説明	例 (Windows)
`{approot}`	アプリケーションのルートディレクトリ	`C:\Program Files\KeeperPrivilegeManager`
`{pluginroot}`	プラグインディレクトリ	`C:\Program Files\KeeperPrivilegeManager\Plugins`
`{jobroot}`	ジョブディレクトリ	`C:\Program Files\KeeperPrivilegeManager\Jobs`

## 保護パス Keeperエンドポイント特権マネージャーは、サポート対象すべてのプラットフォームにおいて包括的な保護パスのリストを管理しています。これらのパスは、標準ユーザーが変更してはならない重要なシステムディレクトリおよびファイルを示しており、システムの整合性を維持するためにACLの適用対象から除外されています。 ### 保護のカテゴリ #### 1. 保護ディレクトリシステムの整合性を維持するため、特定のディレクトリはアクセス制御リスト (ACL) による変更から自動的に保護されます。 #### 2. 高リスクパス絶対に変更してはならない重要なシステムファイルであり、ストレージ操作 (書き込み・削除など) がブロックされます。 #### 3. 重要システムパスインベントリスキャン中に除外される仮想ファイルシステムや問題のあるパスです。 ## プラットフォーム別保護パス #### Linuxの既定の保護パス以下のパス上の実行ファイルは、ワイルドカードによるファイルアクセス `DENY` ポリシーの対象外です。保護はすべてのサブディレクトリに再帰的に適用されます。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。

パス	説明
`/bin`	必須のシステムバイナリ
`/sbin`	システム管理用バイナリ
`/usr/bin`	ユーザー向けシステムユーティリティ
`/usr/sbin`	システム管理ユーティリティ
`/usr/lib`	システム共有ライブラリ
`/usr/libexec`	システムデーモンの実行ファイル
`/lib`	必須の共有ライブラリ
`/lib64`	64ビット必須の共有ライブラリ
`/etc`	システム構成ファイル
`/etc/passwd`	ユーザーアカウントデータベース
`/etc/shadow`	暗号化されたユーザーパスワードストア
`/etc/sudoers`	sudo 特権の構成
`/boot`	ブートローダーとカーネルファイル
`/dev`	デバイスファイル
`/proc`	カーネルおよびプロセス情報 (仮想ファイルシステム)
`/sys`	ハードウェアおよびドライバー情報 (仮想ファイルシステム)
`/opt/keeper`	エンドポイント特権マネージャーのインストールディレクトリ

#### Linuxの高リスクパス以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、認証が破損したり、システムの初期化が無効になったり、起動不能になる可能性があります。

パス	説明	リスク
`/etc/passwd`	ユーザーアカウントデータベース	破損するとシステム全体のユーザー認証が機能しなくなる
`/etc/shadow`	暗号化されたユーザーパスワードストア	破損するとすべてのユーザーのパスワードログインができなくなる
`/bin/sh`	既定のシステムシェル	破損すると `sh` に依存するスクリプト、システム初期化、復旧ツールが動作しなくなる
`/sbin/init`	システム初期化プロセス (PID 1)	破損するとOSが起動しなくなる

{% hint style="info" %} アプリケーションとフォルダのフィルターでのワイルドカードの振る舞いと注意点の詳細は、[**ポリシー: ワイルドカード**](/keeperpam/jp/endpoint-privilege-manager/policies/wildcards.md)をご参照ください。 {% endhint %} #### 汎用Unixの既定の保護パス以下のパスは、プラットフォーム固有の一覧が定義されていないUnix系環境向けのフォールバック保護ディレクトリセットです。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。

パス	説明
`/bin`	必須のシステムバイナリ
`/sbin`	システム管理用バイナリ
`/usr/bin`	ユーザー向けシステムユーティリティ
`/usr/sbin`	システム管理ユーティリティ
`/etc`	システム構成ファイル
`/dev`	デバイスファイル
`/proc`	カーネルおよびプロセス情報 (仮想ファイルシステム)
`/sys`	ハードウェアおよびドライバー情報 (仮想ファイルシステム)

#### macOSの既定の保護パス以下のパス上の実行ファイルに対しては、ワイルドカードによるファイルアクセス `DENY` ポリシーが適用されません。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。

パス	説明
`/System`	macOSのシステムルートおよびすべてのサブディレクトリ
`/bin`	必須のシステムバイナリ
`/sbin`	システム管理用バイナリ
`/usr/bin`	ユーザー向けシステムユーティリティ
`/usr/sbin`	システム管理ユーティリティ
`/private/etc`	システム構成ファイル
`/Library/Security`	セキュリティフレームワーク
`/Applications/Utilities`	組み込みユーティリティアプリ
`/Applications`	メインのApplicationsフォルダ内のすべてのアプリ
`/System/Applications`	組み込みmacOSアプリ

#### macOSの高リスクパス以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、コアOSサービスが破損したり、認証が機能しなくなったり、起動不能になる可能性があります。 | パス | 説明 | リスク | | ------------------------------ | ----------------------------------------------- | ------------------------------------------------------------------- | | `/System/Library/CoreServices` | Finder、WindowServer、起動コンポーネントなどのコアmacOSシステムサービス | 破損するとシステム起動、GUI環境、またはその両方が機能しなくなる | | `/private/etc` | システム構成ファイル (`/etc` としてもアクセス可能) | `passwd`、`sudoers`、`hosts` などのファイルを破損すると、認証、特権の解決、ネットワークの動作が機能しなくなる | {% hint style="success" %} `/Applications` と `/System/Applications` は設計上保護されています。ワイルドカードと明示的なパスポリシーのスコープ設定の考え方の詳細は、[macOS保護パスの設計意図](/keeperpam/jp/endpoint-privilege-manager/reference/macos-protected-path-design-intent.md)をご参照ください。 {% endhint %} ### Windowsの既定の保護パス以下のパス上の実行ファイルは、ワイルドカードによるファイルアクセス `DENY` ポリシーの対象外です。保護は再帰的に適用され、すべてのサブディレクトリが含まれます。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。保護パスの一覧は、保護パスポリシー、または PathResolution ストレージフォルダ配下の `UserProtectedDirectories.json` / `PolicyProtectedDirectories.json` ファイルで拡張できます。 | 変数 | 解決先 (一般的) | 説明 | | --------------------------------- | -------------------------------------------------------------- | -------------------------------- | | `{systemroot}` | `C:\Windows` | Windowsディレクトリのルートおよびすべてのサブディレクトリ | | `{system32}` | `C:\Windows\System32` | コアシステムバイナリ | | `{systemroot}\SysWOW64` | `C:\Windows\SysWOW64` | 64ビットWindows上の32ビットシステムバイナリ | | `{systemroot}\WinSxS` | `C:\Windows\WinSxS` | Side-by-Sideコンポーネントアセンブリ | | `{systemroot}\servicing` | `C:\Windows\servicing` | Windows UpdateおよびServicing Stack | | `{systemroot}\Microsoft.NET` | `C:\Windows\Microsoft.NET` | .NET Frameworkランタイムファイル | | `{systemroot}\assembly` | `C:\Windows\assembly` | グローバルアセンブリキャッシュ (GAC) | | `{systemroot}\Boot` | `C:\Windows\Boot` | ブートマネージャーファイル | | `{systemroot}\recovery` | `C:\Windows\recovery` | Windows回復環境 | | `{systemroot}\System32\config` | `C:\Windows\System32\config` | レジストリハイブファイル | | `{systemroot}\System32\drivers` | `C:\Windows\System32\drivers` | カーネルモードデバイスドライバー | | `{programfiles}` | `C:\Program Files` | インストール済み64ビットアプリ | | `{programfilesx86}` | `C:\Program Files (x86)` | 64ビットWindows上のインストール済み32ビットアプリ | | `{programfiles}\Windows Defender` | `C:\Program Files\Windows Defender` | Windows Defenderウイルス対策バイナリ | | `{programfiles}\Windows NT` | `C:\Program Files\Windows NT` | コアWindows NTコンポーネント | | N/A | `C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup` | システム起動プログラム | #### Windowsの高リスクパス以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、レジストリが破損したり、ドライバーが不安定になったり、起動不能になる可能性があります。 | パス | 説明 | リスク | | ----------------------------- | --------------------------------------------------- | ----------------------- | | `C:\Windows\System32\config` | レジストリハイブファイル (`SYSTEM`、`SAM`、`SECURITY`、`SOFTWARE`) | レジストリ破損、システム起動不能 | | `C:\Windows\System32\drivers` | カーネルモードデバイスドライバー (`.sys` ファイル) | ドライバー障害、ブルースクリーン (BSOD) | ### MacおよびLinuxでのポリシー適用 macOSおよびLinuxデバイスでは、ファイルアクセスポリシーを適用する際に、Keeperクライアントアプリケーションのユーザーインターフェースを使用する必要があります。ファイルアクセスをリクエストする場合、ユーザーはシステムトレイの **\[アクセスをリクエスト]** から申請を行います。

--- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/file-access-policy-type.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.