macOS: 保護パスの設計意図
/Applicationsと/System/Applicationsが保護される理由
macOSでは、/Applications と /System/Applications は保護パスです。これらのディレクトリ内の実行ファイルに対しては、ワイルドカードのファイルアクセスポリシーが意図的にバイパスされます。これは制限ではなく、設計上の仕様です。
{applications}/*.app や {applications}/*.app/Contents/MacOS/* のような包括的なワイルドカードポリシーは、/Applications 内のすべてのアプリケーションを区別なく対象にしてしまい、JamfなどのMDMソリューションで正当に展開されたソフトウェアも含まれます。これらのディレクトリを保護することで、管理対象かつ承認済みのアプリケーションが誤ってブロックされたり、本来不要な承認ワークフローに巻き込まれたりするのを防げます。
さらに、標準ユーザーは管理者資格情報なしでは /Applications にソフトウェアをインストールできません。非承認ソフトウェアのインストールという脅威モデルは /Applications ではなく、ユーザーが昇格権限なしで自由にアプリケーションをダウンロードして実行できるホームディレクトリにあります。
ポリシー設計への影響
ワイルドカードのファイルアクセスポリシーは、ユーザーのホームディレクトリとダウンロード向けの適切な手段です。管理外ソフトウェアのインストールは実際にここで発生します。
{home}/*.dmg、{downloads}/*.app、{downloads}/*.pkgなどのパターンを使い、承認済みソフトウェアのみの実行を強制し、管理チャネル外でダウンロードされたものには承認を要求するかブロックします。/Applicationsまたは/System/Applications内のアプリケーションについては、明示的なパスを指定します。これは意図的な設計であり、管理対象アプリケーション群全体への影響を抑えつつ、特定のアプリケーションを正確に制御できます。
macOSで適切なワイルドカードポリシー対象の例
{downloads}/*.app
ユーザーが直接ダウンロードしたアプリのブロックまたは承認要求
{downloads}/*.dmg
ダウンロードフォルダ内ディスクイメージのブロックまたは承認要求
{downloads}/*.pkg
ユーザーがダウンロードしたインストーラパッケージのブロックまたは承認要求
{home}/*.app
ホームディレクトリから直接実行されるアプリのブロックまたは承認要求
/Applications 向けの明示的パスポリシーの例
{applications}/Google Chrome.app/Contents/MacOS/Google Chrome
Chrome起動時の承認要求
{system}/Applications/Calculator.app/Contents/MacOS/Calculator
最終更新