Ctrlk
HomepageSystem Status

ポリシー

本節では、ポリシーの種類ステータスコントロールフィルターを整理し、セキュリティとコンプライアンスの目標に沿ったポリシーを設計するうえでの要点を説明します。

ポリシーの種類

各ポリシーには、どの操作を制御するかを決める種類 (タイプ) があります。

種類
制御対象
典型的な用途

特権昇格

ユーザーが管理者として実行する (または特権を昇格させる) とき。

昇格前にMFA、承認、または正当化を求める。特定アプリの許可またはブロック。

ファイルアクセス

ファイルとフォルダへのアクセス。

機微なパスへのアクセスをブロックまたは許可。特定ファイルでは正当化または承認を求める。

コマンドライン

コマンドの実行 (例: PowerShell、シェル、スクリプト)。

危険なコマンドをブロックする。機微なスクリプトでは承認を求める。

最小権限

ユーザーがローカル管理者権限を維持するか、外すか。

大多数のユーザーから常時の管理者権限を外す。特定のロールやマシンだけ例外とする。

Advanced Mode:設定の更新

エージェントへの構成のプッシュ (例: プラグインまたはグローバル設定)。

各エンドポイントを直接操作せず、ダッシュボードから設定を展開する。

Advanced Mode:ジョブの更新

エージェント上のジョブ定義のデプロイまたは更新。

自動化やポリシー適用などのジョブを一か所から展開する。

ユーザー (またはプロセス) が操作を行うと、エージェント側でイベントタイプ (例: 特権昇格、ファイルアクセス) が判別され、その種類に該当するポリシーだけが評価されます。そのため、特権昇格のポリシーがファイルアクセスをブロックすることはなく、ファイルアクセスのポリシーが昇格をブロックすることもありません。複数のポリシー種類を組み合わせて、カバー範囲をそろえられます。

順序について

複数のポリシー種類を展開する際は、適用順が重要です。常時の管理者権限を削除した後も、統制下で昇格できる手段を確保するため、最小権限ポリシーを適用する前に、特権昇格ポリシーを構成してテストしてください。推奨手順はポリシー: 段階的ロールアウトの計画をご参照ください。

ファイルアクセス承認の有効期間

ファイルアクセスポリシーで承認が必要な場合、承認が付与されると、要求者は対象ファイルに4時間アクセスできます。この間、ファイルの開封、編集、保存、および閉じる操作が可能です。

MFAアクセス期間

MFA検証に成功すると、要求者は付与された特権を使える5分間の猶予が与えられます。この時間内に特権を行使しなかった場合、再度MFA検証が必要です。

参考: 承認期間の構成

ポリシーのステータス

各ポリシーには、実際にコントロールを適用するか、監視だけにとどめるかを決めるステータスがあります。

ステータス
評価されるか
適用されるか
挙動

オフ

いいえ

いいえ

ポリシーは無視されます。削除せずに無効化するときに使います。

適用

はい

はい

ポリシーが評価され、コントロール (許可、拒否、MFA、承認など) が適用されます。

監視

はい

いいえ

ポリシーは評価され、ログに残りますが、コントロールは適用されず、操作は許可されます。本番適用の前に影響を把握するときに使います。

監視と通知

はい

いいえ

監視と同じですが、ポリシーに一致した場合にユーザーまたは管理者へ通知できます。教育や段階的な展開に向いています。

新しいポリシーはまず監視または監視と通知にし、レポートとログで挙動を確認してから、問題なければ適用に切り替えます。

コントロール

コントロールは、ポリシーが要求に一致したときにどうするかを定義します。許可・拒否のほか、MFA、正当化、承認などの追加手順を求めることもできます。

コントロール
意味

MFAを要求

操作を進める前に多要素認証を求めます。機微な操作に強い認証を追加します。

正当化を要求

操作を進める前にユーザーに理由 (業務上の正当化) の入力を求めます。監査やコンプライアンス向きです。

承認を要求

要求が承認者に送られ、承認された場合にのみ操作を進められます。リスクの高い昇格やアクセスに使います。

Advanced: 許可

操作を明示的に許可します。特定のアプリやユーザーを許可リストに載せるときに便利です。

Advanced: 監査

操作をログに残しますが、ブロックも追加の必須ステップも課しません。挙動を変えずに可視化だけしたいときに使います。

Advanced: 拒否

操作をブロックします。最優先で、他のコントロールを上書きします。許可したくないアプリやコマンド向けです。

高度なオプションでは、多くの場合、自動承認または自動拒否を設定できます (例: 常に通すまたは常に止めるコマンドやアプリのリストを用意し、通常の承認フローを省略する)。設定箇所はダッシュボードの画面により異なります。

コントロールは組み合わせられます (例: MFAを要求かつ承認を要求)。リスクの高い操作に複数段の確認を課せます。優先順位のルール (例: 拒否は許可より優先) により、最終結果が明確になります。

Advanced Modeとフィルター

フィルターは、ポリシーがに適用されるかを定義します。通常は次の条件がすべて一致したときにポリシーが適用されます。

  • ユーザー: どのユーザーまたはグループか (例: コレクションやワイルドカードによる指定)

  • マシン: どのエンドポイントまたは展開グループか

  • アプリケーション: どの実行ファイル、パス、パターンか (多くの場合、変数とワイルドカードを利用)

  • 任意: 時刻帯、曜日、または日付の範囲

具体的なフィルター (例: 単一のアプリと単一のグループ) は、広いフィルター (例: 「すべてのユーザー」と「すべてのマシン」) より通常は優先されます。全員向けの既定ポリシーを置き、一部の対象にだけ効く限定的なポリシーで上書きする、といった構成が可能です。

Advanced Modeのオプションには、次のようなものがあります。

  • 自動承認/自動拒否: コマンドやアプリの許可リストまたは拒否リスト向け。

  • カスタムルール: ご利用の展開構成で対応している場合、リスクスコアや場所などの追加条件。

  • Extension / AllowCommands: 一部の構成では、明示的に許可するコマンドのリスト (例: 時刻同期や特定の管理ツール)。許可リスト方式では、リストにないコマンドは拒否されることがあります。

最も限定した条件からポリシーを定義し、その後に広い既定ポリシーを置くとよいでしょう。フィルターを変数とワイルドカードで扱いやすくするには、参考資料: 変数とワイルドカードをご参照ください。

前へターゲット指定 (参照)次へジョブとアプリケーション

最終更新