4818 提案された中央アクセスポリシーの差異
提案された中央アクセスポリシー(CAP)が、現行ポリシーと異なるアクセス許可になる場合に記録される。Dynamic Access Control の「ステージング」(本適用前の影響評価)を捉える。
概要
サブカテゴリは Dynamic Access Control 関連の監査。中央アクセスポリシー (CAP)(組織全体に一括適用するアクセス制御ルール)を変更する前に、提案ルールを現行ルールと比較し、アクセス可否が変わる場合に生成される。実際に拒否はせず、影響を事前に可視化する「ステージング」の結果を示す。
発生契機・方法
- ステージング用 CAP が設定された環境で、提案ルールと現行ルールの判定が食い違うアクセスが発生したとき。
セキュリティ上の確認事項
- CAP 変更の影響評価に使うイベント。提案ルールを本適用したときに、誰のアクセスが変わるか(過剰な許可付与や、必要なアクセスの遮断)を事前に把握できる。
- セキュリティ上は、CAP の変更が意図せず特定アカウントに広いアクセスを与えないかの確認に役立つ。
ログレビュー時の注意観点
- Dynamic Access Control とステージングを運用している環境でのみ意味を持つ。使っていなければ出ない。
- ポリシー本適用前の検証フェーズの記録として読む。差異が出たアクセスの対象・主体を確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
| 対象オブジェクト/アクセス | 差異が生じたアクセス |
| 現行/提案ポリシー | 比較された CAP |
用語メモ
- 中央アクセスポリシー (CAP) — クレームや属性に基づき、組織全体で一括適用するアクセス制御ルール(Dynamic Access Control の中核)。