「アクセス集約」と「認可クリープ」の違いは何ですか?
私はCISSPのために勉強していて、いくつかの用語にこだわっています。具体的には、アクセス集約と許可クリープの違いについて混乱しています。
どちらの場合も、個々のユーザーがより多くのシステムにアクセスできるようになっているように見えます。アクセス集約は許容可能と見なされますが、許可クリープは許容されませんか?
Aggregationは、多くのシステムおよびセキュリティ設計の条件であり、固有の問題ではありません。しかし、これは管理者がcreepを防ぐために認識しておく必要があることです。
Creepは意図せずに発生し、aggregationの結果として、許可されたアクセスに違反する可能性があります。
これがCISSPに特に当てはまるかどうかはわかりませんが、私が取り組んでいる用語は次の意味です。
Access Aggregationユーザーがより多くのシステムでより多くのアクセス権を取得しています。これは、シングルサインオン機能の実装などの意図的なものか、すでに持っている権限を考慮せずに新しいアクセス権が付与される意図的でない可能性があります。
Authorization Creepこれは、ユーザーが古い権限を取り消されずに新しい、またはより広範な権限を与えられたときに、アクセス集約と少し重複するところです。