Azure ガードレールのずれ、
承認者と共に。

• 01

  Azure Policy のドリフト

  アシスト付きコレクターは、最後のベースラインに対して割り当てと例外を差分し、何が、いつ、どのスコープで変更されたかを確認できます。

• 02

  例外台帳

  承認されたすべての逸脱には、所有者、承認者、有効期限、および記録上の理由が付与され、CIS Azure および ISO 27001:2022 A.8.9 にマッピングされます。

• 03

  Defender for Cloud のマッピング

  推奨事項は、生の推奨事項 ID ではなく、影響を受けるコントロール名と、ランディングゾーンの逸脱フラグとともに届きます。

• 04

  RBAC とタグのドリフト

  ロールの割り当てとリソースタグの変更はサブスクリプションごとに毎日比較され、アクセスとタグ付けのドリフトが一元的に表示されます。

• 05

  露出パターンの検出

  パブリック IP、インターネットに公開されたストレージ アカウント、および拡張された Key Vault へのアクセスが ISO 27001:2022 A.8.20 に基づいてフラグされます。

• 06

  月次監査パック

  署名されたエクスポートは、Cloudflare R2 に時間制限付きのダウンロード URL で保存され、ドリフトの内容と承認者を示す 1 つのファイルが作成されます。

1. 1

   サブスクリプションを接続

   アシスト付きコレクター設定により、Azure Policy、除外、RBAC、タグへの読み取りアクセスが付与されます。お使いの環境に書き戻されることはありません。

2. 2

   ドリフトの検出と振り分け

   各スキャンで現在の状態と前回のベースラインが比較されます。新しい逸脱と Defender の検出結果がコントロールにマッピングされ、ドリフトダイジェストが ITSM チケットを開きます。

3. 3

   例外と監査記録の保管

   承認された逸脱は、オーナー、承認者、有効期限と共に例外台帳に登録されます。月末には、署名済みの監査パックが監査人用に用意されます。

Guardrail Ledger は Cloud Horizons モジュールとして提供されます — Cloud Horizons Growth および Business プランに含まれており、単体では販売されていません。 Cloud Horizons の価格を見る

• コレクターデータはどこに保存されますか?

  読み取り専用のスキャン結果と台帳レコードは EU リージョンで処理されます。月次監査パックは、署名付きで時間制限のあるダウンロード URL で Cloudflare R2 に書き込まれます。コレクターが Azure サブスクリプションに書き戻すことはありません。

• サインインはどのように機能しますか?

  Guardrail Ledger は Spot Suite OIDC 経由で Microsoft Entra SSO を使用します。チームは職場アカウントでサインインし、Customer Environment に移動します — 別途ユーザー名データベースは不要です。

• どのコンプライアンスフレームワークにマッピングされますか?

  ドリフトと例外は、CIS Azure Foundations、ISO 27001:2022、NIS2 Art. 21、DORA RTS 変更管理条項にマッピングされます。Defender の推奨事項とランディングゾーンの逸脱には、Azure リソース ID だけでなくコントロール名が含まれます。

• 30 日間トライアルには何が含まれますか?

  Guardrail Ledger は Cloud Horizons Growth および Business に含まれています — これらのプランの 30 日間トライアル (クレジットカード不要) では、ドリフト監視、例外台帳、月次監査パックをご利用いただけます。Starter プランにはガバナンスモジュールは含まれません。