第 3 章 ラベルエンコーディングファイルの作成 (手順)

この章では、label_encodings ファイルの作成と変更について説明します。

• 「エンコーディングファイルの構文」

• 「ラベルエンコーディングの管理 (作業マップ)」

エンコーディングファイルの構文

label_encodings ファイルには、VERSION 指定と 7 つの必須セクション (CLASSIFICATIONS、INFORMATION LABELS、 SENSITIVITY LABELS、CLEARANCES、CHANNELS、PRINTER BANNERS、 ACCREDITATION RANGE) があります。これらのセクションの順序は決められています。省略可能な LOCAL DEFINITIONS セクションを続けることもできます。

次の表の「必須キーワード」は、必ず存在しなければならないことを意味します。すべてのキーワードに定義がある必要はありません。セクションごとの注釈に、必要な定義と省略可能な定義を示します。

すべての必須セクションで、前の表に示したキーワードが存在しなければなりませんが、すべてのセクションに定義がある必要はありません。たとえば、CLASSIFICATIONS と ACCREDITATION RANGE の定義だけの label_encodings ファイルも有効です。

語句の順番

機密ラベルおよび認可上限に関して設定される語句に強制的な順番はありません。ただし、語句間の関係の設定ではこの順番が重要です。通常、SENSITIVITY LABELS セクションの WORDS は、重要度の低い順に並べます。

語句の順番がどのように影響するかについては、第 4 章「プリンタ出力のラベル付け (手順)」の「チャネルの指定」 を参照してください。詳細は、『コンパートメントモードワークステーションのラベル作成: エンコード形式』を参照してください。

label_encodings ファイルで、コンパートメント語句を 1 つまたは複数のビットに割り当てることによって、ある型のラベルにコンパートメント語句が定義されている場合、ほかの型のラベルの定義で同じビットを語句に割り当てます。すべての型のラベルは同じ格付け名を使用しますが、各型のラベルに使用される語句は異なっていても構いません。語句が同じビットでエンコーディングされ、まったく同じオブジェクトを参照するのであっても、語句は異なるものにできます。認可上限ラベルでは、機密ラベル語句の定義で許可されていない語句の組み合わせが可能です。

格付け名の構文

格付けは、ラベルの階層を表します。各ラベルには、それぞれ 1 つの格付けがあります。1 つのサイトで最大 255 の格付けを定義できます。label_encodings ファイルで、1 〜 255 の整数値を格付けに割り当てることができます。値 0 は ADMIN_LOW 管理ラベル用に予約されています。値 32,767 は ADMIN_HIGH 管理ラベル用に予約されています。説明図は、図 1–2 を参照してください。

格付けは、label_encodings ファイルの CLASSIFICATIONS セクションで、認可上限と機密ラベルに対して一度定義されます。

高い値の格付けは、低い値の格付けよりも優位です。次の表は、異なるエンコーディングファイルの、同じ値が割り当てられている 2 セットのラベル名を示しています。左の列は、label_encodings.example ファイルの機密ラベルの例を示します。真ん中の列は、label_encodings.gfi.multi ファイルのラベルを示します。Registered または Top Secret の格付け (値 6) のラベルは、それぞれの列に示されているラベルよりも優位です。

格付けのキーワード

格付けとして定義されるキーワードを次のリストで説明します。初期コンパートメントの定義例は、「デフォルト語句とインバース語句」を参照してください。

name=

(/)、(,)、および (;) を含むことはできません。それ以外の英数字および空白文字は使用できます。ラベルを指定する場合、name、sname、または aname を指定できます。

sname=

格付けのみで必要とされます。短形式名が機密ラベルで [ ] 内に表示されます。

aname=

省略可能。格付けが必要とされる場合に入力可能な名前。

value=

割り当てる値は、格付けの実際の階層を表します。今後の拡張に備えて、割り当てる値に余裕をもたせます。0 は ADMIN_LOW 用に予約されています。値は 1 〜 255 の範囲です。

initial compartments=

省略可能。デフォルトのコンパートメント語句のビット番号を指定します。デフォルトのコンパートメント語句は、関連付けられた格付けがあるラベルで最初に表示されます。

応用: インバース語句のビット番号を指定します。最下位格付けには初期コンパートメントはありません。

initial markings=

廃止。定義しないでください。

次の例は、label_encodings.multi ファイルの冒頭部分です。

例 3–1 label_encodings.multi の初期コンパートメントがある格付け

VERSION= Trusted Solaris Multi-Label Sample Version - 5.6 05/07/27

*
*    WARNING:  If CIPSO Tag Type 1 network labels are to be used:
*
*        a) All CLASSIFICATIONS values must be less than or equal to 255.
*        b) All COMPARTMENTS bits must be less than or equal to 239.
*

CLASSIFICATIONS:

*
name= UNCLASSIFIED;  sname= U;  value= 1;
name= CONFIDENTIAL;  sname= C;  value= 4; initial compartments= 4-5 190-239;
name= SECRET;        sname= S;  value= 5; initial compartments= 4-5 190-239;
name= TOP SECRET;    sname= TS; value= 6; initial compartments= 4-5 190-239;

各格付けには必須の name、sname 、value フィールドがあります。CONFIDENTIAL、 SECRET、および TOP SECRET の格付けには初期コンパートメントがあります。最下位の格付け UNCLASSIFIED には初期コンパートメントはありません。

初期コンパートメントのビット割り当て 4-5 および 190-239 は、ビット 4、5、および 190 〜 239 がオンであることを表します。これらのビットは、この格付けによってラベルで 1 に設定されます。

初期コンパートメントの一部は、デフォルト語句およびインバース語句を定義するためにあとで使用します。インバース語句をあとで定義するために予約されている初期コンパートメントもあります。

次の例は、初期コンパートメントがない格付けのセットです。

例 3–2 label_encodings.example の初期コンパートメントがない格付け

CLASSIFICATIONS:

name= PUBLIC; sname= PUBLIC; value= 1;
name= INTERNAL_USE_ONLY; sname= INTERNAL; aname= INTERNAL; value= 4;
name= NEED_TO_KNOW; sname= NEED_TO_KNOW; aname= NEED_TO_KNOW; value= 5;
name= REGISTERED; sname= REGISTERED; aname= REGISTERED; value= 6;

デフォルト語句とインバース語句

初期コンパートメントとしてビットを定義すると、その格付けを含むすべてのラベルで、そのビットが 1 に設定されます。初期コンパートメントとして指定したビットは、あとから label_encodings ファイルで、「デフォルト語句」または「インバース語句」として定義できます。

• 「デフォルトコンパートメント語句」は、その格付けを含むすべてのラベルに表示されます。

• インバースコンパートメント語句は、インバースコンパートメントのビットによって定義する別の語句がない場合に、関連付けられている格付けがあるラベルに表示されます。

例 3–3 初期コンパートメントの割り当て

この例で、PUBLIC 格付けに初期コンパートメントは割り当てられず、WEB COMPANY 格付けに初期コンパートメント 4 および 5 が割り当てられます。PUBLIC 格付けを含むラベルにはデフォルトコンパートメントはありません。WEB COMPANY 格付けを含むラベルは、常にコンパートメントビット 4 および 5 がオンです。

name= PUBLIC;  sname= P;  value= 1;
name= WEB COMPANY;  sname= WEBCO;  value= 4; initial compartments= 4-5

次の節では、これらの初期コンパートメントビットを語句に割り当てる方法を示します。

例 3–4 SENSITIVITY LABELS のデフォルト語句とインバース語句の定義

この例では、コンパートメントビット 4 および 5 が語句 DIVISION ONLY に割り当てられます。各コンパートメントビットは、インバース語句にも関連付けられます。WEBC AMERICA がインバースコンパートメントビット ~4 に割り当てられます。WEBC WORLD がインバースコンパートメントビット ~5 に割り当てられます。これらの割り当ての結果は次のとおりです。

• WEB COMPANY 格付けの機密ラベルには、最初、語句 DIVISION ONLY が含まれます。ラベルのバイナリ表現で、コンパートメントビット 4 および 5 はオンになります。

• PUBLIC 格付けの機密ラベルは、常にコンパートメントビット 4 および 5 がオフです。語句 WEBC AMERICA および WEBC WORLD がラベルに含まれます。

  インバース語句に IUO の minclass が指定されているので、WEBC AMERICA および WEBC WORLD は PUBLIC 機密ラベルに表示されません。これら 2 つのインバース語句の存在は暗黙となります。

SENSITIVITY LABELS:

WORDS:

name= DIVISION ONLY;  sname= DO;       minclass= WEB COMPANY; compartments= 4-5;
name= WEBC AMERICA;   sname= WEBCA;    minclass= WEB COMPANY; compartments= ~4;
name= WEBC WORLD;     sname= WEBCW;    minclass= WEB COMPANY; compartments= ~5;

コンパートメント語句

コンパートメントはラベルに表示されるように定義できる、省略可能な語句です。ほかのトラステッドシステムでは、コンパートメントをカテゴリと呼ぶことがあります。コンパートメントを使用することによって、そのコンパートメントがラベルに含まれている情報に対する特別な取り扱い手順や、その情報にアクセスできる人の一般的なクラスを示すことができます。

コンパートメント語句は非階層的なビットに割り当てられますが、コンパートメント語句間に階層を設定できます。その階層は、あるコンパートメント語句のビットを別のコンパートメント語句に定義されているビットに含めるための規則に基づいて形成されます。

コンパートメント語句は、ラベルの型ごとに WORDS サブセクションでオプションとして定義されます。各コンパートメント語句は、1 つまたは複数のビットに割り当てられます。

すべての型のラベルは同じ格付けを使用しますが、それぞれの型のラベルに使用される語句は異なっていても構いません。語句が同じビットでエンコーディングされ、まったく同じオブジェクトを参照するのであっても、語句は異なるものにできます。

次の例は WEB COMPANY コンパートメント語句です。この語句は、短形式名 (sname) WEBCO およびコンパートメントビット 40 〜 50 によって指定されています。

例 3–5 機密ラベルのコンパートメント定義の例

WORDS:

name= WEB COMPANY; sname= WEBCO; compartments= 40-50;

各ラベルには、格付けフィールドとともに、256 ビットのコンパートメントフィールドがあり、そのうちの 239 ビットを CIPSO ラベルに使用できます。各ビットには、コンパートメント語句をまったく割り当てないことも、1 つ以上割り当てることもできます。各語句には、1 つまたは複数のコンパートメントビットを割り当てることができます。使用可能な 239 ビットによって、多数のコンパートメント語句を作成できます。例として、表 6–3 に示すコンパートメント計画シートを参照してください。

格付け、コンパートメント、および組み合わせの要件が認可範囲に影響します。各格付け設定の ACCREDITATION RANGE (認可範囲) は、次の文字列のいずれかです。

• only valid compartment combinations; (唯一の有効なコンパートメントの組み合わせ)

• all compartment combinations valid; (すべてのコンパートメント組み合わせが有効)

• all compartment combinations valid except; (次のものを除くすべてのコンパートメント組み合わせが有効)

階層コンパートメント語句

階層コンパートメントを使用することによって、大きなグループの全員が使用可能な文書とサブグループのみが使用可能な文書を区別できます。

例 3–6 階層を設定するためのビット組み合わせの使用

1 つのビットを使用する語句と、その同じビットをもう 1 つのビットとともに使用する別の語句を定義することによって、2 つの語句の階層関係を定義します。一般的なコンパートメント語句は特殊な語句より下に定義します。たとえば、ビット番号 1 を使用する語句、およびビット番号 1 と 2 を使用する別の語句を定義することによって、2 つの語句に階層関係を設定できます。

この例では、Sales (営業) コンパートメントが定義されています。これには、Direct Sales (直接営業) と Indirect Sales (間接営業) の 2 つのサブコンパートメントがあります。WebCo という名前の 1 つの格付けが前に定義されています。

name= Direct_Sales;   compartments= 1, 2
name= Indirect_Sales;   compartments= 1, 3
name= Sales;   compartments= 1

この定義によって、WebCo 社では、販売員のだれもがアクセスできる文書、間接販売員のみがアクセスできる文書、および直接販売員のみがアクセスできる文書を区別できます。

• セキュリティー管理者は、直接販売の従業員に WebCo Direct_Sales 認可上限を設定します。WebCo Indirect_Sales 認可上限が間接販売の従業員に設定されます。

• WebCo Direct_Sales ラベルで作業した人員によって作成された文書は同じラベルになるので、その文書には直接販売部の従業員のみがアクセスできます。

• コンパートメント語句 Sales は Direct_Sales 語句および Indirect_Sales 語句の下にあるので、間接販売部および直接販売部のだれもが WebCo Sales ラベルで作業できます。WebCo Sales ラベルで作成した文書は販売部のだれもがアクセスできます。

例 3–7 階層を設定するための REQUIRED COMBINATIONS の使用

2 つの語句が REQUIRED COMBINATIONS セクションに指定されている場合、最初の語句が使用されると必ず 2 番目のラベルがラベルに追加されます。

この例の Direct Sales、Indirect_Sales、Sales の定義は、例 3–6 と原則的に同じ働きをします。異なるのは、Direct_Sales 語句に必ず Sales 語句が伴う点です。

name= Direct_Sales;   compartments= 2
name= Indirect_Sales;   compartments= 3
name= Sales;   compartments= 1

REQUIRED COMBINATIONS:

Direct_Sales            Sales
Indirect_Sales          Sales

ラベルエンコーディングの管理 (作業マップ)

label_encodings ファイルをもっとも安全に変更できるのは、最初のホストをインストールするときです。使用中のファイルを変更する場合は注意して進めてください。詳細は、label_encodings(4) のマニュアルページを参照してください。

label_encodings ファイルを作成する

サンプルファイルは、インストールしたシステムの /etc/security/tsol ディレクトリを参照してください。ファイルについては、「Solaris Trusted Extensions パッケージのラベルファイル」で説明しています。

始める前に

このファイルは、最初のシステムに Trusted Extensions をインストールする前に、作成できます。その最初のシステムでファイルをチェックします。Trusted Extensions をインストールする最初のシステムでこのファイルを作成することもできます。この手順は、2 番目のコンピュータに Trusted Extensions を設定する前に完了してください。

Trusted Extensions が設定されているシステムでは、大域ゾーンでセキュリティー管理者役割にならなければなりません。その他のシステムでは、任意のエディタでこのファイルを作成または編集できます。

1. 元のファイルのバックアップコピーを作成します。

2. 新しいファイルまたは既存のバージョンのファイルを開きます。

   • Trusted Extensions が設定されていないシステムでは、任意のエディタを使用してファイルを作成します。

   • Trusted Extensions が設定されているシステムでは、「エンコーディングの編集 (Edit Encodings)」アクションを使用してファイルを作成します。

     CDE のアプリケーションマネージャーの Trusted_Extensions フォルダには、エンコーディングファイル用の 2 つのアクションがあります。

     Edit Encodings (エンコーディングの編集)

     指定された label_encodings ファイルの構文を編集し、検査します。

     Check Encodings (エンコーディングの検査)

     指定された label_encodings ファイルの構文を検査します。

3. ファイルを変更します。

   詳細は、「エンコーディングファイルを計画する」を参照してください。

4. 「label_encodings ファイルを分析し、検証する」に進みます。

label_encodings ファイルを分析し、検証する

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. ラベルの構文および関係を検査します。

   端末で chk_encodings -a コマンドを使用して、ラベルの関係を分析し、レポートします。

   $ chk_encodings -a encodings-file

2. ファイルを検証します。

   「エンコーディングの検査 (Check Encodings)」アクションは、指定されたファイルに対して chk_encodings コマンドを実行します。

   • ファイルが合格したら、インストールします。

     Do you want to install this label_encodings file? yes

   • ファイルが合格しない場合は、「label_encodings ファイルをデバッグする」を参考にしてください。

3. エンコーディングファイルをテストします。

   できれば、サイトのすべてのシステム用にファイルを承認する前に、少数のシステムでファイルをテストしてください。

4. マスターコピーを作成します。

   コピーの手順については、『Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でファイルをポータブルメディアにコピーする方法」を参照してください。

5. ファイルのコピーにラベルを付けて、安全な場所に保管します。

label_encodings ファイルを配布する

1. マスターコピーを作成します。

   コピーの手順については、『Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でファイルをポータブルメディアにコピーする方法」を参照してください。

2. Trusted Extensions をシステムにインストールしたら、すぐにマスターファイルをそのシステムにコピーします。

   コピーの手順については、『Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でポータブルメディアからファイルをコピーする方法」を参照してください。

格付けを追加または名前変更する

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. label_encodings ファイルを編集します。

   「エンコーディングの編集 (Edit Encodings)」アクションを使用します。詳細は、「label_encodings ファイルを作成する」を参照してください。

2. バージョン番号を指定します。

   VERSION= セクションにサイト名、ファイルのタイトル、バージョン番号、および日付を入力します。

   VERSION= Sun Microsystems, Inc. Example Version - 5.10 04/05/28

   Sun では、バージョン番号および日付に SCCS キーワードを使用します。詳細は、sccs(1) のマニュアルページを参照してください。

   VERSION= Sun Microsystems, Inc. Example Version - %I% %E%

3. 格付けを指定します。

   CLASSIFICATIONS セクションに新しい格付けの長形式名、短形式名、および数値を入力します。

   name= NEW_CLASS; sname= N; value= 2;

4. 新しい格付けを認可範囲に含めます。

   新しい格付けを ACCREDITATION RANGE セクションに追加します。

   次の例では、新しい 3 つの格付けが ACCREDITATION RANGE セクションに追加されています。それぞれの格付けに、all compartment combinations valid (すべてのコンパートメントの組み合わせが有効) が指定されています。

   ACCREDITATION RANGE: classification= UNCLASSIFIED; all compartment combinations valid; * i is new in this file classification= INTERNAL_USE_ONLY; all compartment combinations valid; * n is new in this file classification= NEED_TO_KNOW; all compartment combinations valid; classification= CONFIDENTIAL; all compartment combinations valid except: c c a c b classification= SECRET; only valid compartment combinations: . . . * r is new in this file classification= REGISTERED; all compartment combinations valid;

5. 必要であれば、ACCREDITATION RANGE セクションを調整します。

   新しい格付けを最下位格付けにすることが必要になる場合があります。

   minimum clearance= u; minimum sensitivity label= u; minimum protect as classification= u;

   ---

   注 –

   ユーザーへの割り当てを計画しているすべての認可上限のほうが優位となるよう、minimum clearance (最下位の認可上限) を設定する必要があります。同様に、ユーザーへの割り当てを計画しているすべての最下位ラベルのほうが優位となるよう、minimum sensitivity label (最下位の機密ラベル) を設定する必要があります。

   ---

6. 変更を保存します。

デフォルト語句およびインバース語句を指定する

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. label_encodings ファイルを編集します。

   「エンコーディングの編集 (Edit Encodings)」アクションを使用します。詳細は、「label_encodings ファイルを作成する」を参照してください。

2. 初期コンパートメントを指定します。

   CLASSIFICATIONS セクションで、格付け定義の一部としてコンパートメントを指定します。

   CLASSIFICATIONS: name= PUBLIC; sname= P; value= 1; name= WEB COMPANY; sname= WEBCO; value= 2; initial compartments= 4-5 ;

3. デフォルト語句を指定します。

   初期コンパートメントビットを語句に割り当てます。

   name= DIVISION ONLY; sname= DO; minclass= IUO; compartments= 4-5; name= WEBC AMERICA; sname= WEBCA; minclass= IUO; compartments= 4; name= WEBC WORLD; sname= WEBCW; minclass= IUO; compartments= 5;

4. インバース語句を指定します。

   初期コンパートメントの前にチルド (~) を付けることによって、インバース語句が作成されます。

   name= DIVISION ONLY; sname= DO; minclass= IUO; compartments= 4-5; name= WEBC AMERICA; sname= WEBCA; minclass= IUO; compartments= ~4; name= WEBC WORLD; sname= WEBCW; minclass= IUO; compartments= ~5;

5. 変更を保存します。

注意事項

以後の割り当てに予約されていないコンパートメントビットの場合、次のセクションのビットに語句を割り当てる必要があります。

• SENSITIVITY LABELS: WORDS:

• INFORMATION LABELS: WORDS:

• COMPARTMENTS: WORDS:

単一ラベルのエンコーディングファイルを作成する

label_encodings ファイルには、次のような特定のラベルが常に必要です。

• ユーザー認可範囲の機密ラベル 1 つ

• ユーザー認可範囲の認可上限 1 つ

• ユーザー認可範囲の情報ラベル 1 つ

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. エンコーディングファイルを編集します。

   「エンコーディングの編集 (Edit Encodings)」アクションを使用します。詳細は、「label_encodings ファイルを作成する」を参照してください。インストールした label_encodings ファイルとは異なる名前を指定します。

2. 格付けが 1 つだけで、必要なコンパートメントだけのエンコーディングファイルを作成します。

   たとえば、INTERNAL_USE_ONLY 格付けのエンコーディングファイルを設定し、語句を指定しないことも可能です。

   VERSION= Single-Label Encodings . . . CLASSIFICATIONS: name= INTERNAL_USE_ONLY; sname= INTERNAL; value= 5; INFORMATION LABELS: WORDS: SENSITIVITY LABELS: WORDS: CLEARANCES: WORDS: CHANNELS: WORDS: PRINTER BANNERS: WORDS:

3. ACCREDITATION RANGE セクションに指定するのは、格付けは 1 つだけ、コンパートメントの有効な組み合わせも 1 つだけです。

   次の例は、INTERNAL 格付けをエンコーディングしています。

   ACCREDITATION RANGE: classification= INTERNAL; only valid compartment combinations: INTERNAL minimum clearance= INTERNAL; minimum sensitivity label= INTERNAL; minimum protect as classification= INTERNAL;

4. LOCAL DEFINITIONS セクションをエンコーディングします。

   詳細は、第 5 章「LOCAL DEFINITIONS のカスタマイズ」を参照してください。

5. ファイルの構文が正しいことを確認します。

   • ファイルが chk_encodings に合格しない場合は、「label_encodings ファイルをデバッグする」を参照してください。

   • それ以外の場合は、「label_encodings ファイルを分析し、検証する」に進みます。

6. (省略可能) ラベルがユーザーに表示されないように設定します。

   手順は、『Solaris Trusted Extensions 管理の手順』の「ユーザーに対してラベルを非表示にする」を参照してください。

例 3–8 単一ラベルのエンコーディングファイルでの認可範囲の定義

次の例は、ACCREDITATION RANGE: セクションの設定を示します。単一の ANY_CLASS 格付けが定義されています。コンパートメント語句 A、B、および REL CNTRY 1 がすべての型のラベルに指定されます。

ACCREDITATION RANGE:

classification= ANY_CLASS;      only valid compartment combinations:

ANY_CLASS A B REL CNTRY1

minimum clearance= ANY_CLASS A B REL CNTRY1;
minimum sensitivity label= ANY_CLASS A B REL CNTRY1;
minimum protect as classification= ANY_CLASS;

例 3–9 単一ラベル名の変更

この例では、単一ラベルの会社を扱うように label_encodings.example ファイルが変更されます。name= 値が SECRET から INTERNAL_USE_ONLY に変更されています。sname= 値が s から INTERNAL に変更されています。value= および initial compartments= の定義は変更されていません。

CLASSIFICATIONS:
name= INTERNAL_USE_ONLY;  sname= INTERNAL;  value= 5; initial compartments= 4-5
190-239;

ACCREDITATION RANGE セクションで、格付けの短形式名が置き換えられます。また、最下位の定義が新しい sname に置き換えられます。

ACCREDITATION RANGE:

classification= INTERNAL;      only valid compartment combinations:

INTERNAL

minimum clearance= INTERNAL;
minimum sensitivity label= INTERNAL;
minimum protect as classification= INTERNAL;

Sun の拡張機能をエンコーディングファイルに追加する

始める前に

大域ゾーンでセキュリティー管理者役割になります。LOCAL DEFINITIONS セクションのないエンコーディングファイルが必要です。

1. LOCAL DEFINITIONS セクションをファイルに追加します。

   Sun 提供の label_encodings ファイルのセクションを追加します。Sun 提供のファイルは /etc/security/tsol ディレクトリにあります。

2. 拡張機能をサイトに合わせてカスタマイズします。

   詳細は、「Sun 拡張機能の変更 (作業マップ)」を参照してください。

label_encodings ファイルをデバッグする

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. label_encodings ファイルを編集します。

   「エンコーディングの編集 (Edit Encodings)」アクションを使用します。詳細は、「label_encodings ファイルを作成する」を参照してください。

2. INFORMATION LABELS: WORDS: セクションのエントリをチェックします。

   このエントリは、SENSITIVITY LABELS: WORDS: セクションのエントリと完全に一致する必要があります。

   ---

   ヒント –

   機密ラベル語句をエンコーディングし、その語句を INFORMATION LABELS セクションにコピーします。

   ---

3. コンパートメントビットを持たない値 0 のラベルが、ユーザー認可範囲にないことをチェックします。

   この手順によって、ラベル ADMIN_HIGH と区別できないラベルがなくなります。

4. 0 〜 239 のすべてのコンパートメントビットを持つ、値 255 のラベルが、ユーザー認可範囲にないことをチェックします。

   この手順によって、ラベル ADMIN_HIGH と区別できないラベルがなくなります。

5. コンパートメントに 239 を超える値がないことをチェックします。

   この手順によって、すべてのラベルが確実に CIPSO ラベルにマッピングされます。

6. 解決されないラベルに対しては、次のように実行してください。

   1. 新しいラベルを持つオブジェクトがある場合、低いシステムラベル ADMIN_LOW にリセットします。

   2. バックアップから、既知の使用可能な label_encodings ファイルを復元します。

   3. chk_encodings -a コマンドを使用して、不良なファイルのラベルに関する問題を分析します。