Trusted Solaris のラベル管理

第 5 章 使用例: 組織のラベルの計画

この章では、ラベルを使用した経験がないユーザーに対して、例を示して使い方を簡単に説明します。次の項目では、ある組織が、そのラベル要件を分析して、とても単純なラベルのセットを実際に設定した例を示します。

この章では、次の方法をモデルで示します。

自分のサイトにおけるラベルの条件の確認

次の例で、そのラベル要件をモデルとする企業を仮に Solar Systems 社とします。自社の知的所有権を保護するために、Solar Systems 社の法務部門では、機密度の高い電子メールや印刷物には、次の 3 種のラベルを使用するよう全社員に指示しています。これらのラベルを機密度の高い順番に次に示します。

Solar Proprietary/Confidential: Registered

Solar Proprietary/Confidential: Need To Know

Solar Proprietary/Confidential: Internal Use Only

法務部門では、オプションとして、下記の第 4 のラベルの使用も認めています。このラベルは、制約なしで、だれにでも配布可能な情報に使用します。

Public

情報の機密保護を行うにあたっての問題点

Solar Systems 社では、情報の機密保護 (Information Protection: IP) を担当する責任者は、可能な限りあらゆる方法を利用してラベルの必要性を説いています。社員によっては、ラベルの必要性を理解しなかったり、忘れたり、無視したりする者もいます。ラベルが正しく使用された場合でも、その情報が常に正しく扱われ、保管され、配布されているとは限りません。たとえば、Registered 扱いの情報 (限られた人だけが読むことができ、作成者だけがコピーできる情報) でさえも、だれもいないコピー機やプリンタの横に置いてあったり、休憩室やロビーに置いてあったりするようなことが IP 管理者に報告されています。

Trusted Solaris 機能による情報のラベル付けとアクセス制御機能の処理

Trusted Solaris オペレーティングシステムでは、ラベル付けをコンピュータユーザー任せにはしていません。Trusted Solaris ソフトウェアを実行しているホストからのプリンタ出力はすべて、そのサイト要件に応じて自動的にラベル付けされます。Solar Systems 社の経営陣は、Trusted Solaris オペレーティグシステムを採用することにしました。これは、同製品が、法務部門の要求を満たすと同時にシステム管理者の目的もサポートすることを、経営陣が理解したためです。

同社では、セキュリティ管理について完全に理解されているとはいえませんが、経営陣は、次のような機能をすぐに取り付けることが可能であることは認識しています。

図 5-1 印刷ジョブの自動ラベル付け機能

Graphic

図 5-2 本文ページに自動的に出力されたラベル

Graphic

図 5-3 バナーページとトレーラページの取り扱いガイドライン


NEED_TO_KNOW HR

DISTRIBUTE ONLY TO HUMAN RESOURCES (NON-DISCLOSURE AGREEMENT REQUIRED)

前の例の機密ラベルの下にあるのが「取り扱い警告」で、印刷物の配布方法に関する指示が書かれています。この取り扱い警告には、その情報は、必要としている人事担当者にのみ配布すること、およびそれを読む人は機密保持契約に署名した者に限ることを意味する内容が書かれています。

図 5-4 ラベル範囲を限定されたプリンタによる各ラベルのジョブの処理

Graphic

だれでも使用することができる場所にあるプリンタは、その出力をだれが見てもいいように次の 2 つのラベルが付いたジョブだけを出力するように設定できます。

送信者が作業を行なっている機密レベルに応じて、ラベルが自動的に各電子メールメッセージに割り当てられます。

図 5-5 は、ユーザーのメールアプリケーションの機密ラベルに合わせて電子メールがラベル付けされ、それがメールアプリケーションに送信された様子を示しています。

図 5-5 電子メールの自動ラベル付け機能

Graphic

プリンタに設定したラベル範囲が特定のプリンタに出力するジョブを制御するのと同様に、ユーザーの持つ機密ラベルの範囲に応じて、その人の受信または発信できる電子メールが制約されます (図 5-6 を参照)。

図 5-6 自分のアカウントラベル範囲内の電子メールを受信するユーザー

Graphic

セキュリティの学習曲線

次のような人が経験豊富な管理者と評価されます。

このような人が、セキュリティ管理者としての業務に割り当てられます。

Trusted Solaris ソフトウェアをインストールするずっと前から、セキュリティ管理者は、セキュリティについての学習を始め、そのサイトにおけるセキュリティポリシーの計画の準備を行います。次の項で述べるサイトにおけるラベルの計画から始めます。

Trusted Solaris ユーザーズガイド』と『Trusted Solaris 管理の概要』を読むことによって、セキュリティ管理者は、ラベルの型の区別、およびアクセス制御を決定する際のラベルの比較検討の方法に熟知できます。『Trusted Solaris 管理の手順』マニュアルを読むことによって、セキュリティ管理者は、システムセキュリティの管理および管理責任の割り当てを行うセキュリティ管理者役割業務を担当する準備を整えることができます。『Trusted Solaris のインストールと構成』の「サイトのセキュリティポリシー」は、サイトのセキュリティポリシーの作成上の指針を説明しています。

また、セキュリティ管理者は、セキュリティの確立、ラベルのエンコーディングに直接関連する概念を見直す際に、このマニュアルの 「ラベルエンコーディング関連の概念を再確認する」にも目を通してください。

各ラベルの条件の分析

セキュリティ管理者は、法務部門が指示するラベルのセットから開始することが適切だと認めていますが、そのエンコーディングを行うには、その前にさらに分折の必要のあることを認識しています。

PROPRIETARY/CONFIDENTIAL: INTERNAL_USE_ONLY

PROPRIETARY/CONFIDENTIAL: INTERNAL_USE_ONLY ラベルは、その企業が所有する情報に対するラベルですが、その機密度の低さのために、Solar Systems 社の入社時に機密保持契約に署名した社員全員に配布される可能性もあります。機密保持契約に署名していれば、ベンダーの社員や契約社員にもこのラベルの付いた情報が配布されることもあります。インターネット上では情報がのぞき見される場合があるので、このラベルを持つ情報はインターネット経由で送信されてはなりませんが、社内の電子メールで送信される可能性はあります。

出費ガイドラインを含むメモ 

社内作業の割り当て 

PROPRIETARY/CONFIDENTIAL: NEED_TO_KNOW

PROPRIETARY/CONFIDENTIAL: NEED_TO_KNOW ラベルは、Solar Systems 社所有の情報に対するラベルで、INTERNAL_USE_ONLY よりは機密レベルが高く設定されているため、利用者はより限定されたものとなります。このラベルが付けられた情報は、その情報を知る必要のある同社の社員、または機密保持契約に署名した人でその情報を知る必要のある人だけに配布されます。

たとえば、特定のプロジェクトで作業をしているグループだけにある情報を表示したい場合は、その情報に対して NEED_TO_KNOW を使用します。このラベルが付いた情報を受信した人は、それをコピーして、この情報が必要な機密保持契約に署名した別の人に転送できます。特定のグループに情報を制限する場合は、その情報を印刷出力したものやコピーしたものにグループの名前を明記しなくてはなりません。

このラベルにグループ名を明記することによって、そのグループ外のだれにも情報を与えてはならないことが明確に指定されます。このラベルを付けた情報は、インターネット経由で送信されることはありませんが、電子メールによって社内で送信される可能性はあります。

製品設計ドキュメント 

プロジェクトの詳細 

社員配置部署変更通知 

PROPRIETARY/CONFIDENTIAL: REGISTERED

PROPRIETARY/CONFIDENTIAL: REGISTERED と格付けされた情報は、Solar Systems 社所有の情報に対するラベルで、機密度はきわめて高く、この情報が外部に漏れると、その相手やタイミングによっては、企業に大きな損害を与えることになります。登録された情報には、番号が振られ、それを所有するユーザーによって追跡されなければなりません。各コピーは、特定の人に割り当てられ、読まれた後は、所有者に戻されて廃棄されなければなりません。コピーは、その情報の所有者だけが作成できます。紙の色は、赤茶色を使用されることをお勧めします。この色はコピーすることができません。

このラベルは、限られたひとつのグループの人だけにその企業所有の情報を提示するときに使用されます。この情報の所有者によって承認されている人以外には、この情報を提示できません。情報の所有者がその情報の提示を承認しても、機密保持契約に署名していない他の企業の社員には提示されません。このラベルが付いた情報は、電子メールで送信することはできません。

未発表の四半期末会計報告書 

売り上げ予測 

市場予測 

Need to Know に関連付けられているグループ名

セキュリティ管理者は、グループまたは部門の名前を NEED_TO_KNOW ラベルに含まれる必要があると判断しました。セキュリティ管理者は、組織内のグループまたは関心のある領域を定義するのに使用する語句について提案を求めた結果、次のような名前が挙がりました。

技術 

経営 

財務 

人事 

法務 

製造 

マーケティング 

営業 

システム管理 

ラベルのセットの概要

次の事項について決定します。

図 5-7 ラベルの関係を示す計画ボード例

Graphic

ラベルのセットの定義

この項では、次のようなラベルの必要不可欠な点をすべて含むリストで、ラベルのセットを定義します。

格付けの計画

4 つのラベルは階層構造になっているので、階層的な格付けとしてエンコーディングされます。

法務部門からの承諾を得て、セキュリティ管理者は、ラベル名から Solar Systems Proprietary/Confidential: を削除してラベルを短くしました。格付けでは、ラベルにスラッシュ (/) を使用することは禁止されており、格付けが長いとウィンドウシステムではラベルを読むのが困難になります。ウィンドウ枠に入りきらないラベル名は右端が切れてしまいます。PUBLIC より上位にあるラベル名の切り詰められた名前はすべて、SOLAR SYSTEMS PROPRIETARY CONFIDENTIAL という語句で始まるため、各ウィンドウのフレームを手動で拡張しないことには、区別不能となります。

セキュリティ管理者は、次のラベルを定義しました。

コンパートメントの計画

グループ名は、非階層的なコンパートメントとしてエンコーディングします。コンパートメントは、NEED_TO_KNOW 格付けを持つラベルだけに現れるように制限されます。COMBINATION CONSTRAINTS の下にある ACCREDITATION RANGE の適切な設定によって、コンパートメントは、ある格付けとのみ一緒に表示されるように制限されます。

ユーザーの認可上限は、グループ名が明記されたラベル付きのファイルやディレクトリを、どのユーザーが作成できるか、また NEED_TO_KNOW 格付けと一緒に複数のグループ名が明記されたラベル付きのドキュメントを、特定のユーザーが作成できるかどうかも制御します。

MAC における語句の使用の計画

ユーザー認可上限と、機密ラベルでの格付けやコンパートメントが、必須アクセス制御で使用されます。したがって、法務部門における階層的なラベルやグループ名は、格付けやコンパートメントとして、どの社員が、ファイルにアクセスしたり、その他の作業を行ったりできるかを制御するラベルで使用できるように、エンコーディングする必要があります。

次の例では、Solar Systems 社は、ある機密ラベルを PUBLIC の格付けで定義し、そのラベルをユーザー認可範囲の最下位に割り当てています。また、別の機密ラベルは、PUBLIC のすぐ上位の INTERNAL_USE_ONLY の格付けで定義しています。

認可上限が PUBLIC で、最下位のラベルが PUBLIC の承認されていない社員は、システムを次の範囲で使用できます。

システムの出力のラベル付けにおける語句の使用の計画

プリンタジョブの機密ラベルにグループ名のコンパートメントが含まれていれば、必須プリンタバナーページとトレーラページの文面は次のようになります。

Distribute Only To Group Name (Non-Disclosure Agreement Required)

プリンタ出力ページに所定のラベルを付ける計画

ラベルなしの出力」承認によって、ユーザーまたはその役割を持つ担当者は、lp -o nolables オプションを指定して、印刷ジョブの本文ページの一番上と一番下にラベルを印刷させないことが可能です。セキュリティ管理者は、この「ラベルなしの出力」承認を全員に許可するか、まったく許可しないかを決定できます。

PostScript ファイルの出力」承認によって、ユーザーは、PostScript ファイルをプリンタに送信できますが、通常、これは許可されていません。十分な知識を持つユーザーによって、PostScript ファイル中のラベルが変更されてしまう危険性があるためです。

ラベルを印刷しない、文書のマスターコピーの製作をテクニカルライターに許可するには、セキュリティ管理者が、「ラベルなしの出力」と「PostScript ファイルの出力」の 2 つの承認をすべてのテクニカルライターに与えます。

サポート手順の計画

REGISTERED 機密ラベルの付いたファイルまたはディレクトリの保護規則

REGISTERED 語句の入った認可上限を持つユーザーであれば、特別な追加措置を取らない限り、社内のどこにあってもすべての登録 (REGISTERED) 情報にアクセスできることをセキュリティ管理者は認識しています。したがって、その認可上限に登録しているユーザーに対しては、作成者だけが、そのファイルを表示および変更できるように、UNIX のアクセス権を使用することを指示する必要があります。次の例を参照してください。


例 5-1 DAC の使用による登録情報の保護


trusted% getplabel 
R
trusted% mkdir registered.dir
trusted% chmod 700 registered.dir
trusted% cd registered.dir
trusted% touch registered.file
trusted% ls -l
-rwxrwxrwx registered.file
trusted% chmod 600 registered.file
trusted% ls -l
-rw------- registered.file

前の例に示すように、機密ラベルが REGISTERED の情報で作業するとき、そのファイルまたはディレクトリを作成したユーザーが、そのファイルの読み取り許可書き込み許可所有者に限定して設定します。また、ディレクトリの場合も、読み取り許可、書き込み許可、検索許可を所有者に限定して設定する必要があります。それによって、REGISTERED と明記された機密ラベルを扱うことのできる他のユーザーがその情報を読み取ることはできなくなります。

プリンタ設定の規則

さまざまな人がアクセスすることができる複数の場所に設置してあるプリンタの設定を表 5-1 に示します。

表 5-1 各場所に設置されているプリンタのラベル範囲の設定例

プリンタの設置場所 

アクセスのタイプ 

ラベル範囲 

ロビーや共有の会議室 

全員 

PUBLICPUBLIC

社内プリンタルーム 

全社員および機密保持契約に署名した者 

PUBLICINTERNAL_USE_ONLY

1 つのグループに制限された区域 

NEED_TO_KNOW GROUP_NAME コンパートメントで指定されたグループのメンバー

NEED_TO_KNOW GROUP_NAMENEED_TO_KNOW GROUP_NAME

厳密に制限された区域 

認可上限が REGISTERED に格付けされた者のみ

REGISTEREDREGISTERED

Trusted Solaris 管理の手順』マニュアルの「印刷管理」を参照してください。

プリンタ出力の取り扱い上の規則

使用が制限されているプリンタへアクセスする人は、次のことを行う必要があります。

ワークシートによる格付け値の計画

表 5-2 のワークシートは、4 つの格付けごとに定義された名前、階層構造の値を示しています。値 0 は、管理ラベルの ADMIN_LOW のために予約されています。PUBLIC の格付け値は 1 に設定され、他の格付け値は順次それよりも高く設定されています。


注 -

ラベルに使用するグループ名は、SENSITIVITY LABELSCLEARANCES セクションの WORDS で後で指定します。


表 5-2 格付けの計画

name= 

sname=/*aname=  

value= 

*initial compartments=ビット番号 / 語句 

PUBLIC 

 

なし 

INTERNAL_USE_ONLY 

 

なし 

NEED_TO_KNOW 

 

なし 

REGISTERED 

 

なし 

ワークシートによるコンパートメント値と格付け / コンパートメントの制約の計画

図 5-7 の計画ボードを使用した結果の語句と格付けの関係を表 5-3 で定義しています。3 つ目のカラムの PUBLICINTERNAL_USE_ONLY の定義から、この 2 つの格付けは、どのコンパートメントとも一緒にはラベルに表示されません。一方、 NEED_TO_KNOW は、任意のまたはすべてのコンパートメントとともにラベルに表示させることができます。

表 5-3 コンパートメントとユーザー認可範囲を組み合わせた計画表

格付け 

コンパートメント名/sname/ビット 

組み合わせの制約 

PUBLIC  

 

PUBLIC  

のみが有効な組み合わせ 

INTERNAL_USE_ONLY  

 

INTERNAL_USE_ONLY  

のみが有効な組み合わせ 

NEED_TO_KNOW  

SYSTEM ADMINISTRATION/ SYSADM/ 19 

NEED_TO_KNOW  

すべての組み合わせが有効 

 

MANUFACTURING/ MANU/ 18 

 

 

ENGINEERING/ ENG/ 17 20 

 

 

HUMAN RESOURCES/ HR/ 16 

 

 

MARKETING/ MKTG/ 15 20 

 

 

LEGAL/ LEGAL/ 14 

 

 

FINANCE/ FINANCE/ 13 

 

 

SALES/ SALES/ 12 

 

 

EXECUTIVE MANAGEMENT GROUP/ EMG/ 11 

 

 

ALL_DEPARTMENTS/ ALL/ 11-20 

 

REGISTERED  

 

REGISTERED 

のみが有効な組み合わせ 

セキュリティ管理者は、表 5-4 を使用してコンパートメントとマーキングに使用されたビットを追跡します。

表 5-4 コンパートメントの追跡テーブル

11 

12 

13 

14 

15 

16 

17 

18 

19 

20 

 

ワークシートによる認可上限の計画

ラベルのコンポーネントは、認可上限のユーザーにも割り当てられています。ワークシート形式の認可上限プランナ (表 5-5に示す) は、認可上限内で使用されるようにラベルコンポーネントを定義します。

表 5-5 の略語の解釈を次に示します。

略語 

名称 

REG 

REGISTERED 

NTK 

NEED_TO_KNOW 

IUO 

INTERNAL_USE_ONLY 

EMG 

EXECUTIVE MANAGEMENT GROUP 

SALES 

SALES 

FIN 

FINANCE 

LEG 

LEGAL 

MRKTG 

MARKETING 

HR 

HUMAN RESOURCES 

ENG 

ENGINEERING 

MANU 

MANUFACTURING 

SYSADM 

SYSTEM ADMINISTRATION  

NDA 

NON-DISCLOSURE AGREEMENT 

表 5-5 認可上限プランナ

格付け 

コンパートメント 

コンパートメント 

コンパートメント 

コンパートメント 

コンパートメント 

コンパートメント 

コンパートメント 

コンパートメント 

コンパートメント 

備考 

REG 

EMG 

ENG 

FIN 

HR 

LEG 

MANU 

MKTG 

SALES 

SYSADM 

最上位、使用されない 

[システムにおける最上位のラベルで、最上位の格付けと定義されたすべてのコンパートメントが含まれています。組織内の全部門のすべての情報にアクセスできる者はいないので、これは、ユーザー認可範囲には入りません。そのため、この格付けにはだれも割り当てないでください。]

REG 

 

 

 

 

 

 

 

 

 

必要に応じて、限定したスタッフに割り当て 

[Registered という語句を含んだ機密ラベルで作業を行うときには、社員が、所有者以外は全員を排除するように、注意してアクセス権を設定する必要があります (ファイルのアクセス権 600 、ディレクトリのアクセス権 700)。]

NTK 

 

ENG 

 

 

 

 

 

 

 

ENG の社員に割り当て 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SYSADM 

システム管理者に割り当て 

IUO 

 

 

 

 

 

 

 

 

 

社員または NDA に署名した者に割り当て 

PUB 

 

 

 

 

 

 

 

 

 

全員に割り当て 

ワークシートによる PRINTER BANNERS の語句の計画

Solar Systems 社の法務部門では、プリンタバナーページとトレーラページに次のような語句を表示させたいと考えています。


Solar Systems Proprietary/Confidential:

PRINTER BANNERS セクションを使用して、印刷ジョブの CMW ラベルに表示される任意のコンパートメントに文字列を関連付けることができます。このエンコーディングでは、NEED_TO_KNOW 格付けだけが、コンパートメントを持ちます。表 5-6 は、表示させる語句を接頭辞として指定し、各コンパートメントに割り当てる方法を示しています。各チャネルに NTK という略語を割り当てると、PRINTER BANNERS セクションの語句は、次のようになります。


Solar Systems Proprietary/Confidential: GROUP_NAME

表 5-6 プリンタバナープランナ

接頭辞 

プリンタバナー 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

ALL_DEPARTMENTS 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

EXECUTIVE_MANAGEMENT_GROUP 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

SALES 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

FINANCE 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

LEGAL 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

MARKETING 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

HUMAN_RESOURCES 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

ENGINEERING 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

MANUFACTURING 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

SYSTEM_ADMINISTRATION 

SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL:  

PROJECT_TEAM 

ワークシートによる CHANNELS の計画

Solar Systems 社の法務部門では、プリンタバナーページとトレーラバナーページに次のような取り扱い上の指示を出力したいと考えています。


DISTRIBUTE ONLY TO GROUP_NAME EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED)

このためには、この例のグループ名に以前割り当てられたのと同じコンパートメントビットを、CHANNELS セクションで割り当てます。Solar Systems 社は、コンパートメントとチャネルの両方に同じグループ名を使用する計画です。

チャネル名の前にくる語句は「接頭辞」として指定され、チャネル名の後にくる語句は「接尾辞」として指定されます。セキュリティ管理者はワークシートで接頭辞と接尾辞を指定します。

表 5-7 チャネルプランナ (接頭辞、チャネル、および接尾辞用)

接頭辞 

チャネル 

接尾辞 

DISTRIBUTE_ ONLY_ TO 

EXECUTIVE_ MANAGEMENT_GROUP 

EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) 

DISTRIBUTE_ ONLY_ TO 

SALES 

EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) 

DISTRIBUTE_ ONLY_ TO 

FINANCE 

EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) 

DISTRIBUTE_ ONLY_ TO 

LEGAL 

EMPLOYEES (NON-DISCLOSURE_ AGREEMENT_ REQUIRED) 

DISTRIBUTE_ ONLY_ TO 

MARKETING 

EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) 

DISTRIBUTE_ ONLY_ TO 

HUMAN_ RESOURCES 

EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) 

DISTRIBUTE_ ONLY_ TO 

ENGINEERING 

EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) 

DISTRIBUTE_ ONLY_ TO 

MANUFACTURING 

EMPLOYEES (NON-DISCLOSURE_ AGREEMENT_ REQUIRED) 

DISTRIBUTE_ ONLY_ TO 

SYSTEM_ ADMINISTRATION 

EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) 

DISTRIBUTE_ ONLY_ TO 

PROJECT_ TEAM 

EMPLOYEES (NON-DISCLOSURE _AGREEMENT _REQUIRED) 

ACCREDITATION RANGE ワークシートでの最下位値の計画

次の最下位値を設定する必要があります。

最下位の値としては、最下位の機密ラベル、最下位の認可上限、および最下位の機密保護の格付けを設定する必要があります。Solar Systems 社では、社員が、定義された機密ラベルをすべて使用すること、また PUBLIC 認可上限を一部の社員に割り当てることができるようにしたいため、最下位の機密ラベルと最下位の認可上限には、PUBLIC を設定する必要があります。

最下位の機密保護の格付けが、ジョブの機密ラベルの実際の格付けの代わりに、プリンタバナーページとトレーラページに出力されます。 最下位の機密保護の格付けは、実際の最下位の格付けよりも高く設定することができます。しかし、Solar Systems 社の要件では、最下位の機密保護の格付けを常に印刷ジョブの機密ラベルの真の格付けに等しくすることが許されています。セキュリティ管理者は、下の図に示すように、 最下位の機密ラベル、最下位の認可上限、および最下位の機密保護の格付けの値をすべて PUBLIC として定義します。

表 5-8 ACCREDITATION RANGE の最下位の値

最下位の機密ラベル 

PUBLIC 

最下位の認可上限 

PUBLIC 

最下位の機密保護の格付け 

PUBLIC 

COLOR NAMES ワークシートによる色指定の計画

ラベル名がウィンドウの一番上に表示されているときは、機密ラベルに割り当てられている色が背景に表示されます。文字は、背景と補色の関係にある色で表示されます (補色はウィンドウシステムによって演算される)。この例では、次の表に示すように、セキュリティ管理者は、デフォルトの label_encodings(4) ファイルの管理ラベルに割り当てられた色はそのまま使用し、PUBLIC には緑、INTERNAL_USE_ONLY には黄色、NEED_TO_KNOW を含むラベルには青 (コンパートメントが違えば、青に濃淡を付ける)、REGISTERED には赤を割り当てています。

表 5-9 色の名前のプランナ

ラベルまたは名前 (label= または name=) 

色 

ADMIN_LOW 

#bdbdbd 

PUBLIC 

緑 

INTERNAL_USE_ONLY 

黄色 

NEED_TO_KNOW 

青 

NEED_TO_KNOW EMG 

#7FA9EB 

NEED_TO_KNOW SALES 

#87CEFF 

NEED_TO_KNOW FINANCE 

#00BFFF 

NEED_TO_KNOW LEGAL 

#7885D0 

NEED_TO_KNOW MRKTG 

#7A67CD 

NEED_TO_KNOW HR 

#7F7FFF 

NEED_TO_KNOW ENG 

#007FFF 

NEED_TO_KNOW MANU 

#0000BF 

NEED_TO_KNOW PROJECT_TEAM 

#9E7FFF 

NEED_TO_KNOW SYSADM 

#5B85D0 

NEED_TO_KNOW ALL 

#4D658D 

NEED_TO_KNOW SYSADM 

#5B85D0 

REGISTERED 

赤 

ADMIN_HIGH 

#636363 

インストール後の設定時のラベル指定

セキュリティ管理者役割が作成した新規ファイルに問題がある場合に備えて、インストールチームは、あらかじめインストールされている label_encodings(4) ファイルの印刷コピーとオンラインコピーを作成しておきます。

セキュリティ管理者役割は、任意のテキストエディタを使って label_encodings(4) ファイルを作成し、「エンコーディングの検査 (Check Encodings)」アクションを使ってファイルを検査する必要があります。ファイルが「エンコーディングの検査 (Check Encodings)」アクションの検査に合格すると、その新しいファイルをインストールするかどうかをたずねるプロンプトが表示されます。セキュリティ管理者役割が肯定応答を返すと、既存の label_encodings ファイルが上書きされます。「エンコーディングの検査 (Check Encodings)」アクションは、既存ファイルを上書きする前に、label_encodings.orig という名前でバックアップを作成します。


注 -

Solar Systems 社のエンコーディングは、画面の例では次の字体で表示されます。User Type font


VERSION のエンコーディング

VERSION の文字列が、社名、タイトル、バージョン番号、および日付によって変更された様子を次の列に示します。


例 5-2 変更された VERSION のエントリ


VERSION= Solar Systems, Inc. Example Version - 2.2 00/04/18

CLASSIFICATIONS のエンコーディング

表 5-2表 5-3、および表 5-4 の Solar Systems 社の格付けとその値を CLASSIFICATIONS セクションに追加したものを次の例に示します。


例 5-3 変更された CLASSIFICATIONS セクション


CLASSIFICATIONS:

name= PUBLIC; sname= PUBLIC; value= 1;
name= INTERNAL_USE_ONLY; sname= INTERNAL; aname= INTERNAL; value= 4;
name= NEED_TO_KNOW; sname= NEED_TO_KNOW; aname= NEED_TO_KNOW; value= 5;
name= REGISTERED; sname= REGISTERED; aname= REGISTERED; value= 6;


注 -

格付けには、スラッシュ (/) やコンマ (,) は使用しないでください。格付けは、最下位から順に指定します。


SENSITIVITY LABELS のエンコーディグ

表 5-3 のコンパートメントは、次の例で示した SENSITIVITY LABELS:WORDS: 例でエンコーディングされます。

この例では、必要な組み合わせも、組み合わせに対する制約もありません。


例 5-4 SENSITIVITY LABELS セクションの変更された WORDS:


SENSITIVITY LABELS:

WORDS:

name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20;
minclass= NEED_TO_KNOW;
name= EXECUTIVE_MGMNT_GROUP; sname= EMG; compartments= 11;
minclass= NEED_TO_KNOW;
name= SALES; sname= SALES; compartments= 12;
minclass= NEED_TO_KNOW;
name= FINANCE; sname= FINANCE; compartments= 13;
minclass= NEED_TO_KNOW;
name= LEGAL; sname= LEGAL; compartments= 14;
minclass= NEED_TO_KNOW;
name= MARKETING; sname= MRKTG; compartments= 15 20; minclass= NEED_TO_KNOW;
name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass= NEED_TO_KNOW;
name= ENGINEERING; sname= ENG; compartments= 17 20; minclass= NEED_TO_KNOW;
name= MANUFACTURING; sname= MANUFACTURING; compartments= 18;
minclass= NEED_TO_KNOW;
name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19;
minclass= NEED_TO_KNOW;
name= PROJECT_TEAM; sname= P_TEAM; compartments= 20; minclass= NEED_TO_KNOW;

REQUIRED COMBINATIONS:

COMBINATION CONSTRAINTS:

INFORMATION LABELS: のエンコーディング

Trusted Solaris 7 では情報ラベルは使用されませんが、INFORMATION LABELS: WORDS: セクションに値を指定しないと、ファイルはエンコーディング検査に合格しません。次の例のようにして、セキュリティ管理者役割で SENSITIVITY LABELS: WORDS: セクションから語句をコピーしてください。


例 5-5 INFORMATION LABELS セクションの WORDS:


INFORMATION LABELS:

WORDS:

name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19;
minclass= NEED_TO_KNOW;
name= MANUFACTURING; sname= MANUFACTURING; compartments= 18;
minclass= NEED_TO_KNOW;
name= ENGINEERING; sname= ENG; compartments= 17 20; minclass=NEED_TO_KNOW;
name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass=NEED_TO_KNOW;
name= MARKETING; sname= MRKTG; compartments= 15 20; minclass=NEED_TO_KNOW;
name= LEGAL; sname= LEGAL; compartments= 14; minclass= NEED_TO_KNOW;
name= FINANCE; sname= FINANCE; compartments= 13; minclass= NEED_TO_KNOW;
name= SALES; sname= SALES; compartments= 12; minclass= NEED_TO_KNOW;
name= EXECUTIVE_MGMNT_GROUP; sname= EMG; compartments= 11;
minclass= NEED_TO_KNOW;
name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20; minclass= NEED_TO_KNOW;
name= PROJECT_TEAM; sname= P_TEAM; compartments= 20; minclass= NEED_TO_KNOW;
name= DO_NOT_FORWARD; sname= NO_FORWD; minclass= INTERNAL; markings= 0;
access related;
name= RELEASE_AFTER_BETA; sname= AFTER_BETA; minclass= NEED_TO_KNOW;
markings= ‾0 1 ‾2; access related;
name= RELEASE_AFTER_FCS; sname= AFTER_FCS; minclass= NEED_TO_KNOW;
markings= ‾0 ‾1 2; access related;

REQUIRED COMBINATIONS:

COMBINATION CONSTRAINTS

CLEARANCES: のエンコーディング

CLEARANCES: の語句は SENSITIVITY LABELS: の語句と同じなので、次の例の語句は、例 5-4 のものと同じになります。


例 5-6 CLEARANCES セクションの変更された WORDS:


CLEARANCES:

WORDS:

name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20; minclass= NEED_TO_KNOW;
name= EXECUTIVE_MANAGEMENT_GROUP; sname= EMG; compartments= 11;
minclass= NEED_TO_KNOW;
name= SALES; sname= SALES; compartments= 12; minclass= NEED_TO_KNOW;
name= FINANCE; sname= FINANCE; compartments= 13; minclass= NEED_TO_KNOW;
name= LEGAL; sname= LEGAL; compartments= 14; minclass= NEED_TO_KNOW;
name= MARKETING; sname= MRKTG; compartments= 15 20; minclass= NEED_TO_KNOW;
name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass= NEED_TO_KNOW;
name= ENGINEERING; sname= ENG; compartments= 17 20; minclass= NEED_TO_KNOW;
name= MANUFACTURING; sname= MANUFACTURING; compartments= 18; minclass= NEED_TO_
KNOW;
name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19;
minclass= NEED_TO_KNOW;
name= PROJECT_TEAM; sname= P_TEAM; compartments= 20;
minclass= NEED_TO_KNOW;

REQUIRED COMBINATIONS:

COMBINATION CONSTRAINTS:

CHANNELS: のエンコーディング

この例では、SENSITIVITY LABELS:WORDS: セクションのコンパートメント語句に割り当てられたコンパートメントビットと同じものを使用して、各グループ名のコンパートメントに 1 つのチャネルを対応させエンコーディングしています。接頭辞は DISTRIBUTE ONLY TO として定義されています。接尾辞は、(NON_DISCLOSURE AGREEMENT REQUIRED) として定義されています。


DISTRIBUTE ONLY TO GROUP_NAME (NON-DISCLOSURE AGREEMENT REQUIRED)

次の例に示したチャネル指定によって、上のような取り扱い警告セクションの目的の語句が作成されます。


注 -

次の例に示すように接頭辞と接尾辞は、冒頭で定義され、それらに割り当てられたコンパートメントはありません。冒頭の接頭辞と接尾辞は、チャネルを定義するのに使用されます。そのため、各チャネルには別に接頭辞と接尾辞が割り当てられています。



例 5-7 CHANNELS セクションの変更された WORDS:


CHANNELS:

WORDS:

name= DISTRIBUTE_ONLY_TO;       prefix;
name= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
suffix;

name= EXECUTIVE_MANAGEMENT_GROUP;
prefix= DISTRIBUTE_ONLY_TO; compartments= 11;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= SALES; prefix= DISTRIBUTE_ONLY_TO; compartments= 12;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= FINANCE; prefix= DISTRIBUTE_ONLY_TO; compartments= 13;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= LEGAL; prefix= DISTRIBUTE_ONLY_TO; compartments= 14;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= MARKETING; prefix= DISTRIBUTE_ONLY_TO;
compartments= 15 20;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= HUMAN_RESOURCES; prefix= DISTRIBUTE_ONLY_TO;
compartments= 16;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= ENGINEERING; prefix= DISTRIBUTE_ONLY_TO;
compartments= 17 20;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= MANUFACTURING; prefix= DISTRIBUTE_ONLY_TO;
compartments= 18;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= SYSTEM_ADMINISTRATION; prefix= DISTRIBUTE_ONLY_TO;
compartments= 19;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= PROJECT_TEAM; prefix= DISTRIBUTE_ONLY_TO; compartments= 20;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);

PRINTER BANNERS のエンコーディング


注 -

「プリンタバナー」という用語は、label_encodings(4) ファイルでは特別な意味があります。これは、ジョブの印刷出力の前に出力されるバナーページのことを指しているわけではありません。プリンタバナーは、それに関連付けられたコンパートメントがジョブのラベルに明記されているときにプリンタバナーページに表示される文字列のことです。


次のようにプリンタバナーを指定すると、必要な語句が PRINTER BANNERS セクションに指定されます。


注 -

次の例のように、接頭辞はセクションの一番上に定義します。接頭辞にはコンパートメントを割り当てません。接頭辞は PRINTER BANNERS: を定義するときに使用し、プリンタバナーごとに割り当てます。



例 5-8 変更された PRINTER BANNERS セクションの WORDS:


PRINTER BANNERS:

WORDS:

name= COMPANY PROPRIETARY/CONFIDENTIAL:;       prefix;

name= ALL_DEPARTMENTS; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 11-20;
name= EXECUTIVE_MANAGEMENT_GROUP; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 11;
name= SALES; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 12;
name= FINANCE; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 13;
name= LEGAL; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 14;
name= MARKETING; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 15 20;
name= HUMAN_RESOURCES; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 16;
name= ENGINEERING; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 17 20;
name= MANUFACTURING; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 18;
name= SYSTEM_ADMINISTRATION; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 19;
name= PROJECT_TEAM; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 20;

ACCREDITATION RANGE のエンコーディング

表 5-3 の組み合わせ上の制約と表 5-8 の最下位の認可上限、最下位の機密ラベル、および最下位の機密保護の格付けは、次の例に示した ACCREDITATION RANGE: でエンコーディングされます。PUBLICINTERNAL_USE_ONLY がどのコンパートメントとも一緒にラベルに表示されないように定義されているのに対して、NEED_TO_KNOW はどのようなコンパートメントの組み合わせとでも一緒にラベルに表示されるように定義されています。REGISTERED は、どのコンパートメントとも一緒には表示されません。


例 5-9 変更された ACCREDITATION RANGE セクション


ACCREDITATION RANGE:

classification= PUBLIC; only valid compartment combinations:

PUBLIC

classification= INTERNAL_USE_ONLY; only valid compartment combinations:

INTERNAL

classification= NEED_TO_KNOW; all compartment combinations valid;

classification= REGISTERED; only valid compartment combinations:

REGISTERED


minimum clearance= PUBLIC;
minimum sensitivity label= PUBLIC;
minimum protect as classification= PUBLIC;

ラベルビルダーと色の使用語句のエンコーディング、およびその他の LOCAL DEFINITIONS の値

次の図にも示すように、Solar Systems 社の LOCAL DEFINITIONS: セクションのデフォルト値は、default flagsforced flagsDefault Label View も含め、一切変更されていません。


例 5-10 LOCAL DEFINITIONS セクションのデフォルト値の使用


LOCAL DEFINITIONS:


default flags= 0x0;                     
forced flags= 0x0;

Default Label View is External;

ラベルビルダーの見出し名のエンコーディング

ラベルビルダーに使用されている見出し名のデフォルト設定値を次の図に示します。


例 5-11 ラベルビルダーのデフォルト見出し名


Classification Name= Class;
Compartments Name= Comps;

ラベルビルダーは、ラベルを設定する必要のあるときは必ず表示されます。たとえば、次の図は、Solar Systems 社で指定された見出し名を、すなわち、Class の代わりに ClassificationComps の代わりに Departments を表示したラベルビルダーを示しています。

図 5-8 見出しが変更された「ワークスペースの SL を変更 (Change Workspace SL)」ラベルビルダー

Graphic

次の例に、Solar Systems 社のセキュリティ管理者役割が Classification Name および Compartments Name のデフォルト値に加えた変更を示します。


例 5-12 ラベルビルダーの使用語句に加えられた変更


Classification Name= Classification;
Compartments Name= Departments;

COLOR NAMES のエンコーディング

例 5-13 に示す色の名前は、表 5-9 のワークシートと同じです。


例 5-13 COLOR NAMES セクション


COLOR NAMES:

       	label= Admin_Low;       color= #bdbdbd;

        label= PUBLIC;        color= green;
        label= INTERNAL_USE_ONLY;  color= yellow;
        label= NEED_TO_KNOW;  color= blue;
        label= NEED_TO_KNOW EMG;  color= #7FA9EB;
        label= NEED_TO_KNOW SALES;  color= #87CEFF;
        label= NEED_TO_KNOW FINANCE;  color= #00BFFF;
        label= NEED_TO_KNOW LEGAL;  color= #7885D0;
        label= NEED_TO_KNOW MRKTG;  color= #7A67CD;
        label= NEED_TO_KNOW HR;  color= #7F7FFF;
        label= NEED_TO_KNOW ENG;  color= #007FFF;
        label= NEED_TO_KNOW MANUFACTURING;  color= #0000BF;
        label= NEED_TO_KNOW PROJECT_TEAM;  color= #9E7FFF;
        label= NEED_TO_KNOW SYSADM; color= #5B85D0;
        label= NEED_TO_KNOW ALL; colo= #4D658D;
        label= REGISTERED;  color= red;

        label= Admin_High;      color= #636363;

*
* End of local site definitions

ラベルの設定に合わせたユーザーの設定

インストール後の設定を行うときにユーザーアカウントの設定を行いますが、そのとき、セキュリティ管理者役割は、すべてのユーザーに対して、ユーザーマネージャの「ラベル (Labels)」ダイアログボックスで次の設定を行う必要があります。

ラベルの設定に合わせたプリンタの設定

セキュリティ管理者役割は、プリンタの設定時に次の設定を行う必要があります。

    「プリンタ設定の規則」に述べたようなプリンタのアクセス可能性に応じたラベル範囲の設定

社内のテクニカルライターが「PostScript ファイルの出力」と「ラベルなしの出力」を使用できるようにするために、セキュリティ管理者役割は次の設定を行う必要があります。

  1. PostScript による出力を必要とする各ユーザーに「PostScript ファイルの出力」と「ラベルなしで出力」承認を与えます。

  2. FrameMaker のような DTP システムからファイルを出力するときは、各ユーザーにファイルを PostScript ファイルとして保存 (印刷) するように、また PostScript ファイルを印刷する場合には、-o nolabels オプションを指定して lp を使用するように通知します。

  3. テクニカルライターがジョブを「ラベルなしで出力」するために使用する専用のプリンタを用意します。

    1. ラベル付けされていない Solaris オペレーティグシステムを実行しているプリンタサーバーに対しては、次のことを行います。

      1. ジョブをプリンタに送信したときにユーザーが作業を行なっていた機密ラベルと一致するプリントサーバーの機密ラベルを指定します。

        たとえば、ドキュメントが INTERNAL として作成されていれば、プリントサーバーは INTERNAL ラベルで設定する必要があります。ドキュメントが PUBLIC として作成されていれば、プリントサーバーのラベルは PUBLIC に設定する必要があります。ラベル付けされていないプリントサーバーにデフォルトのラベルを指定する方法については、『Trusted Solaris 管理の手順』の「印刷管理」を参照してください。


        注 -

        プリンタが、ラベルなしプリントサーバーに接続されている場合には、ラベルまたはラベルの付いたバナーページおよびトレーラページは印刷されません。


      2. 必要に応じて、各ライターごとに適切な機密ラベルのシングルレベルのディレクトリ (SLD) 内に個別の .login ファイルを設定すると、PRINTER 変数を専用のプリンタに設定できます。

    2. ライター用のプリンタのプリントサーバーが Trusted Solaris を実行しているときは、次のいずれかを行なってください。

      1. プリンタの設定に関しては、プリンタマネージャのダイアログボックスの「常にバナーを印刷 (Always Print Banners)」チェックボックスにチェックマークが付いていないことを確認します。

      2. だれから送信された印刷ジョブであってもすべてのページラベルをオフにするには、次に示すように、Trusted Solaris プリントサーバーに対して、/usr/lib/lp/postscript/tsol.separator.ps ファイルを変更します。


        %% To eliminate page labels completely, change this line to  
        %% set the page label to an empty string: /PageLabel () def      
             /PageLabel () def