この章では、ラベルを使用した経験がないユーザーに対して、例を示して使い方を簡単に説明します。次の項目では、ある組織が、そのラベル要件を分析して、とても単純なラベルのセットを実際に設定した例を示します。
この章では、次の方法をモデルで示します。
ユーザーの会社の情報保護目標を満たすラベルのセットを割り出す
ラベルのコンポーネントとそれぞれの関係を定義する
格付け (どのラベルがより機密度が高いかを指定する語句)
コンパートメント (ラベルや認可上限をプロジェクトやグループと関連付ける語句)
次の例で、そのラベル要件をモデルとする企業を仮に Solar Systems 社とします。自社の知的所有権を保護するために、Solar Systems 社の法務部門では、機密度の高い電子メールや印刷物には、次の 3 種のラベルを使用するよう全社員に指示しています。これらのラベルを機密度の高い順番に次に示します。
Solar Proprietary/Confidential: Registered
Solar Proprietary/Confidential: Need To Know
Solar Proprietary/Confidential: Internal Use Only
法務部門では、オプションとして、下記の第 4 のラベルの使用も認めています。このラベルは、制約なしで、だれにでも配布可能な情報に使用します。
Public
Solar Systems 社では、情報の機密保護 (Information Protection: IP) を担当する責任者は、可能な限りあらゆる方法を利用してラベルの必要性を説いています。社員によっては、ラベルの必要性を理解しなかったり、忘れたり、無視したりする者もいます。ラベルが正しく使用された場合でも、その情報が常に正しく扱われ、保管され、配布されているとは限りません。たとえば、Registered 扱いの情報 (限られた人だけが読むことができ、作成者だけがコピーできる情報) でさえも、だれもいないコピー機やプリンタの横に置いてあったり、休憩室やロビーに置いてあったりするようなことが IP 管理者に報告されています。
法務部門では、社員の意識に全面的に頼らずに情報が正確にラベル付けされる確実な方法を求めている
システム管理者は、次を制御するための確実な方法を求めている
機密度の高い情報をだれが見て、だれがそれに変更を加えられるか
どのプリンタにどの情報が出力されているか
プリンタ出力がどのように扱われているか
各機密度に応じた情報が電子メールによって内外にどのように配布されているか
Trusted Solaris オペレーティングシステムでは、ラベル付けをコンピュータユーザー任せにはしていません。Trusted Solaris ソフトウェアを実行しているホストからのプリンタ出力はすべて、そのサイト要件に応じて自動的にラベル付けされます。Solar Systems 社の経営陣は、Trusted Solaris オペレーティグシステムを採用することにしました。これは、同製品が、法務部門の要求を満たすと同時にシステム管理者の目的もサポートすることを、経営陣が理解したためです。
同社では、セキュリティ管理について完全に理解されているとはいえませんが、経営陣は、次のような機能をすぐに取り付けることが可能であることは認識しています。
各印刷ジョブには、自動的に機密ラベルが割り当てられる。これは、ユーザーが作業をしている機密レベル、またはそのユーザーの責任のレベルに対応したものです。
図 5-1 は、ある社員が INTERNAL_USE_ONLY の機密レベルで作業しているところを示しています。これは、機密保持契約に署名した Solar Systems 社の社員またはそれに準じるものだけがアクセスできることを意味しています。プリンタに電子メールを送信すると、印刷ジョブには、自動的に機密ラベルの INTERNAL_USE_ONLY が割り当てられます。
プリンタは自動的に、企業で指定したラベルを印刷出力の各ページの一番上と一番下に印刷します。
図 5-1 でプリンタに対して送られた手紙の、すべてのページの一番上と一番下にユーザーの作業ラベルである INTERNAL_USE_ONLY が印刷されて出力されている様子を図 5-2 に示します。
どの印刷ジョブにもバナーページとトレーラページが自動的に作成され、その企業で指定した取り扱いガイドラインとともに出力されます。
図 5-3 は、印刷ジョブの機密レベルの格付けが NEED_TO_KNOW で、HUMAN_RESOURCEs (人事部) に配布されるものであることを示しています。
NEED_TO_KNOW HR DISTRIBUTE ONLY TO HUMAN RESOURCES (NON-DISCLOSURE AGREEMENT REQUIRED) |
前の例の機密ラベルの下にあるのが「取り扱い警告」で、印刷物の配布方法に関する指示が書かれています。この取り扱い警告には、その情報は、必要としている人事担当者にのみ配布すること、およびそれを読む人は機密保持契約に署名した者に限ることを意味する内容が書かれています。
制限されたラベル範囲内のジョブだけを出力するようにプリンタを設定できます。
たとえば、図 5-4 で示すように、法務部門のプリンタを、次の 3 つのラベルが付いたジョブだけを出力するように設定できます。
NEED_TO_KNOW LEGAL (法務部門でこの情報を知る必要のあるものだけが閲覧できる)
INTERNAL_USE_ONLY (機密保持契約に署名した人間と Solar Systems 社の常勤社員だけが閲覧できる)
PUBLIC (全員が閲覧できる)
上記のように設定されたプリンタは、それ以外に設定されたラベルのジョブは、すべて除外します。たとえば、上記のように設定された法務部門のプリンタは、次のレベルのジョブは拒否します。
NEED_TO_KNOW MARKETING および
REGISTERED
だれでも使用することができる場所にあるプリンタは、その出力をだれが見てもいいように次の 2 つのラベルが付いたジョブだけを出力するように設定できます。
INTERNAL_USE_ONLY
PUBLIC
送信者が作業を行なっている機密レベルに応じて、ラベルが自動的に各電子メールメッセージに割り当てられます。
図 5-5 は、ユーザーのメールアプリケーションの機密ラベルに合わせて電子メールがラベル付けされ、それがメールアプリケーションに送信された様子を示しています。
プリンタに設定したラベル範囲が特定のプリンタに出力するジョブを制御するのと同様に、ユーザーの持つ機密ラベルの範囲に応じて、その人の受信または発信できる電子メールが制約されます (図 5-6 を参照)。
次のような人が経験豊富な管理者と評価されます。
信頼性がある
Solaris システムの管理方法を知っている
サイトのセキュリティの監督あるいは実施に十分なほどその組織の情報処理の目標を理解している
このような人が、セキュリティ管理者としての業務に割り当てられます。
Trusted Solaris ソフトウェアをインストールするずっと前から、セキュリティ管理者は、セキュリティについての学習を始め、そのサイトにおけるセキュリティポリシーの計画の準備を行います。次の項で述べるサイトにおけるラベルの計画から始めます。
『Trusted Solaris ユーザーズガイド』と『Trusted Solaris 管理の概要』を読むことによって、セキュリティ管理者は、ラベルの型の区別、およびアクセス制御を決定する際のラベルの比較検討の方法に熟知できます。『Trusted Solaris 管理の手順』マニュアルを読むことによって、セキュリティ管理者は、システムセキュリティの管理および管理責任の割り当てを行うセキュリティ管理者役割業務を担当する準備を整えることができます。『Trusted Solaris のインストールと構成』の「サイトのセキュリティポリシー」は、サイトのセキュリティポリシーの作成上の指針を説明しています。
また、セキュリティ管理者は、セキュリティの確立、ラベルのエンコーディングに直接関連する概念を見直す際に、このマニュアルの 「ラベルエンコーディング関連の概念を再確認する」にも目を通してください。
セキュリティ管理者は、法務部門が指示するラベルのセットから開始することが適切だと認めていますが、そのエンコーディングを行うには、その前にさらに分折の必要のあることを認識しています。
PROPRIETARY/CONFIDENTIAL: INTERNAL_USE_ONLY ラベルは、その企業が所有する情報に対するラベルですが、その機密度の低さのために、Solar Systems 社の入社時に機密保持契約に署名した社員全員に配布される可能性もあります。機密保持契約に署名していれば、ベンダーの社員や契約社員にもこのラベルの付いた情報が配布されることもあります。インターネット上では情報がのぞき見される場合があるので、このラベルを持つ情報はインターネット経由で送信されてはなりませんが、社内の電子メールで送信される可能性はあります。
出費ガイドラインを含むメモ |
社内作業の割り当て |
PROPRIETARY/CONFIDENTIAL: NEED_TO_KNOW ラベルは、Solar Systems 社所有の情報に対するラベルで、INTERNAL_USE_ONLY よりは機密レベルが高く設定されているため、利用者はより限定されたものとなります。このラベルが付けられた情報は、その情報を知る必要のある同社の社員、または機密保持契約に署名した人でその情報を知る必要のある人だけに配布されます。
たとえば、特定のプロジェクトで作業をしているグループだけにある情報を表示したい場合は、その情報に対して NEED_TO_KNOW を使用します。このラベルが付いた情報を受信した人は、それをコピーして、この情報が必要な機密保持契約に署名した別の人に転送できます。特定のグループに情報を制限する場合は、その情報を印刷出力したものやコピーしたものにグループの名前を明記しなくてはなりません。
このラベルにグループ名を明記することによって、そのグループ外のだれにも情報を与えてはならないことが明確に指定されます。このラベルを付けた情報は、インターネット経由で送信されることはありませんが、電子メールによって社内で送信される可能性はあります。
製品設計ドキュメント |
プロジェクトの詳細 |
社員配置部署変更通知 |
PROPRIETARY/CONFIDENTIAL: REGISTERED と格付けされた情報は、Solar Systems 社所有の情報に対するラベルで、機密度はきわめて高く、この情報が外部に漏れると、その相手やタイミングによっては、企業に大きな損害を与えることになります。登録された情報には、番号が振られ、それを所有するユーザーによって追跡されなければなりません。各コピーは、特定の人に割り当てられ、読まれた後は、所有者に戻されて廃棄されなければなりません。コピーは、その情報の所有者だけが作成できます。紙の色は、赤茶色を使用されることをお勧めします。この色はコピーすることができません。
このラベルは、限られたひとつのグループの人だけにその企業所有の情報を提示するときに使用されます。この情報の所有者によって承認されている人以外には、この情報を提示できません。情報の所有者がその情報の提示を承認しても、機密保持契約に署名していない他の企業の社員には提示されません。このラベルが付いた情報は、電子メールで送信することはできません。
未発表の四半期末会計報告書 |
売り上げ予測 |
市場予測 |
セキュリティ管理者は、グループまたは部門の名前を NEED_TO_KNOW ラベルに含まれる必要があると判断しました。セキュリティ管理者は、組織内のグループまたは関心のある領域を定義するのに使用する語句について提案を求めた結果、次のような名前が挙がりました。
技術 |
経営 |
財務 |
人事 |
法務 |
製造 |
マーケティング |
営業 |
システム管理 |
次の事項について決定します。
機密ラベルと認可上限を構成する格付けとコンパートメントにラベルをエンコーディングする方法
プリンタ出力上に印刷する取り扱い指示
セキュリティ管理者は、図 5-7 に示す大きなボードと使用するラベルの語句を記載した紙片を使用してみました。これによって、関係を視覚化することができ、満足の行くまで、各部分を入れ替えたりして検討を加えることができます。
セキュリティ管理者は次の事実を発見しました。
4 つのラベルは階層構造になっていて、最上位が REGISTERED で、最下位が PUBLIC である
グループ名を関連付けられるラベルは 1 つだけである
情報の中で、登録扱いされるものは、情況に応じて限定されるので、REGISTERED にグループ名は不要です。INTERNAL_USE_ONLY は全社員と機密保持契約に署名した人を対象とし、PUBLIC ラベルは全員を対象としているため、これらのラベルはそれ以外の資格を必要としていません。NEED_TO_KNOW ラベルは、 NEED_TO_KNOW MARKETING や NEED_TO_KNOW ENGINEERING のように非階層的な語句と関連付ける必要があります。グループや部門を表す語句をそのユーザーの認可上限に含めることこともできます。これは、そのユーザーの need to know (知る必要性) を確定するためです。
PUBLIC 以外の各ラベルでは、その情報にアクセスするには機密保持契約に署名する必要があります。
NON-DISCLOSURE AGREEMENT REQUIRED などの文面を用意しておくと、機密保持契約が必要であることを気づかせる意味で有効です。
バナーページやトレーラページ上の取り扱い指示は、ラベル上に表示されたグループ名や格付けに基づいてその情報の取り扱い方を明確な表現で示す必要があります。
プリンタ出力上の機密情報以外にも、取り扱い指示によって機密保持契約が必要とのラベルを出力情報に付けて、機密保持契約が必要であることを利用者に知らせることができます。
この項では、次のようなラベルの必要不可欠な点をすべて含むリストで、ラベルのセットを定義します。
格付け
その他の語句
語句同士の関係
各語句の使用に関連付けられた格付けの制約
必須アクセス制御における語句の使用目的 (機密ラベルおよび認可上限での)
システムの出力のラベル付けにおける語句の使用目的
4 つのラベルは階層構造になっているので、階層的な格付けとしてエンコーディングされます。
法務部門からの承諾を得て、セキュリティ管理者は、ラベル名から Solar Systems Proprietary/Confidential: を削除してラベルを短くしました。格付けでは、ラベルにスラッシュ (/) を使用することは禁止されており、格付けが長いとウィンドウシステムではラベルを読むのが困難になります。ウィンドウ枠に入りきらないラベル名は右端が切れてしまいます。PUBLIC より上位にあるラベル名の切り詰められた名前はすべて、SOLAR SYSTEMS PROPRIETARY CONFIDENTIAL という語句で始まるため、各ウィンドウのフレームを手動で拡張しないことには、区別不能となります。
セキュリティ管理者は、次のラベルを定義しました。
REGISTERED
NEED_TO_KNOW
INTERNAL_USE_ONLY
PUBLIC
グループ名は、非階層的なコンパートメントとしてエンコーディングします。コンパートメントは、NEED_TO_KNOW 格付けを持つラベルだけに現れるように制限されます。COMBINATION CONSTRAINTS の下にある ACCREDITATION RANGE の適切な設定によって、コンパートメントは、ある格付けとのみ一緒に表示されるように制限されます。
ユーザーの認可上限は、グループ名が明記されたラベル付きのファイルやディレクトリを、どのユーザーが作成できるか、また NEED_TO_KNOW 格付けと一緒に複数のグループ名が明記されたラベル付きのドキュメントを、特定のユーザーが作成できるかどうかも制御します。
ユーザー認可上限と、機密ラベルでの格付けやコンパートメントが、必須アクセス制御で使用されます。したがって、法務部門における階層的なラベルやグループ名は、格付けやコンパートメントとして、どの社員が、ファイルにアクセスしたり、その他の作業を行ったりできるかを制御するラベルで使用できるように、エンコーディングする必要があります。
次の例では、Solar Systems 社は、ある機密ラベルを PUBLIC の格付けで定義し、そのラベルをユーザー認可範囲の最下位に割り当てています。また、別の機密ラベルは、PUBLIC のすぐ上位の INTERNAL_USE_ONLY の格付けで定義しています。
認可上限が PUBLIC で、最下位のラベルが PUBLIC の承認されていない社員は、システムを次の範囲で使用できます。
PUBLIC のワークスペースのみでの作業
PUBLIC のみでのファイルの作成
PUBLIC のみでの電子メールの読み取り
ラベル範囲が PUBLIC のプリンタのみ使用
それに対して、承認を持たなくても、認可上限が INTERNAL_USE_ONLY の社員は、システムを次の範囲で使用できます。
PUBLIC または INTERNAL_USE_ONLY のいずれかのワークスペースで作業が可能
PUBLIC または INTERNAL_USE_ONLY のいずれかで (現在のワークスペースによって異なる) ファイルの作成が可能
いずれの機密ラベルの電子メールでも送受信が可能
PUBLIC とラベル付けされたファイルは PUBLIC のラベル範囲のプリンタで出力が可能で、INTERNAL_USE_ONLY とラベル付けされたファイルは INTERNAL_USE_ONLY のラベル範囲のプリンタへの送信が可能
プリンタジョブの機密ラベルにグループ名のコンパートメントが含まれていれば、必須プリンタバナーページとトレーラページの文面は次のようになります。
Distribute Only To Group Name (Non-Disclosure Agreement Required)
「ラベルなしの出力」承認によって、ユーザーまたはその役割を持つ担当者は、lp -o nolables オプションを指定して、印刷ジョブの本文ページの一番上と一番下にラベルを印刷させないことが可能です。セキュリティ管理者は、この「ラベルなしの出力」承認を全員に許可するか、まったく許可しないかを決定できます。
「PostScript ファイルの出力」承認によって、ユーザーは、PostScript ファイルをプリンタに送信できますが、通常、これは許可されていません。十分な知識を持つユーザーによって、PostScript ファイル中のラベルが変更されてしまう危険性があるためです。
ラベルを印刷しない、文書のマスターコピーの製作をテクニカルライターに許可するには、セキュリティ管理者が、「ラベルなしの出力」と「PostScript ファイルの出力」の 2 つの承認をすべてのテクニカルライターに与えます。
REGISTERED 語句の入った認可上限を持つユーザーであれば、特別な追加措置を取らない限り、社内のどこにあってもすべての登録 (REGISTERED) 情報にアクセスできることをセキュリティ管理者は認識しています。したがって、その認可上限に登録しているユーザーに対しては、作成者だけが、そのファイルを表示および変更できるように、UNIX のアクセス権を使用することを指示する必要があります。次の例を参照してください。
trusted% getplabel R trusted% mkdir registered.dir trusted% chmod 700 registered.dir trusted% cd registered.dir trusted% touch registered.file trusted% ls -l -rwxrwxrwx registered.file trusted% chmod 600 registered.file trusted% ls -l -rw------- registered.file |
前の例に示すように、機密ラベルが REGISTERED の情報で作業するとき、そのファイルまたはディレクトリを作成したユーザーが、そのファイルの読み取り許可と書き込み許可を所有者に限定して設定します。また、ディレクトリの場合も、読み取り許可、書き込み許可、検索許可を所有者に限定して設定する必要があります。それによって、REGISTERED と明記された機密ラベルを扱うことのできる他のユーザーがその情報を読み取ることはできなくなります。
さまざまな人がアクセスすることができる複数の場所に設置してあるプリンタの設定を表 5-1 に示します。
表 5-1 各場所に設置されているプリンタのラベル範囲の設定例
プリンタの設置場所 |
アクセスのタイプ |
ラベル範囲 |
---|---|---|
ロビーや共有の会議室 |
全員 |
PUBLIC 〜 PUBLIC |
社内プリンタルーム |
全社員および機密保持契約に署名した者 |
PUBLIC 〜 INTERNAL_USE_ONLY |
1 つのグループに制限された区域 |
NEED_TO_KNOW GROUP_NAME コンパートメントで指定されたグループのメンバー |
NEED_TO_KNOW GROUP_NAME 〜 NEED_TO_KNOW GROUP_NAME |
厳密に制限された区域 |
認可上限が REGISTERED に格付けされた者のみ |
REGISTERED 〜 REGISTERED |
『Trusted Solaris 管理の手順』マニュアルの「印刷管理」を参照してください。
使用が制限されているプリンタへアクセスする人は、次のことを行う必要があります。
プリンタバナーページとトレーラページにある指示に従って情報を保護する
バナーページもトレーラページもないジョブや、バナーページにもトレーラページにも照合ジョブ番号が付与されていないジョブは、シュレッダーにかける
表 5-2 のワークシートは、4 つの格付けごとに定義された名前、階層構造の値を示しています。値 0 は、管理ラベルの ADMIN_LOW のために予約されています。PUBLIC の格付け値は 1 に設定され、他の格付け値は順次それよりも高く設定されています。
ラベルに使用するグループ名は、SENSITIVITY LABELS、CLEARANCES セクションの WORDS で後で指定します。
name= |
sname=/*aname= |
value= |
*initial compartments=ビット番号 / 語句 |
---|---|---|---|
PUBLIC |
|
1 |
なし |
INTERNAL_USE_ONLY |
|
4 |
なし |
NEED_TO_KNOW |
|
5 |
なし |
REGISTERED |
|
6 |
なし |
図 5-7 の計画ボードを使用した結果の語句と格付けの関係を表 5-3 で定義しています。3 つ目のカラムの PUBLIC とINTERNAL_USE_ONLY の定義から、この 2 つの格付けは、どのコンパートメントとも一緒にはラベルに表示されません。一方、 NEED_TO_KNOW は、任意のまたはすべてのコンパートメントとともにラベルに表示させることができます。
表 5-3 コンパートメントとユーザー認可範囲を組み合わせた計画表
格付け |
コンパートメント名/sname/ビット |
組み合わせの制約 |
---|---|---|
PUBLIC |
|
PUBLIC のみが有効な組み合わせ |
INTERNAL_USE_ONLY |
|
INTERNAL_USE_ONLY のみが有効な組み合わせ |
NEED_TO_KNOW |
SYSTEM ADMINISTRATION/ SYSADM/ 19 |
NEED_TO_KNOW すべての組み合わせが有効 |
|
MANUFACTURING/ MANU/ 18 |
|
|
ENGINEERING/ ENG/ 17 20 |
|
HUMAN RESOURCES/ HR/ 16 |
|
|
|
MARKETING/ MKTG/ 15 20 |
|
|
LEGAL/ LEGAL/ 14 |
|
|
FINANCE/ FINANCE/ 13 |
|
|
SALES/ SALES/ 12 |
|
|
EXECUTIVE MANAGEMENT GROUP/ EMG/ 11 |
|
|
ALL_DEPARTMENTS/ ALL/ 11-20 |
|
REGISTERED |
|
REGISTERED のみが有効な組み合わせ |
セキュリティ管理者は、表 5-4 を使用してコンパートメントとマーキングに使用されたビットを追跡します。
表 5-4 コンパートメントの追跡テーブル
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
|
ラベルのコンポーネントは、認可上限のユーザーにも割り当てられています。ワークシート形式の認可上限プランナ (表 5-5に示す) は、認可上限内で使用されるようにラベルコンポーネントを定義します。
表 5-5 の略語の解釈を次に示します。
略語 |
名称 |
---|---|
REG |
REGISTERED |
NTK |
NEED_TO_KNOW |
IUO |
INTERNAL_USE_ONLY |
EMG |
EXECUTIVE MANAGEMENT GROUP |
SALES |
SALES |
FIN |
FINANCE |
LEG |
LEGAL |
MRKTG |
MARKETING |
HR |
HUMAN RESOURCES |
ENG |
ENGINEERING |
MANU |
MANUFACTURING |
SYSADM |
SYSTEM ADMINISTRATION |
NDA |
NON-DISCLOSURE AGREEMENT |
表 5-5 認可上限プランナ
Solar Systems 社の法務部門では、プリンタバナーページとトレーラページに次のような語句を表示させたいと考えています。
Solar Systems Proprietary/Confidential: |
PRINTER BANNERS セクションを使用して、印刷ジョブの CMW ラベルに表示される任意のコンパートメントに文字列を関連付けることができます。このエンコーディングでは、NEED_TO_KNOW 格付けだけが、コンパートメントを持ちます。表 5-6 は、表示させる語句を接頭辞として指定し、各コンパートメントに割り当てる方法を示しています。各チャネルに NTK という略語を割り当てると、PRINTER BANNERS セクションの語句は、次のようになります。
Solar Systems Proprietary/Confidential: GROUP_NAME |
表 5-6 プリンタバナープランナ
接頭辞 |
プリンタバナー |
---|---|
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
ALL_DEPARTMENTS |
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
EXECUTIVE_MANAGEMENT_GROUP |
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
SALES |
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
FINANCE |
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
LEGAL |
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
MARKETING |
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
HUMAN_RESOURCES |
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
ENGINEERING |
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
MANUFACTURING |
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
SYSTEM_ADMINISTRATION |
SOLAR SYSTEMS PROPRIETARY/CONFIDENTIAL: |
PROJECT_TEAM |
Solar Systems 社の法務部門では、プリンタバナーページとトレーラバナーページに次のような取り扱い上の指示を出力したいと考えています。
DISTRIBUTE ONLY TO GROUP_NAME EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED) |
このためには、この例のグループ名に以前割り当てられたのと同じコンパートメントビットを、CHANNELS セクションで割り当てます。Solar Systems 社は、コンパートメントとチャネルの両方に同じグループ名を使用する計画です。
チャネル名の前にくる語句は「接頭辞」として指定され、チャネル名の後にくる語句は「接尾辞」として指定されます。セキュリティ管理者はワークシートで接頭辞と接尾辞を指定します。
表 5-7 チャネルプランナ (接頭辞、チャネル、および接尾辞用)
接頭辞 |
チャネル |
接尾辞 |
---|---|---|
DISTRIBUTE_ ONLY_ TO |
EXECUTIVE_ MANAGEMENT_GROUP |
EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) |
DISTRIBUTE_ ONLY_ TO |
SALES |
EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) |
DISTRIBUTE_ ONLY_ TO |
FINANCE |
EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) |
DISTRIBUTE_ ONLY_ TO |
LEGAL |
EMPLOYEES (NON-DISCLOSURE_ AGREEMENT_ REQUIRED) |
DISTRIBUTE_ ONLY_ TO |
MARKETING |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ ONLY_ TO |
HUMAN_ RESOURCES |
EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) |
DISTRIBUTE_ ONLY_ TO |
ENGINEERING |
EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) |
DISTRIBUTE_ ONLY_ TO |
MANUFACTURING |
EMPLOYEES (NON-DISCLOSURE_ AGREEMENT_ REQUIRED) |
DISTRIBUTE_ ONLY_ TO |
SYSTEM_ ADMINISTRATION |
EMPLOYEES (NON- DISCLOSURE_ AGREEMENT_ REQUIRED) |
DISTRIBUTE_ ONLY_ TO |
PROJECT_ TEAM |
EMPLOYEES (NON-DISCLOSURE _AGREEMENT _REQUIRED) |
次の最下位値を設定する必要があります。
最下位値の機密ラベル
最下位値の認可上限
最下位値の機密保護の格付け
最下位の値としては、最下位の機密ラベル、最下位の認可上限、および最下位の機密保護の格付けを設定する必要があります。Solar Systems 社では、社員が、定義された機密ラベルをすべて使用すること、また PUBLIC 認可上限を一部の社員に割り当てることができるようにしたいため、最下位の機密ラベルと最下位の認可上限には、PUBLIC を設定する必要があります。
最下位の機密保護の格付けが、ジョブの機密ラベルの実際の格付けの代わりに、プリンタバナーページとトレーラページに出力されます。 最下位の機密保護の格付けは、実際の最下位の格付けよりも高く設定することができます。しかし、Solar Systems 社の要件では、最下位の機密保護の格付けを常に印刷ジョブの機密ラベルの真の格付けに等しくすることが許されています。セキュリティ管理者は、下の図に示すように、 最下位の機密ラベル、最下位の認可上限、および最下位の機密保護の格付けの値をすべて PUBLIC として定義します。
表 5-8 ACCREDITATION RANGE の最下位の値
最下位の機密ラベル |
PUBLIC |
最下位の認可上限 |
PUBLIC |
最下位の機密保護の格付け |
PUBLIC |
ラベル名がウィンドウの一番上に表示されているときは、機密ラベルに割り当てられている色が背景に表示されます。文字は、背景と補色の関係にある色で表示されます (補色はウィンドウシステムによって演算される)。この例では、次の表に示すように、セキュリティ管理者は、デフォルトの label_encodings(4) ファイルの管理ラベルに割り当てられた色はそのまま使用し、PUBLIC には緑、INTERNAL_USE_ONLY には黄色、NEED_TO_KNOW を含むラベルには青 (コンパートメントが違えば、青に濃淡を付ける)、REGISTERED には赤を割り当てています。
表 5-9 色の名前のプランナ
ラベルまたは名前 (label= または name=) |
色 |
---|---|
ADMIN_LOW |
#bdbdbd |
PUBLIC |
緑 |
INTERNAL_USE_ONLY |
黄色 |
NEED_TO_KNOW |
青 |
NEED_TO_KNOW EMG |
#7FA9EB |
NEED_TO_KNOW SALES |
#87CEFF |
NEED_TO_KNOW FINANCE |
#00BFFF |
NEED_TO_KNOW LEGAL |
#7885D0 |
NEED_TO_KNOW MRKTG |
#7A67CD |
NEED_TO_KNOW HR |
#7F7FFF |
NEED_TO_KNOW ENG |
#007FFF |
NEED_TO_KNOW MANU |
#0000BF |
NEED_TO_KNOW PROJECT_TEAM |
#9E7FFF |
NEED_TO_KNOW SYSADM |
#5B85D0 |
NEED_TO_KNOW ALL |
#4D658D |
NEED_TO_KNOW SYSADM |
#5B85D0 |
REGISTERED |
赤 |
ADMIN_HIGH |
#636363 |
セキュリティ管理者役割が作成した新規ファイルに問題がある場合に備えて、インストールチームは、あらかじめインストールされている label_encodings(4) ファイルの印刷コピーとオンラインコピーを作成しておきます。
セキュリティ管理者役割は、任意のテキストエディタを使って label_encodings(4) ファイルを作成し、「エンコーディングの検査 (Check Encodings)」アクションを使ってファイルを検査する必要があります。ファイルが「エンコーディングの検査 (Check Encodings)」アクションの検査に合格すると、その新しいファイルをインストールするかどうかをたずねるプロンプトが表示されます。セキュリティ管理者役割が肯定応答を返すと、既存の label_encodings ファイルが上書きされます。「エンコーディングの検査 (Check Encodings)」アクションは、既存ファイルを上書きする前に、label_encodings.orig という名前でバックアップを作成します。
Solar Systems 社のエンコーディングは、画面の例では次の字体で表示されます。User Type font。
VERSION の文字列が、社名、タイトル、バージョン番号、および日付によって変更された様子を次の列に示します。
VERSION= Solar Systems, Inc. Example Version - 2.2 00/04/18 |
表 5-2、表 5-3、および表 5-4 の Solar Systems 社の格付けとその値を CLASSIFICATIONS セクションに追加したものを次の例に示します。
CLASSIFICATIONS: name= PUBLIC; sname= PUBLIC; value= 1; name= INTERNAL_USE_ONLY; sname= INTERNAL; aname= INTERNAL; value= 4; name= NEED_TO_KNOW; sname= NEED_TO_KNOW; aname= NEED_TO_KNOW; value= 5; name= REGISTERED; sname= REGISTERED; aname= REGISTERED; value= 6; |
格付けには、スラッシュ (/) やコンマ (,) は使用しないでください。格付けは、最下位から順に指定します。
表 5-3 のコンパートメントは、次の例で示した SENSITIVITY LABELS: の WORDS: 例でエンコーディングされます。
この例では、必要な組み合わせも、組み合わせに対する制約もありません。
SENSITIVITY LABELS: WORDS: name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20; minclass= NEED_TO_KNOW; name= EXECUTIVE_MGMNT_GROUP; sname= EMG; compartments= 11; minclass= NEED_TO_KNOW; name= SALES; sname= SALES; compartments= 12; minclass= NEED_TO_KNOW; name= FINANCE; sname= FINANCE; compartments= 13; minclass= NEED_TO_KNOW; name= LEGAL; sname= LEGAL; compartments= 14; minclass= NEED_TO_KNOW; name= MARKETING; sname= MRKTG; compartments= 15 20; minclass= NEED_TO_KNOW; name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass= NEED_TO_KNOW; name= ENGINEERING; sname= ENG; compartments= 17 20; minclass= NEED_TO_KNOW; name= MANUFACTURING; sname= MANUFACTURING; compartments= 18; minclass= NEED_TO_KNOW; name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19; minclass= NEED_TO_KNOW; name= PROJECT_TEAM; sname= P_TEAM; compartments= 20; minclass= NEED_TO_KNOW; REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS: |
Trusted Solaris 7 では情報ラベルは使用されませんが、INFORMATION LABELS: WORDS: セクションに値を指定しないと、ファイルはエンコーディング検査に合格しません。次の例のようにして、セキュリティ管理者役割で SENSITIVITY LABELS: WORDS: セクションから語句をコピーしてください。
INFORMATION LABELS: WORDS: name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19; minclass= NEED_TO_KNOW; name= MANUFACTURING; sname= MANUFACTURING; compartments= 18; minclass= NEED_TO_KNOW; name= ENGINEERING; sname= ENG; compartments= 17 20; minclass=NEED_TO_KNOW; name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass=NEED_TO_KNOW; name= MARKETING; sname= MRKTG; compartments= 15 20; minclass=NEED_TO_KNOW; name= LEGAL; sname= LEGAL; compartments= 14; minclass= NEED_TO_KNOW; name= FINANCE; sname= FINANCE; compartments= 13; minclass= NEED_TO_KNOW; name= SALES; sname= SALES; compartments= 12; minclass= NEED_TO_KNOW; name= EXECUTIVE_MGMNT_GROUP; sname= EMG; compartments= 11; minclass= NEED_TO_KNOW; name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20; minclass= NEED_TO_KNOW; name= PROJECT_TEAM; sname= P_TEAM; compartments= 20; minclass= NEED_TO_KNOW; name= DO_NOT_FORWARD; sname= NO_FORWD; minclass= INTERNAL; markings= 0; access related; name= RELEASE_AFTER_BETA; sname= AFTER_BETA; minclass= NEED_TO_KNOW; markings= ‾0 1 ‾2; access related; name= RELEASE_AFTER_FCS; sname= AFTER_FCS; minclass= NEED_TO_KNOW; markings= ‾0 ‾1 2; access related; REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS |
CLEARANCES: の語句は SENSITIVITY LABELS: の語句と同じなので、次の例の語句は、例 5-4 のものと同じになります。
CLEARANCES: WORDS: name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20; minclass= NEED_TO_KNOW; name= EXECUTIVE_MANAGEMENT_GROUP; sname= EMG; compartments= 11; minclass= NEED_TO_KNOW; name= SALES; sname= SALES; compartments= 12; minclass= NEED_TO_KNOW; name= FINANCE; sname= FINANCE; compartments= 13; minclass= NEED_TO_KNOW; name= LEGAL; sname= LEGAL; compartments= 14; minclass= NEED_TO_KNOW; name= MARKETING; sname= MRKTG; compartments= 15 20; minclass= NEED_TO_KNOW; name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass= NEED_TO_KNOW; name= ENGINEERING; sname= ENG; compartments= 17 20; minclass= NEED_TO_KNOW; name= MANUFACTURING; sname= MANUFACTURING; compartments= 18; minclass= NEED_TO_ KNOW; name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19; minclass= NEED_TO_KNOW; name= PROJECT_TEAM; sname= P_TEAM; compartments= 20; minclass= NEED_TO_KNOW; REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS: |
この例では、SENSITIVITY LABELS: の WORDS: セクションのコンパートメント語句に割り当てられたコンパートメントビットと同じものを使用して、各グループ名のコンパートメントに 1 つのチャネルを対応させエンコーディングしています。接頭辞は DISTRIBUTE ONLY TO として定義されています。接尾辞は、(NON_DISCLOSURE AGREEMENT REQUIRED) として定義されています。
DISTRIBUTE ONLY TO GROUP_NAME (NON-DISCLOSURE AGREEMENT REQUIRED) |
次の例に示したチャネル指定によって、上のような取り扱い警告セクションの目的の語句が作成されます。
次の例に示すように接頭辞と接尾辞は、冒頭で定義され、それらに割り当てられたコンパートメントはありません。冒頭の接頭辞と接尾辞は、チャネルを定義するのに使用されます。そのため、各チャネルには別に接頭辞と接尾辞が割り当てられています。
CHANNELS: WORDS: name= DISTRIBUTE_ONLY_TO; prefix; name= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); suffix; name= EXECUTIVE_MANAGEMENT_GROUP; prefix= DISTRIBUTE_ONLY_TO; compartments= 11; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= SALES; prefix= DISTRIBUTE_ONLY_TO; compartments= 12; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= FINANCE; prefix= DISTRIBUTE_ONLY_TO; compartments= 13; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= LEGAL; prefix= DISTRIBUTE_ONLY_TO; compartments= 14; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= MARKETING; prefix= DISTRIBUTE_ONLY_TO; compartments= 15 20; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= HUMAN_RESOURCES; prefix= DISTRIBUTE_ONLY_TO; compartments= 16; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= ENGINEERING; prefix= DISTRIBUTE_ONLY_TO; compartments= 17 20; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= MANUFACTURING; prefix= DISTRIBUTE_ONLY_TO; compartments= 18; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= SYSTEM_ADMINISTRATION; prefix= DISTRIBUTE_ONLY_TO; compartments= 19; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= PROJECT_TEAM; prefix= DISTRIBUTE_ONLY_TO; compartments= 20; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); |
「プリンタバナー」という用語は、label_encodings(4) ファイルでは特別な意味があります。これは、ジョブの印刷出力の前に出力されるバナーページのことを指しているわけではありません。プリンタバナーは、それに関連付けられたコンパートメントがジョブのラベルに明記されているときにプリンタバナーページに表示される文字列のことです。
次のようにプリンタバナーを指定すると、必要な語句が PRINTER BANNERS セクションに指定されます。
次の例のように、接頭辞はセクションの一番上に定義します。接頭辞にはコンパートメントを割り当てません。接頭辞は PRINTER BANNERS: を定義するときに使用し、プリンタバナーごとに割り当てます。
PRINTER BANNERS: WORDS: name= COMPANY PROPRIETARY/CONFIDENTIAL:; prefix; name= ALL_DEPARTMENTS; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 11-20; name= EXECUTIVE_MANAGEMENT_GROUP; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 11; name= SALES; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 12; name= FINANCE; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 13; name= LEGAL; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 14; name= MARKETING; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 15 20; name= HUMAN_RESOURCES; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 16; name= ENGINEERING; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 17 20; name= MANUFACTURING; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 18; name= SYSTEM_ADMINISTRATION; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 19; name= PROJECT_TEAM; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 20; |
表 5-3 の組み合わせ上の制約と表 5-8 の最下位の認可上限、最下位の機密ラベル、および最下位の機密保護の格付けは、次の例に示した ACCREDITATION RANGE: でエンコーディングされます。PUBLIC と INTERNAL_USE_ONLY がどのコンパートメントとも一緒にラベルに表示されないように定義されているのに対して、NEED_TO_KNOW はどのようなコンパートメントの組み合わせとでも一緒にラベルに表示されるように定義されています。REGISTERED は、どのコンパートメントとも一緒には表示されません。
ACCREDITATION RANGE: classification= PUBLIC; only valid compartment combinations: PUBLIC classification= INTERNAL_USE_ONLY; only valid compartment combinations: INTERNAL classification= NEED_TO_KNOW; all compartment combinations valid; classification= REGISTERED; only valid compartment combinations: REGISTERED minimum clearance= PUBLIC; minimum sensitivity label= PUBLIC; minimum protect as classification= PUBLIC; |
次の図にも示すように、Solar Systems 社の LOCAL DEFINITIONS: セクションのデフォルト値は、default flags、forced flags、Default Label View も含め、一切変更されていません。
LOCAL DEFINITIONS: default flags= 0x0; forced flags= 0x0; Default Label View is External; |
ラベルビルダーに使用されている見出し名のデフォルト設定値を次の図に示します。
Classification Name= Class; Compartments Name= Comps; |
ラベルビルダーは、ラベルを設定する必要のあるときは必ず表示されます。たとえば、次の図は、Solar Systems 社で指定された見出し名を、すなわち、Class の代わりに Classification、Comps の代わりに Departments を表示したラベルビルダーを示しています。
次の例に、Solar Systems 社のセキュリティ管理者役割が Classification Name および Compartments Name のデフォルト値に加えた変更を示します。
Classification Name= Classification; Compartments Name= Departments; |
例 5-13 に示す色の名前は、表 5-9 のワークシートと同じです。
COLOR NAMES: label= Admin_Low; color= #bdbdbd; label= PUBLIC; color= green; label= INTERNAL_USE_ONLY; color= yellow; label= NEED_TO_KNOW; color= blue; label= NEED_TO_KNOW EMG; color= #7FA9EB; label= NEED_TO_KNOW SALES; color= #87CEFF; label= NEED_TO_KNOW FINANCE; color= #00BFFF; label= NEED_TO_KNOW LEGAL; color= #7885D0; label= NEED_TO_KNOW MRKTG; color= #7A67CD; label= NEED_TO_KNOW HR; color= #7F7FFF; label= NEED_TO_KNOW ENG; color= #007FFF; label= NEED_TO_KNOW MANUFACTURING; color= #0000BF; label= NEED_TO_KNOW PROJECT_TEAM; color= #9E7FFF; label= NEED_TO_KNOW SYSADM; color= #5B85D0; label= NEED_TO_KNOW ALL; colo= #4D658D; label= REGISTERED; color= red; label= Admin_High; color= #636363; * * End of local site definitions |
インストール後の設定を行うときにユーザーアカウントの設定を行いますが、そのとき、セキュリティ管理者役割は、すべてのユーザーに対して、ユーザーマネージャの「ラベル (Labels)」ダイアログボックスで次の設定を行う必要があります。
認可上限の適正値 (「認可上限 (Clearance)」ダイアログボックスにて)
「ワークシートによる認可上限の計画」を参照してください。
最下位のラベルの適正値 (「最下位 SL (Minimum SL)」ダイアログボックスにて)
機密ラベルの表示
セキュリティ管理者役割は、プリンタの設定時に次の設定を行う必要があります。
「プリンタ設定の規則」に述べたようなプリンタのアクセス可能性に応じたラベル範囲の設定
社内のテクニカルライターが「PostScript ファイルの出力」と「ラベルなしの出力」を使用できるようにするために、セキュリティ管理者役割は次の設定を行う必要があります。
PostScript による出力を必要とする各ユーザーに「PostScript ファイルの出力」と「ラベルなしで出力」承認を与えます。
FrameMaker
のような DTP システムからファイルを出力するときは、各ユーザーにファイルを PostScript ファイルとして保存 (印刷) するように、また PostScript ファイルを印刷する場合には、-o nolabels オプションを指定して lp を使用するように通知します。
テクニカルライターがジョブを「ラベルなしで出力」するために使用する専用のプリンタを用意します。
ラベル付けされていない Solaris オペレーティグシステムを実行しているプリンタサーバーに対しては、次のことを行います。
ジョブをプリンタに送信したときにユーザーが作業を行なっていた機密ラベルと一致するプリントサーバーの機密ラベルを指定します。
たとえば、ドキュメントが INTERNAL として作成されていれば、プリントサーバーは INTERNAL ラベルで設定する必要があります。ドキュメントが PUBLIC として作成されていれば、プリントサーバーのラベルは PUBLIC に設定する必要があります。ラベル付けされていないプリントサーバーにデフォルトのラベルを指定する方法については、『Trusted Solaris 管理の手順』の「印刷管理」を参照してください。
プリンタが、ラベルなしプリントサーバーに接続されている場合には、ラベルまたはラベルの付いたバナーページおよびトレーラページは印刷されません。
必要に応じて、各ライターごとに適切な機密ラベルのシングルレベルのディレクトリ (SLD) 内に個別の .login ファイルを設定すると、PRINTER 変数を専用のプリンタに設定できます。
ライター用のプリンタのプリントサーバーが Trusted Solaris を実行しているときは、次のいずれかを行なってください。
プリンタの設定に関しては、プリンタマネージャのダイアログボックスの「常にバナーを印刷 (Always Print Banners)」チェックボックスにチェックマークが付いていないことを確認します。
だれから送信された印刷ジョブであってもすべてのページラベルをオフにするには、次に示すように、Trusted Solaris プリントサーバーに対して、/usr/lib/lp/postscript/tsol.separator.ps ファイルを変更します。
%% To eliminate page labels completely, change this line to %% set the page label to an empty string: /PageLabel () def /PageLabel () def |