自分のサイトにおけるラベルの条件の確認

次の例で、そのラベル要件をモデルとする企業を仮に Solar Systems 社とします。自社の知的所有権を保護するために、Solar Systems 社の法務部門では、機密度の高い電子メールや印刷物には、次の 3 種のラベルを使用するよう全社員に指示しています。これらのラベルを機密度の高い順番に次に示します。

Solar Proprietary/Confidential: Registered

Solar Proprietary/Confidential: Need To Know

Solar Proprietary/Confidential: Internal Use Only

法務部門では、オプションとして、下記の第 4 のラベルの使用も認めています。このラベルは、制約なしで、だれにでも配布可能な情報に使用します。

Public

情報の機密保護を行うにあたっての問題点

Solar Systems 社では、情報の機密保護 (Information Protection: IP) を担当する責任者は、可能な限りあらゆる方法を利用してラベルの必要性を説いています。社員によっては、ラベルの必要性を理解しなかったり、忘れたり、無視したりする者もいます。ラベルが正しく使用された場合でも、その情報が常に正しく扱われ、保管され、配布されているとは限りません。たとえば、Registered 扱いの情報 (限られた人だけが読むことができ、作成者だけがコピーできる情報) でさえも、だれもいないコピー機やプリンタの横に置いてあったり、休憩室やロビーに置いてあったりするようなことが IP 管理者に報告されています。

• 法務部門では、社員の意識に全面的に頼らずに情報が正確にラベル付けされる確実な方法を求めている

• システム管理者は、次を制御するための確実な方法を求めている

  • 機密度の高い情報をだれが見て、だれがそれに変更を加えられるか

  • どのプリンタにどの情報が出力されているか

  • プリンタ出力がどのように扱われているか

  • 各機密度に応じた情報が電子メールによって内外にどのように配布されているか

Trusted Solaris 機能による情報のラベル付けとアクセス制御機能の処理

Trusted Solaris オペレーティングシステムでは、ラベル付けをコンピュータユーザー任せにはしていません。Trusted Solaris ソフトウェアを実行しているホストからのプリンタ出力はすべて、そのサイト要件に応じて自動的にラベル付けされます。Solar Systems 社の経営陣は、Trusted Solaris オペレーティグシステムを採用することにしました。これは、同製品が、法務部門の要求を満たすと同時にシステム管理者の目的もサポートすることを、経営陣が理解したためです。

同社では、セキュリティ管理について完全に理解されているとはいえませんが、経営陣は、次のような機能をすぐに取り付けることが可能であることは認識しています。

• 各印刷ジョブには、自動的に機密ラベルが割り当てられる。これは、ユーザーが作業をしている機密レベル、またはそのユーザーの責任のレベルに対応したものです。

  図 5-1 は、ある社員が INTERNAL_USE_ONLY の機密レベルで作業しているところを示しています。これは、機密保持契約に署名した Solar Systems 社の社員またはそれに準じるものだけがアクセスできることを意味しています。プリンタに電子メールを送信すると、印刷ジョブには、自動的に機密ラベルの INTERNAL_USE_ONLY が割り当てられます。

図 5-1 印刷ジョブの自動ラベル付け機能

• プリンタは自動的に、企業で指定したラベルを印刷出力の各ページの一番上と一番下に印刷します。

  図 5-1 でプリンタに対して送られた手紙の、すべてのページの一番上と一番下にユーザーの作業ラベルである INTERNAL_USE_ONLY が印刷されて出力されている様子を図 5-2 に示します。

図 5-2 本文ページに自動的に出力されたラベル

• どの印刷ジョブにもバナーページとトレーラページが自動的に作成され、その企業で指定した取り扱いガイドラインとともに出力されます。

  図 5-3 は、印刷ジョブの機密レベルの格付けが NEED_TO_KNOW で、HUMAN_RESOURCEs (人事部) に配布されるものであることを示しています。

図 5-3 バナーページとトレーラページの取り扱いガイドライン

NEED_TO_KNOW HR

DISTRIBUTE ONLY TO HUMAN RESOURCES (NON-DISCLOSURE AGREEMENT REQUIRED)

前の例の機密ラベルの下にあるのが「取り扱い警告」で、印刷物の配布方法に関する指示が書かれています。この取り扱い警告には、その情報は、必要としている人事担当者にのみ配布すること、およびそれを読む人は機密保持契約に署名した者に限ることを意味する内容が書かれています。

• 制限されたラベル範囲内のジョブだけを出力するようにプリンタを設定できます。

  たとえば、図 5-4 で示すように、法務部門のプリンタを、次の 3 つのラベルが付いたジョブだけを出力するように設定できます。

  • NEED_TO_KNOW LEGAL (法務部門でこの情報を知る必要のあるものだけが閲覧できる)

  • INTERNAL_USE_ONLY (機密保持契約に署名した人間と Solar Systems 社の常勤社員だけが閲覧できる)

  • PUBLIC (全員が閲覧できる)

    上記のように設定されたプリンタは、それ以外に設定されたラベルのジョブは、すべて除外します。たとえば、上記のように設定された法務部門のプリンタは、次のレベルのジョブは拒否します。

  • NEED_TO_KNOW MARKETING および

  • REGISTERED

図 5-4 ラベル範囲を限定されたプリンタによる各ラベルのジョブの処理

だれでも使用することができる場所にあるプリンタは、その出力をだれが見てもいいように次の 2 つのラベルが付いたジョブだけを出力するように設定できます。

• INTERNAL_USE_ONLY

• PUBLIC

送信者が作業を行なっている機密レベルに応じて、ラベルが自動的に各電子メールメッセージに割り当てられます。

図 5-5 は、ユーザーのメールアプリケーションの機密ラベルに合わせて電子メールがラベル付けされ、それがメールアプリケーションに送信された様子を示しています。

図 5-5 電子メールの自動ラベル付け機能

プリンタに設定したラベル範囲が特定のプリンタに出力するジョブを制御するのと同様に、ユーザーの持つ機密ラベルの範囲に応じて、その人の受信または発信できる電子メールが制約されます (図 5-6 を参照)。

図 5-6 自分のアカウントラベル範囲内の電子メールを受信するユーザー

• インターネットのゲートウェイを設定して、電子メールをふるいにかけることによって社外に不適切なラベル (PUBLIC 以外のラベル) の電子メールが送信されるのを防ぐことができます。