ラベルのセットの定義

この項では、次のようなラベルの必要不可欠な点をすべて含むリストで、ラベルのセットを定義します。

• 格付け

• その他の語句

• 語句同士の関係

• 各語句の使用に関連付けられた格付けの制約

• 必須アクセス制御における語句の使用目的 (機密ラベルおよび認可上限での)

• システムの出力のラベル付けにおける語句の使用目的

格付けの計画

4 つのラベルは階層構造になっているので、階層的な格付けとしてエンコーディングされます。

法務部門からの承諾を得て、セキュリティ管理者は、ラベル名から Solar Systems Proprietary/Confidential: を削除してラベルを短くしました。格付けでは、ラベルにスラッシュ (/) を使用することは禁止されており、格付けが長いとウィンドウシステムではラベルを読むのが困難になります。ウィンドウ枠に入りきらないラベル名は右端が切れてしまいます。PUBLIC より上位にあるラベル名の切り詰められた名前はすべて、SOLAR SYSTEMS PROPRIETARY CONFIDENTIAL という語句で始まるため、各ウィンドウのフレームを手動で拡張しないことには、区別不能となります。

セキュリティ管理者は、次のラベルを定義しました。

• REGISTERED

• NEED_TO_KNOW

• INTERNAL_USE_ONLY

• PUBLIC

コンパートメントの計画

グループ名は、非階層的なコンパートメントとしてエンコーディングします。コンパートメントは、NEED_TO_KNOW 格付けを持つラベルだけに現れるように制限されます。COMBINATION CONSTRAINTS の下にある ACCREDITATION RANGE の適切な設定によって、コンパートメントは、ある格付けとのみ一緒に表示されるように制限されます。

ユーザーの認可上限は、グループ名が明記されたラベル付きのファイルやディレクトリを、どのユーザーが作成できるか、また NEED_TO_KNOW 格付けと一緒に複数のグループ名が明記されたラベル付きのドキュメントを、特定のユーザーが作成できるかどうかも制御します。

MAC における語句の使用の計画

ユーザー認可上限と、機密ラベルでの格付けやコンパートメントが、必須アクセス制御で使用されます。したがって、法務部門における階層的なラベルやグループ名は、格付けやコンパートメントとして、どの社員が、ファイルにアクセスしたり、その他の作業を行ったりできるかを制御するラベルで使用できるように、エンコーディングする必要があります。

次の例では、Solar Systems 社は、ある機密ラベルを PUBLIC の格付けで定義し、そのラベルをユーザー認可範囲の最下位に割り当てています。また、別の機密ラベルは、PUBLIC のすぐ上位の INTERNAL_USE_ONLY の格付けで定義しています。

認可上限が PUBLIC で、最下位のラベルが PUBLIC の承認されていない社員は、システムを次の範囲で使用できます。

• PUBLIC のワークスペースのみでの作業

• PUBLIC のみでのファイルの作成

• PUBLIC のみでの電子メールの読み取り

• ラベル範囲が PUBLIC のプリンタのみ使用

  それに対して、承認を持たなくても、認可上限が INTERNAL_USE_ONLY の社員は、システムを次の範囲で使用できます。

• PUBLIC または INTERNAL_USE_ONLY のいずれかのワークスペースで作業が可能

• PUBLIC または INTERNAL_USE_ONLY のいずれかで (現在のワークスペースによって異なる) ファイルの作成が可能

• いずれの機密ラベルの電子メールでも送受信が可能

• PUBLIC とラベル付けされたファイルは PUBLIC のラベル範囲のプリンタで出力が可能で、INTERNAL_USE_ONLY とラベル付けされたファイルは INTERNAL_USE_ONLY のラベル範囲のプリンタへの送信が可能

システムの出力のラベル付けにおける語句の使用の計画

プリンタジョブの機密ラベルにグループ名のコンパートメントが含まれていれば、必須プリンタバナーページとトレーラページの文面は次のようになります。

Distribute Only To Group Name (Non-Disclosure Agreement Required)

プリンタ出力ページに所定のラベルを付ける計画

「ラベルなしの出力」承認によって、ユーザーまたはその役割を持つ担当者は、lp -o nolables オプションを指定して、印刷ジョブの本文ページの一番上と一番下にラベルを印刷させないことが可能です。セキュリティ管理者は、この「ラベルなしの出力」承認を全員に許可するか、まったく許可しないかを決定できます。

「PostScript ファイルの出力」承認によって、ユーザーは、PostScript ファイルをプリンタに送信できますが、通常、これは許可されていません。十分な知識を持つユーザーによって、PostScript ファイル中のラベルが変更されてしまう危険性があるためです。

ラベルを印刷しない、文書のマスターコピーの製作をテクニカルライターに許可するには、セキュリティ管理者が、「ラベルなしの出力」と「PostScript ファイルの出力」の 2 つの承認をすべてのテクニカルライターに与えます。

サポート手順の計画

REGISTERED 機密ラベルの付いたファイルまたはディレクトリの保護規則

REGISTERED 語句の入った認可上限を持つユーザーであれば、特別な追加措置を取らない限り、社内のどこにあってもすべての登録 (REGISTERED) 情報にアクセスできることをセキュリティ管理者は認識しています。したがって、その認可上限に登録しているユーザーに対しては、作成者だけが、そのファイルを表示および変更できるように、UNIX のアクセス権を使用することを指示する必要があります。次の例を参照してください。

例 5-1 DAC の使用による登録情報の保護

trusted% getplabel 
R
trusted% mkdir registered.dir
trusted% chmod 700 registered.dir
trusted% cd registered.dir
trusted% touch registered.file
trusted% ls -l
-rwxrwxrwx registered.file
trusted% chmod 600 registered.file
trusted% ls -l
-rw------- registered.file

前の例に示すように、機密ラベルが REGISTERED の情報で作業するとき、そのファイルまたはディレクトリを作成したユーザーが、そのファイルの読み取り許可と書き込み許可を所有者に限定して設定します。また、ディレクトリの場合も、読み取り許可、書き込み許可、検索許可を所有者に限定して設定する必要があります。それによって、REGISTERED と明記された機密ラベルを扱うことのできる他のユーザーがその情報を読み取ることはできなくなります。

プリンタ設定の規則

さまざまな人がアクセスすることができる複数の場所に設置してあるプリンタの設定を表 5-1 に示します。

『Trusted Solaris 管理の手順』マニュアルの「印刷管理」を参照してください。

プリンタ出力の取り扱い上の規則

使用が制限されているプリンタへアクセスする人は、次のことを行う必要があります。

• プリンタバナーページとトレーラページにある指示に従って情報を保護する

• バナーページもトレーラページもないジョブや、バナーページにもトレーラページにも照合ジョブ番号が付与されていないジョブは、シュレッダーにかける

ワークシートによる格付け値の計画

表 5-2 のワークシートは、4 つの格付けごとに定義された名前、階層構造の値を示しています。値 0 は、管理ラベルの ADMIN_LOW のために予約されています。PUBLIC の格付け値は 1 に設定され、他の格付け値は順次それよりも高く設定されています。

ラベルに使用するグループ名は、SENSITIVITY LABELS、CLEARANCES セクションの WORDS で後で指定します。

ワークシートによるコンパートメント値と格付け / コンパートメントの制約の計画

図 5-7 の計画ボードを使用した結果の語句と格付けの関係を表 5-3 で定義しています。3 つ目のカラムの PUBLIC とINTERNAL_USE_ONLY の定義から、この 2 つの格付けは、どのコンパートメントとも一緒にはラベルに表示されません。一方、 NEED_TO_KNOW は、任意のまたはすべてのコンパートメントとともにラベルに表示させることができます。

セキュリティ管理者は、表 5-4 を使用してコンパートメントとマーキングに使用されたビットを追跡します。

ワークシートによる認可上限の計画

ラベルのコンポーネントは、認可上限のユーザーにも割り当てられています。ワークシート形式の認可上限プランナ (表 5-5に示す) は、認可上限内で使用されるようにラベルコンポーネントを定義します。

表 5-5 の略語の解釈を次に示します。

ワークシートによる PRINTER BANNERS の語句の計画

Solar Systems 社の法務部門では、プリンタバナーページとトレーラページに次のような語句を表示させたいと考えています。

Solar Systems Proprietary/Confidential:

PRINTER BANNERS セクションを使用して、印刷ジョブの CMW ラベルに表示される任意のコンパートメントに文字列を関連付けることができます。このエンコーディングでは、NEED_TO_KNOW 格付けだけが、コンパートメントを持ちます。表 5-6 は、表示させる語句を接頭辞として指定し、各コンパートメントに割り当てる方法を示しています。各チャネルに NTK という略語を割り当てると、PRINTER BANNERS セクションの語句は、次のようになります。

Solar Systems Proprietary/Confidential: GROUP_NAME

ワークシートによる CHANNELS の計画

Solar Systems 社の法務部門では、プリンタバナーページとトレーラバナーページに次のような取り扱い上の指示を出力したいと考えています。

DISTRIBUTE ONLY TO GROUP_NAME EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED)

このためには、この例のグループ名に以前割り当てられたのと同じコンパートメントビットを、CHANNELS セクションで割り当てます。Solar Systems 社は、コンパートメントとチャネルの両方に同じグループ名を使用する計画です。

チャネル名の前にくる語句は「接頭辞」として指定され、チャネル名の後にくる語句は「接尾辞」として指定されます。セキュリティ管理者はワークシートで接頭辞と接尾辞を指定します。

ACCREDITATION RANGE ワークシートでの最下位値の計画

次の最下位値を設定する必要があります。

• 最下位値の機密ラベル

• 最下位値の認可上限

• 最下位値の機密保護の格付け

最下位の値としては、最下位の機密ラベル、最下位の認可上限、および最下位の機密保護の格付けを設定する必要があります。Solar Systems 社では、社員が、定義された機密ラベルをすべて使用すること、また PUBLIC 認可上限を一部の社員に割り当てることができるようにしたいため、最下位の機密ラベルと最下位の認可上限には、PUBLIC を設定する必要があります。

最下位の機密保護の格付けが、ジョブの機密ラベルの実際の格付けの代わりに、プリンタバナーページとトレーラページに出力されます。 最下位の機密保護の格付けは、実際の最下位の格付けよりも高く設定することができます。しかし、Solar Systems 社の要件では、最下位の機密保護の格付けを常に印刷ジョブの機密ラベルの真の格付けに等しくすることが許されています。セキュリティ管理者は、下の図に示すように、 最下位の機密ラベル、最下位の認可上限、および最下位の機密保護の格付けの値をすべて PUBLIC として定義します。

COLOR NAMES ワークシートによる色指定の計画

ラベル名がウィンドウの一番上に表示されているときは、機密ラベルに割り当てられている色が背景に表示されます。文字は、背景と補色の関係にある色で表示されます (補色はウィンドウシステムによって演算される)。この例では、次の表に示すように、セキュリティ管理者は、デフォルトの label_encodings(4) ファイルの管理ラベルに割り当てられた色はそのまま使用し、PUBLIC には緑、INTERNAL_USE_ONLY には黄色、NEED_TO_KNOW を含むラベルには青 (コンパートメントが違えば、青に濃淡を付ける)、REGISTERED には赤を割り当てています。