ラベルのセットの概要

次の事項について決定します。

• 機密ラベルと認可上限を構成する格付けとコンパートメントにラベルをエンコーディングする方法

• プリンタ出力上に印刷する取り扱い指示

  セキュリティ管理者は、図 5-7 に示す大きなボードと使用するラベルの語句を記載した紙片を使用してみました。これによって、関係を視覚化することができ、満足の行くまで、各部分を入れ替えたりして検討を加えることができます。

  セキュリティ管理者は次の事実を発見しました。

• 4 つのラベルは階層構造になっていて、最上位が REGISTERED で、最下位が PUBLIC である

• グループ名を関連付けられるラベルは 1 つだけである

  情報の中で、登録扱いされるものは、情況に応じて限定されるので、REGISTERED にグループ名は不要です。INTERNAL_USE_ONLY は全社員と機密保持契約に署名した人を対象とし、PUBLIC ラベルは全員を対象としているため、これらのラベルはそれ以外の資格を必要としていません。NEED_TO_KNOW ラベルは、 NEED_TO_KNOW MARKETING や NEED_TO_KNOW ENGINEERING のように非階層的な語句と関連付ける必要があります。グループや部門を表す語句をそのユーザーの認可上限に含めることこともできます。これは、そのユーザーの need to know (知る必要性) を確定するためです。

• PUBLIC 以外の各ラベルでは、その情報にアクセスするには機密保持契約に署名する必要があります。

  NON-DISCLOSURE AGREEMENT REQUIRED などの文面を用意しておくと、機密保持契約が必要であることを気づかせる意味で有効です。

• バナーページやトレーラページ上の取り扱い指示は、ラベル上に表示されたグループ名や格付けに基づいてその情報の取り扱い方を明確な表現で示す必要があります。

  プリンタ出力上の機密情報以外にも、取り扱い指示によって機密保持契約が必要とのラベルを出力情報に付けて、機密保持契約が必要であることを利用者に知らせることができます。

図 5-7 ラベルの関係を示す計画ボード例