この章では、情報保護に関する会社の目標に合ったラベルの作成について説明します。
次の例でラベル要件を設計する企業を、かりに SecCompany 社とします。自社の知的財産を保護するため、SecCompany 社の法務部門では、機密度の高い電子メールや印刷物に対する 3 種類のラベルの使用を全社員に義務付けています。3 種のラベルは、機密度の高い順に次のとおりです。
SecCompany Confidential: Registered
SecCompany Confidential: Need To Know
SecCompany Confidential: Internal Use Only
法務部門では、省略可能な第 4 のラベル Public の使用も認めています。Public ラベルは制限なしにだれにでも配布可能な情報に使用します。
SecCompany 社の情報の機密保護の担当責任者は、可能な限りあらゆる方法を利用してラベルの必要性を説いています。しかし、その必要性を理解しない従業員もいます。それを忘れたり、無視したりする従業員もいます。ラベルが正しく使用された場合でも、その情報が常に正しく扱われ、保管され、配布されているとは限りません。たとえば、Registered 扱いの情報でさえも、だれもいないところに見つかることのあることが報告されています。Registered 扱いの情報のコピーが、コピー機やプリンタの横に置いてあったり、休憩室やロビーに置いてあったりするのです。
法務部門では、従業員の意識に全面的に頼らずに、情報が適切にラベル付けされる確実な方法を求めています。システム管理者は、次のことを制御するためのより良い方法を求めています。
機密情報をだれが参照または変更できるか
どの情報をどのプリンタに出力するか
プリンタ出力をどのように扱うか
さまざまなセキュリティーレベルの電子メールが会社の内外にどのように配信されるか
Trusted Extensions ソフトウェアは、ラベル付けをコンピュータユーザー任せにしません。Trusted Extensions によって設定されているプリンタサーバーからのすべてのプリンタ出力は、サイトの要件に従って自動的にラベル付けされます。
セキュリティーに対する社内の理解は十分ではありませんでしたが、Trusted Extensions のいくつかの機能を即座に実装できることに、経営陣は気付きました。
印刷ジョブの自動ラベル付け機能
ラベルによりアクセスが制限されるプリンタ
ラベルによりアクセスが制限される電子メール
各印刷ジョブには「ラベル」が自動的に割り当てられます。 これは、ユーザーが作業をしている「レベル」、またはユーザーの責任のレベルに対応します。
図 6–1 は、INTERNAL_USE_ONLY のレベルで作業する従業員を示します。このレベルでは、SecCompany 社の従業員および機密保持契約に署名した者のみがその作業にアクセスできます。この従業員がプリンタに電子メールを送信すると、印刷ジョブにはラベル INTERNAL_USE_ONLY が自動的に割り当てられます。
プリンタによって、会社指定のラベルが、印刷出力の各ページの一番上と一番下に自動的に印刷されます。
図 6–2 は、図 6–1 でプリンタに送信して、ユーザーの作業ラベルで印刷された文書を示します。ラベル INTERNAL_USE_ONLY が各ページの一番上と一番下に印刷されます。
この例は、機密レベルの格付けが NEED_TO_KNOW であり、部門が HUMAN_RESOURCES である印刷ジョブの語句を示します。どの印刷ジョブにもバナーページとトレーラページが自動的に作成され、会社が指定した取り扱いガイドラインとともに出力されます。
NEED_TO_KNOW HR DISTRIBUTE ONLY TO HUMAN RESOURCES (NON-DISCLOSURE AGREEMENT REQUIRED) |
「取り扱い指示」が機密ラベルの下に印刷され、印刷物の配布上の注意が示されます。この注意には、その情報を必要としている人事担当者のみに配布すること、また、それを読む人は機密保持契約に署名した者に限ることが記されています。
制限されたラベル範囲内のジョブだけを出力するようにプリンタを設定できます。たとえば、図 6–3 は、法務部門のプリンタが、次の 3 つのラベルのいずれかが割り当てられたジョブのみを出力するように設定されていることを示します。
NEED_TO_KNOW LEGAL – 法務部門でこの情報を知る必要のある従業員のみが閲覧できる
INTERNAL_USE_ONLY – SecCompany 社の常勤従業員および機密保持契約に署名した顧客が閲覧できる
PUBLIC – 全員が閲覧できる
このプリンタの設定では、それ以外のラベルで送信されるジョブは除外されます。たとえば、ラベル NEED_TO_KNOW MARKETING および REGISTERED のジョブは拒否されます。
すべての従業員が使用できる場所にあるプリンタを、同様に制限できます。たとえば、すべての従業員が見ることができる 2 つのラベル INTERNAL_USE_ONLY および PUBLIC のみのジョブを印刷するように設定できます。
どのジョブを特定のプリンタで印刷できるかをプリンタラベル範囲で制御する方法と同様に、ユーザーの「アカウント機密ラベル範囲」 で、ユーザーが扱える電子メールを制限します。図 6–4 は、ユーザーの電子メールアプリケーションの機密ラベルでラベル付けされる電子メールを示します。電子メールはそのラベルで電子メールアプリケーションに送信されます。
インターネットへのゲートウェイが電子メールを選別するように設定されているので、不適切なラベルの電子メールは社外に送信されません。PUBLIC 以外のラベルがすべて不適切です。
経営陣は、次のような条件に該当する、経験豊富な管理者を選び出します。
信頼性がある
Solaris システムの管理方法を知っている
組織の情報処理の目標を十分に理解し、サイトのセキュリティーを監督または実装できる
このような人が、セキュリティー管理者としての業務に割り当てられます。
セキュリティー管理者は、Trusted Extensions ソフトウェアをインストールするずっと前から、セキュリティーについて学習し、サイトのセキュリティーポリシーの計画を準備します。セキュリティー管理者は、最初に次のマニュアルを読みます。
『Solaris Trusted Extensions 構成ガイド』の「サイトセキュリティーの実現」 – サイトのセキュリティーポリシー作成のガイダンスとして
『Solaris Trusted Extensions ユーザーズガイド』 – ラベルの型とその表示について
『Solaris Trusted Extensions 管理の手順』 – セキュリティー管理者の責任とツールについて
第 1 章「Trusted Extensions ソフトウェアのラベル」 – ラベルの概念の確認として
次に、セキュリティー管理者はサイトのラベルの計画を開始します。計画については、次の節で説明します。
セキュリティ管理者は、法務部門が指定するラベルから開始することが適切だと認めていますが、それをエンコーディングする前にさらに分折する必要があります。
CONFIDENTIAL: INTERNAL_USE_ONLY ラベルは、会社所有の情報のうち、機密レベルが低いので全従業員に配布できます。全従業員は雇用の開始前に機密保持契約に署名しています。このラベルの情報はその他のユーザーにも配布できます。たとえば、機密保持契約に署名したベンダーの従業員や契約社員も、この情報を受け取ることができます。インターネット上では情報がのぞき見される場合があるので、このラベルを持つ情報はインターネット経由で送信することはできません。社内で電子メールで送信することはできます。
CONFIDENTIAL: INTERNAL_USE_ONLY ラベルが適した情報は、次のとおりです。
出費ガイドラインを含むメモ
社内作業の割り当て
CONFIDENTIAL: NEED_TO_KNOW は、会社所有の情報のうち、INTERNAL_USE_ONLY より機密レベルが高く、利用者がより限定される情報向けのラベルです。配布は、この情報を知る必要のある従業員に限定されます。従業員以外でも、機密保持契約に署名した、この情報を知る必要がある者に配布される場合があります。
たとえば、特定のプロジェクトで作業をしているグループだけに情報を表示したい場合は、その情報に対して NEED_TO_KNOW を使用します。特定のグループに情報を限定する場合は、その情報の印刷出力にグループ名を明記します。
ラベルにグループ名を明記することによって、そのグループ外には情報を与えてはならないことが明らかになります。このラベルの情報は、インターネット経由で送信することはできませんが、社内では電子メールで送信できます。
NEED_TO_KNOW ラベルが適した情報は、次のとおりです。
製品設計ドキュメント
プロジェクトの詳細
社員配置部署変更通知
CONFIDENTIAL: REGISTERED は、会社所有の情報のうち、機密レベルが非常に高いので、この情報が社外に漏れた場合、会社に大きな損害を与える可能性があります。登録された (registered) 情報は、所有者が番号を振って追跡します。各コピーは特定の人に割り当てられます。読み終わったあとは所有者に戻されて廃棄されます。コピーはその情報の所有者だけが作成できます。紙の色は、赤茶色を使用されることをお勧めします。この色はコピーすることができません。
このラベルは、限られた 1 つのグループの人だけに会社所有の情報を提示するときに使用されます。この情報の所有者によって承認されている人以外には、この情報を提示できません。情報の所有者がその情報の提示を承認しても、機密保持契約に署名していないほかの会社の従業員には提示されません。このラベルが付いた情報は、電子メールで送信することはできません。
CONFIDENTIAL: REGISTERED ラベルが適した情報は、次のとおりです。
未発表の四半期末会計報告書
売り上げ予測
市場予測
セキュリティー管理者は、グループまたは部門の名前を NEED_TO_KNOW ラベルに含めようと決断しました。セキュリティー管理者が、組織内のグループまたは関心のある分野を定義するのに使用する語句について提案を求めた結果、次のような名前が挙がりました。
技術
経営
財務
人事
法務
製造
マーケティング
営業
システム管理
このあと、セキュリティー管理者は、技術とマーケティングのグループのすべてのメンバーがプロジェクトデータを共有できるように、プロジェクトチームグループを追加しました。
次のステップでは、次の問題を解決します。
格付けとコンパートメントを使用してラベルと認可上限をエンコーディングする
プリンタ出力上に印刷する取り扱い指示
セキュリティー管理者は、大きなボードを使用しました。図 6–5 に示すように、ラベルにする語句が紙片に記されました。これによって関係を視覚化することができ、満足のいくまで各部分を入れ替えたりして検討を加えることができます。
セキュリティー管理者は次の事実を発見しました。
4 つのラベルは階層構造になっていて、最上位が REGISTERED で、最下位が PUBLIC である。
グループ名を関連付けられるラベルは 1 つだけである
登録された情報を受け取れるように認可される者のリストは、それぞれの場合によって制限されます。そのため、REGISTERED にはグループ名は不要です。INTERNAL_USE_ONLY は全従業員と機密保持契約に署名した人を対象とし、PUBLIC ラベルは全員を対象としているため、これらのラベルはそれ以外の資格を必要としていません。 NEED_TO_KNOW ラベルは、NEED_TO_KNOW MARKETING や NEED_TO_KNOW ENGINEERING のように非階層的な語句と関連付ける必要があります。グループや部門を表す語句をそのユーザーの認可上限に含めることこともできます。 これは、そのユーザーの need to know (知る必要性) を確定するためです。
PUBLIC 以外の各ラベルでは、その情報にアクセスするには機密保持契約に署名する必要があります。
NON-DISCLOSURE AGREEMENT REQUIRED などのテキストがあれば、その必要性を気づかせる意味で有効です。
バナーページやトレーラページに示す取り扱い指示は、情報の取り扱い方を明確な表現で示します。情報の取り扱い方は、格付けと、ラベル内のグループ名に基づきます。
プリンタ出力の機密に関する情報に加えて、取り扱い指示には、ラベルが機密保持契約を必要とする場合にその条件を出力します。
この節では、ラベルに関して必要な次の事項をすべて含むリストで、ラベルのセットを定義します。
格付け
その他の語句
語句同士の関係
各語句の使用に関連付けられた格付けの制約
機密ラベルおよび認可上限における語句の使用目的
印刷や電子メールなどのシステム出力の、ラベル付けにおける語句の使用目的
4 つのラベルが階層構造になっているので、それらのラベルは階層的な格付けとしてエンコーディングされます。
法務部門からの承諾を得て、セキュリティー管理者は、ラベル名から SecCompany Confidential: を削除してラベルを短くしました。格付けが長いと、ウィンドウフレームでラベルを読み取るのが困難です。ウィンドウフレームに入りきらないラベル名は右端が切れます。PUBLIC より上位にあるラベル名の切り詰められた名前はすべて、SECCOMPANY という語句で始まるので、各ウィンドウのフレームを手動で拡張しなければ区別できません。
セキュリティー管理者は、次のラベルを定義しました。
REGISTERED
NEED_TO_KNOW
INTERNAL_USE_ONLY
PUBLIC
グループ名は、非階層的な「コンパートメント」としてエンコーディングします。コンパートメントは、NEED_TO_KNOW 格付けを持つラベルだけに現れるように制限されます。コンパートメントの制限は、COMBINATION CONSTRAINTS の ACCREDITATION RANGE セクションにエンコーディングされます。
ユーザー「認可上限」は、ラベルにグループ名があるファイルおよびディレクトリをどのユーザーが作成できるかを制御します。 さらに、NEED_TO_KNOW 格付けとともに複数のグループ名があるラベルを持つドキュメントをどのユーザーが作成できるかも制御します。
ユーザー認可上限および機密ラベルでの格付けやコンパートメントが、必須アクセス制御 (MAC) で使用されます。したがって、法務部門における階層的なラベルやグループ名は、格付けやコンパートメントとしてエンコーディングする必要があります。そうすることによって、これらをラベルで使用して、どの従業員がファイルにアクセスしたりその他の作業を行なったりできるかを制御できるようになります。
SecCompany 社は、ある機密ラベルを PUBLIC の格付けで定義し、そのラベルをユーザー認可範囲の最下位に割り当てています。 また、別の機密ラベルは、PUBLIC のすぐ上位の INTERNAL_USE_ONLY の格付けで定義しています。
認可上限が PUBLIC、最下位ラベルが PUBLIC であり、承認を持たない従業員は、システムを次の範囲で使用できます。
PUBLIC のワークスペースのみでの作業。
PUBLIC のみでのファイルの作成。
PUBLIC のみでの電子メールの読み取り。
ラベル範囲が PUBLIC のプリンタの使用。
それに対して、承認を持たなくても、認可上限が INTERNAL_USE_ONLY の従業員は、システムを次の範囲で使用できます。
PUBLIC または INTERNAL_USE_ONLY のいずれかのワークスペースでの作業。
PUBLIC または INTERNAL_USE_ONLY のいずれか (従業員の現在のワークスペースによって異なる) でのファイルの作成。
いずれかの機密ラベルの電子メールの送受信。
PUBLIC のラベル範囲のプリンタによる PUBLIC とラベル付けされたファイルの印刷。INTERNAL_USE_ONLY のラベル範囲のプリンタへの INTERNAL_USE_ONLY とラベル付けされたファイルの送信。
プリンタジョブの機密ラベルにグループ名のコンパートメントが含まれていれば、必須プリンタバナーページとトレーラページの文面は次のようになります。
Distribute Only To Group Name (Non-Disclosure Agreement Required) |
「ラベルなしの印刷」承認を持つユーザーや役割は、lp -o nolabels オプションを使用できます。このオプションを使用すると、印刷ジョブの本文ページの一番上と一番下のラベルが印刷されません。セキュリティー管理者役割は、この「ラベルなしの印刷」承認を全員に許可するか、まったく許可しないかを決定できます。
「PostScript ファイルの印刷」承認によって、ユーザーは PostScript ファイルをプリンタに送信できます。十分な知識を持つユーザーによって PostScript ファイルのラベルが変更されてしまう危険性があるので、通常は PostScript 印刷は許可されません。
ラベルが印刷されない文書のマスターコピーの製作をテクニカルライターに許可するには、セキュリティー管理者は「ラベルなしの印刷」と「PostScript ファイルの印刷」の 2 つの承認をすべてのテクニカルライターに与えます。
セキュリティー管理者は、ラベル付けの計画を実行するためにセキュリティーポリシーを作成します。
語句 REGISTERED を含む認可上限を持つユーザーであれば、社内のすべての場所にあるすべての登録された情報にアクセスできることを、セキュリティー管理者は認識しています。そこで、追加の対策が必要です。たとえば、認可上限に REGISTERED を持つユーザーに対し、UNIX のアクセス権を使用して自分のファイルを保護するよう指示します。ファイルの参照または変更を作成者のみができるようにアクセス権を設定します。次の例は、任意アクセス制御 (DAC) を適用して REGISTERED ディレクトリの内容を保護するユーザーの場合です。
% plabel REGISTERED % mkdir registered.dir % chmod 700 registered.dir % cd registered.dir % touch registered.file % ls -l -rwxrwxrwx registered.file % chmod 600 registered.file % ls -l -rw------- registered.file |
この例に示すように、機密ラベル REGISTERED で作業してファイルまたはディレクトリを作成するユーザーは、所有者のみにファイルの読み取りと書き込みの権限を設定する必要があります。ディレクトリのアクセス権は、読み取り、書き込み、および検索を、所有者のみが行うことができるように設定します。これによって、REGISTERED で作業できるほかのユーザーでもそのファイルを読み取れなくなります。
次の表は、さまざまな作業グループによって使用されるプリンタの設定方法を示します。
表 6–1 各場所に設置されているプリンタのラベル範囲の設定例
プリンタの設置場所 |
アクセスのタイプ |
ラベル範囲 |
---|---|---|
ロビーや共有の会議室 |
全員 |
PUBLIC 〜 PUBLIC |
社内プリンタルーム |
全従業員および機密保持契約に署名した者 |
〜PUBLIC 〜 INTERNAL_USE_ONLY |
1 つのグループに制限された区域 |
NEED_TO_KNOW group-name コンパートメントで指定されたグループのメンバー |
NEED_TO_KNOW group-name 〜 NEED_TO_KNOW group-name |
厳密に制限された区域 |
認可上限が REGISTERED に格付けされた者のみ |
REGISTERED 〜 REGISTERED |
詳細は、『Solaris Trusted Extensions 管理の手順』の第 15 章「ラベル付き印刷の管理 (手順)」を参照してください。
使用制限されているプリンタにアクセスする人に対して、次のように指示します。
プリンタバナーページとトレーラページにある指示に従って情報を保護すること。
バナーページもトレーラページもないジョブをシュレッダにかけること。また、バナーページにもトレーラページにも照合ジョブ番号が付与されていないジョブもシュレッダにかけること。
次の表のワークシートは、4 つの格付けに定義されている名前および階層値を示しています。値 0 は管理ラベルの ADMIN_LOW のために予約されているので、PUBLIC 格付けの値は 1 に設定され、ほかの格付けの値は順次それよりも高く設定されています。
ラベルのグループ名は、SENSITIVITY LABELS および CLEARANCES セクションの WORDS としてあとで指定します。
name= |
sname=/aname= |
value= |
initial compartments= ビット番号/語句 |
---|---|---|---|
PUBLIC |
PUB |
1 |
なし |
INTERNAL_USE_ONLY |
IUO |
4 |
なし |
NEED_TO_KNOW |
NTK |
5 |
なし |
REGISTERED |
REG |
6 |
なし |
次の表では、語句と格付けの関係を定義します。この関係は、図 6–5 の計画ボードで検討して決定されました。PUBLIC および INTERNAL_USE_ONLY は、いずれのコンパートメントとも、1 つのラベル内で組み合わせることができません。NEED_TO_KNOW は、コンパートメントのいずれか、またはすべてのコンパートメントと、1 つのラベル内で組み合わせることができます。
表 6–3 コンパートメントとユーザー認可範囲の組み合わせの計画シート
格付け |
コンパートメント名/短形式名/ビット |
組み合わせの制約 |
---|---|---|
PUBLIC |
|
PUBLIC のみが有効な組み合わせ |
INTERNAL_USE_ONLY |
|
INTERNAL_USE_ONLY のみが有効な組み合わせ |
NEED_TO_KNOW |
SYSTEM ADMINISTRATION/ SYSADM/ 19 |
NEED_TO_KNOW すべての組み合わせが有効 |
|
MANUFACTURING/ MANU/ 18 |
|
|
ENGINEERING/ ENG/ 17 20 |
|
|
HUMAN RESOURCES/ HR/ 16 |
|
|
MARKETING/ MKTG/ 15 20 |
|
|
LEGAL/ LEGAL/ 14 |
|
|
FINANCE/ FINANCE/ 13 |
|
|
SALES/ SALES/ 12 |
|
|
EXECUTIVE MANAGEMENT GROUP/ EMGT/ 11 |
|
|
ALL_DEPARTMENTS/ ALL/ 11-20 |
|
REGISTERED |
|
REGISTERED のみが有効な組み合わせ |
セキュリティー管理者は次の表を使用して、コンパートメントに使用されたビットを追跡します。
表 6–4 コンパートメントビットの管理表
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
|
ラベルのコンポーネントは、認可上限のユーザーにも割り当てられています。ワークシートの認可上限計画シート (表 6–5) は、認可上限で使用されるラベルコンポーネントを定義します。
表 6–5 のキーは次の通りです。
略語 |
名前 |
---|---|
REG |
REGISTERED |
NTK |
NEED_TO_KNOW |
IUO |
INTERNAL_USE_ONLY |
EMGT |
EXECUTIVE MANAGEMENT GROUP |
SALES |
SALES |
FIN |
FINANCE |
LEGAL |
LEGAL |
MKTG |
MARKETING |
HR |
HUMAN RESOURCES |
ENG |
ENGINEERING |
MANU |
MANUFACTURING |
SYSADM |
SYSTEM ADMINISTRATION |
NDA |
NON-DISCLOSURE AGREEMENT |
表 6–5 認可上限計画シート
CLASS (格付け) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
注釈 |
---|---|---|---|---|---|---|---|---|---|---|
REG |
EMGT |
ENG |
FIN |
HR |
LEGAL |
MANU |
MKTG |
SALES |
SYSADM |
最上位、使用されない*
|
REG |
|
|
|
|
|
|
|
|
|
必要に応じて、限定したスタッフに割り当て**
|
NTK |
|
ENG |
|
|
|
|
|
|
|
ENG グループに割り当て |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SYSADM |
システム管理者に割り当て |
IUO |
|
|
|
|
|
|
|
|
|
従業員に割り当て。および NDA に署名した者 |
PUB |
|
|
|
|
|
|
|
|
|
全員に割り当て |
*システムにおける最上位のラベルで、最上位の格付けと定義されたすべてのコンパートメントが含まれています。組織内の全部門のすべての情報にアクセスできる者はいないので、これは、ユーザー認可範囲には入りません。そのため、この格付けにはだれも割り当てないでください。
**REGISTERED 機密ラベルで作業するとき、ユーザーは所有者以外の全員に対してアクセス制限するようにアクセス権を設定します。ファイルアクセス権 600 およびディレクトリアクセス権 700 でアクセスを制限します。
SecCompany 社の法務部門は、プリンタバナーページとトレーラページに次のテキストを表示させたいと考えています。
SecCompany Confidential: |
PRINTER BANNERS セクションを使用して、印刷ジョブの機密ラベルに表示される任意のコンパートメントに文字列を関連付けることができます。このエンコーディングでは、NEED_TO_KNOW 格付けだけがコンパートメントを持ちます。次の表は、必要な語句を接頭辞として指定し、各コンパートメントに割り当てる方法を示しています。各チャネルに NTK という略語を割り当てると、PRINTER BANNERS セクションの語句に次のようなグループ名が含まれます。
SecCompany Confidential: group-name |
接頭辞 |
プリンタバナー (語句、接頭辞なし) |
---|---|
SECCOMPANY CONFIDENTIAL: |
ALL_DEPARTMENTS |
SECCOMPANY CONFIDENTIAL: |
EXECUTIVE_MANAGEMENT_GROUP |
SECCOMPANY CONFIDENTIAL: |
SALES |
SECCOMPANY CONFIDENTIAL: |
FINANCE |
SECCOMPANY CONFIDENTIAL: |
LEGAL |
SECCOMPANY CONFIDENTIAL: |
MARKETING |
SECCOMPANY CONFIDENTIAL: |
HUMAN_RESOURCES |
SECCOMPANY CONFIDENTIAL: |
ENGINEERING |
SECCOMPANY CONFIDENTIAL: |
MANUFACTURING |
SECCOMPANY CONFIDENTIAL: |
SYSTEM_ADMINISTRATION |
SECCOMPANY CONFIDENTIAL: |
PROJECT_TEAM |
SecCompany 社の法務部門は、プリンタバナーページとトレーラページに次の取り扱い指示を表示させたいと考えています。
DISTRIBUTE ONLY TO group-name EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED) |
そのためには、この例のグループ名に以前割り当てられたのと同じコンパートメントビットを CHANNELS セクションで割り当てます。SecCompany 社は、コンパートメントとチャネルの両方に同じグループ名を使用する計画です。
チャネル名の前にくる語句は「接頭辞」として指定され、チャネル名の後にくる語句は「接尾辞」として指定されます。セキュリティー管理者はワークシートで接頭辞と接尾辞を指定します。
表 6–7 SecCompany 社のチャネル計画シート
接頭辞 |
チャネル |
接尾辞 |
---|---|---|
DISTRIBUTE_ONLY_TO |
EXECUTIVE_MANAGEMENT_GROUP |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
SALES |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
FINANCE |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
LEGAL |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
MARKETING |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
HUMAN_RESOURCES |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
ENGINEERING |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
MANUFACTURING |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
SYSTEM_ADMINISTRATION |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
PROJECT_TEAM |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
次の最下位値を設定する必要があります。
minimun sensitivity label (最下位の機密ラベル)
minimum clearance (最下位の認可上限)
minimum protect as classification (最下位の機密保護の格付け)
SecCompany 社は、従業員がすべての定義済み機密ラベルを使用できるようにしようとしています。さらに、一部の従業員に PUBLIC 認可上限を割り当てられるようにしようとしています。そのため、「minimum sensitivity label (最下位の機密ラベル)」および「minimum clearance (最下位の認可上限)」を PUBLIC に設定する必要があります。
「minimum protect as classification (最下位の機密保護の格付け)」が、ジョブの機密ラベルの実際の格付けの代わりに、プリンタバナーページとトレーラページに出力されます。minimum protect as classification (最下位の機密保護の格付け) は、実際の最下位の格付けよりも高く設定できます。 しかし、SecCompany 社の要件では、minimum protect as classification (最下位の機密保護の格付け) を、印刷ジョブの機密ラベルの実際の格付けと常に等しくすることが許されています。セキュリティー管理者は、minimum sensitivity label (最下位の機密ラベル)、minimum clearance (最下位の認可上限)、およびminimum protect as classification (最下位の機密保護の格付け) に値 PUBLIC を指定します。
ラベル名がウィンドウの一番上に表示されるときは、ラベルに割り当てられている色が背景に表示されます。文字は、背景と補色の関係にある色で表示されます (補色はウィンドウシステムによって演算される)。この例でセキュリティー管理者は、デフォルトの label_encodings ファイルで管理ラベルにすでに割り当てられている色はそのまま使用しています。また管理者は、次の表に示すように、PUBLIC に緑、INTERNAL_USE_ONLY に黄、NEED_TO_KNOW を含むラベルに青 (コンパートメントの違いは青の濃淡で区別)、REGISTERED に赤を割り当てています。
表 6–8 SecCompany 社の色名計画シート
ラベルまたは名前 (label= または name=) |
色 |
---|---|
ADMIN_LOW |
#BDBDBD |
PUBLIC |
緑 |
INTERNAL_USE_ONLY |
黄色 |
NEED_TO_KNOW |
青 |
NEED_TO_KNOW EMGT |
#7FA9EB |
NEED_TO_KNOW SALES |
#87CEFF |
NEED_TO_KNOW FINANCE |
#00BFFF |
NEED_TO_KNOW LEGAL |
#7885D0 |
NEED_TO_KNOW MKTG |
#7A67CD |
NEED_TO_KNOW HR |
#7F7FFF |
NEED_TO_KNOW ENG |
#007FFF |
NEED_TO_KNOW MANU |
#0000BF |
NEED_TO_KNOW PROJECT_TEAM |
#9E7FFF |
NEED_TO_KNOW SYSADM |
#5B85D0 |
NEED_TO_KNOW ALL |
#4D658D |
NEED_TO_KNOW SYSADM |
#5B85D0 |
REGISTERED |
赤 |
ADMIN_HIGH |
#636363 |
インストールチームは、インストールした label_encodings ファイルの印刷コピーおよびオンラインコピーを作成します。このコピーは、セキュリティー管理者役割が提供する新しいバージョンのファイルに問題がある場合に使用します。
セキュリティー管理者役割は、テキストエディタを使って label_encodings ファイルを作成し、「エンコーディングの検査 (Check Encodings)」アクションを使ってファイルを検査します。ファイルが「エンコーディングの検査 (Check Encodings)」アクションの検査に合格すると、新しいファイルをインストールするかどうかを選択できます。セキュリティー管理者役割がインストールを選択すると、「エンコーディングの検査 (Check Encodings)」アクションによって現在のバージョンの label_encodings ファイルがバックアップされ、新しい label_encodings ファイルが作成されます。
次の例は、社名、タイトル、バージョン番号、および日付を変更した、VERSION の文字列です。
VERSION= SecCompany, Inc. Example Version - 2.2 00/04/18 |
次の例は、表 6–2、表 6–3、および表 6–4 に示した SecCompany 社の格付けと値が追加された、CLASSIFICATIONS セクションです。
CLASSIFICATIONS: name= PUBLIC; sname= PUBLIC; value= 1; name= INTERNAL_USE_ONLY; sname= INTERNAL; aname= INTERNAL; value= 4; name= NEED_TO_KNOW; sname= NEED_TO_KNOW; aname= NEED_TO_KNOW; value= 5; name= REGISTERED; sname= REGISTERED; aname= REGISTERED; value= 6; |
格付けには、スラッシュ (/) やコンマ (,) は使用しないでください。格付けは、最下位から順に指定します。
表 6–3 のコンパートメントのエンコーディングを次の例に示します。ラベルに必須組み合わせおよび組み合わせ制約はありません。
SENSITIVITY LABELS: WORDS: name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20; minclass= NEED_TO_KNOW; name= EXECUTIVE_MGT_GROUP; sname= EMGT; compartments= 11; minclass= NEED_TO_KNOW; name= SALES; sname= SALES; compartments= 12; minclass= NEED_TO_KNOW; name= FINANCE; sname= FINANCE; compartments= 13; minclass= NEED_TO_KNOW; name= LEGAL; sname= LEGAL; compartments= 14; minclass= NEED_TO_KNOW; name= MARKETING; sname= MKTG; compartments= 15 20; minclass= NEED_TO_KNOW; name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass= NEED_TO_KNOW; name= ENGINEERING; sname= ENG; compartments= 17 20; minclass= NEED_TO_KNOW; name= MANUFACTURING; sname= MANUFACTURING; compartments= 18; minclass= NEED_TO_KNOW; name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19; minclass= NEED_TO_KNOW; name= PROJECT_TEAM; sname= P_TEAM; compartments= 20; minclass= NEED_TO_KNOW; REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS: |
情報ラベルは使用されませんが、ファイルがエンコーディング検査に合格するためには、 INFORMATION LABELS: WORDS: セクションに値を指定する必要があります。セキュリティー管理者役割は、次の例に示すように、SENSITIVITY LABELS: WORDS: セクションの語句をコピーします。
INFORMATION LABELS: WORDS: name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20; minclass= NEED_TO_KNOW; name= EXECUTIVE_MGT_GROUP; sname= EMGT; compartments= 11; minclass= NEED_TO_KNOW; name= SALES; sname= SALES; compartments= 12; minclass= NEED_TO_KNOW; name= FINANCE; sname= FINANCE; compartments= 13; minclass= NEED_TO_KNOW; name= LEGAL; sname= LEGAL; compartments= 14; minclass= NEED_TO_KNOW; name= MARKETING; sname= MKTG; compartments= 15 20; minclass= NEED_TO_KNOW; name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass= NEED_TO_KNOW; name= ENGINEERING; sname= ENG; compartments= 17 20; minclass= NEED_TO_KNOW; name= MANUFACTURING; sname= MANUFACTURING; compartments= 18; minclass= NEED_TO_KNOW; name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19; minclass= NEED_TO_KNOW; name= PROJECT_TEAM; sname= P_TEAM; compartments= 20; minclass= NEED_TO_KNOW; REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS: |
認可上限の語句は機密ラベルの語句と同じなので、次の例の語句は例 6–5 の語句と同じです。
CLEARANCES: WORDS: name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20; minclass= NEED_TO_KNOW; name= EXECUTIVE_MANAGEMENT_GROUP; sname= EMGT; compartments= 11; minclass= NEED_TO_KNOW; name= SALES; sname= SALES; compartments= 12; minclass= NEED_TO_KNOW; name= FINANCE; sname= FINANCE; compartments= 13; minclass= NEED_TO_KNOW; name= LEGAL; sname= LEGAL; compartments= 14; minclass= NEED_TO_KNOW; name= MARKETING; sname= MKTG; compartments= 15 20; minclass= NEED_TO_KNOW; name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass= NEED_TO_KNOW; name= ENGINEERING; sname= ENG; compartments= 17 20; minclass= NEED_TO_KNOW; name= MANUFACTURING; sname= MANUFACTURING; compartments= 18; minclass= NEED_TO_KNOW; name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19; minclass= NEED_TO_KNOW; name= PROJECT_TEAM; sname= P_TEAM; compartments= 20; minclass= NEED_TO_KNOW; REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS: |
この例は、グループ名コンパートメントごとに 1 つのチャネルでエンコーディングされています。各チャネルは、SENSITIVITY LABELS: WORDS: セクションのコンパートメント語句に割り当てられているのと同じコンパートメントビットを使用します。接頭辞は DISTRIBUTE ONLY TO として定義されています。接尾辞は、(NON-DISCLOSURE AGREEMENT REQUIRED) として定義されています。
DISTRIBUTE ONLY TO group-name (NON-DISCLOSURE AGREEMENT REQUIRED) |
次の例に示すチャネル指定によって、取り扱い指示セクションに目的の語句が作成されます。
次の例に示すように、接頭辞と接尾辞はセクションの冒頭で定義します。コンパートメントはそれらに割り当てられません。接頭辞と接尾辞を使用してチャネルを定義します。
CHANNELS: WORDS: name= DISTRIBUTE_ONLY_TO; prefix; name= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); suffix; name= EXECUTIVE_MANAGEMENT_GROUP; prefix= DISTRIBUTE_ONLY_TO; compartments= 11; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= SALES; prefix= DISTRIBUTE_ONLY_TO; compartments= 12; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= FINANCE; prefix= DISTRIBUTE_ONLY_TO; compartments= 13; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= LEGAL; prefix= DISTRIBUTE_ONLY_TO; compartments= 14; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= MARKETING; prefix= DISTRIBUTE_ONLY_TO; compartments= 15 20; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= HUMAN_RESOURCES; prefix= DISTRIBUTE_ONLY_TO; compartments= 16; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= ENGINEERING; prefix= DISTRIBUTE_ONLY_TO; compartments= 17 20; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= MANUFACTURING; prefix= DISTRIBUTE_ONLY_TO; compartments= 18; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= SYSTEM_ADMINISTRATION; prefix= DISTRIBUTE_ONLY_TO; compartments= 19; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); name= PROJECT_TEAM; prefix= DISTRIBUTE_ONLY_TO; compartments= 20; suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED); |
「プリンタバナー」という用語は、label_encodings ファイルで特別な意味を持ちます。プリンタバナーは、それに関連付けられたコンパートメントがジョブのラベルに明記されているときにプリンタバナーページに表示される文字列のことです。
次のようにプリンタバナーを指定すると、必要な語句が PRINTER BANNERS セクションに作成されます。バナーページの例は、図 4–2 を参照してください。
次の例に示すように、接頭辞はセクションの冒頭で定義します。この接頭辞にはコンパートメントが割り当てられていません。
PRINTER BANNERS: WORDS: name= COMPANY CONFIDENTIAL:; prefix; name= ALL_DEPARTMENTS; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 11-20; name= EXECUTIVE_MANAGEMENT_GROUP; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 11; name= SALES; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 12; name= FINANCE; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 13; name= LEGAL; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 14; name= MARKETING; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 15 20; name= HUMAN_RESOURCES; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 16; name= ENGINEERING; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 17 20; name= MANUFACTURING; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 18; name= SYSTEM_ADMINISTRATION; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 19; name= PROJECT_TEAM; prefix= COMPANY CONFIDENTIAL:; suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 20; |
表 6–3 の組み合わせ制約、および 「認可範囲の最下位の計画」の minimum clearance (最下位の認可上限)、minimum sensitivity label (最下位の機密ラベル)、minimum protect as classification (最下位の機密保護の格付け) は、次の例に示す ACCREDITATION RANGE: セクションでエンコーディングされます。PUBLIC および INTERNAL_USE_ONLY は、いずれのコンパートメントとも、1 つのラベル内で組み合わされないように定義します。NEED_TO_KNOW は、任意の組み合わせのコンパートメントと、1 つのラベル内で組み合わせることができるように定義します。REGISTERED は、コンパートメントとともには表示されないように定義します。
ACCREDITATION RANGE: classification= PUBLIC; only valid compartment combinations: PUBLIC classification= INTERNAL_USE_ONLY; only valid compartment combinations: INTERNAL classification= NEED_TO_KNOW; all compartment combinations valid; classification= REGISTERED; only valid compartment combinations: REGISTERED minimum clearance= PUBLIC; minimum sensitivity label= PUBLIC; minimum protect as classification= PUBLIC; |
SecCompany 社は、LOCAL DEFINITIONS セクションにサイトカラムヘッダーおよび色をエンコーディングします。
ラベルビルダーは、ラベルを設定する必要のあるときは必ず表示されます。次の例は、ラベルビルダーの格付け名およびコンパートメント名のデフォルト値の変更を示します。
次の抜粋は、ラベルビルダーのカラムヘッダーの変更を示します。SecCompany 社のセキュリティー管理者役割はコンパートメント名を変更しました。
Classification Name= Classification; Compartments Name= Department; |
例 6–12 で使用されている色名は、表 6–8 のワークシートから取られています。
COLOR NAMES: label= Admin_Low; color= #bdbdbd; label= PUBLIC; color= green; label= INTERNAL_USE_ONLY; color= yellow; label= NEED_TO_KNOW; color= blue; label= NEED_TO_KNOW EMGT; color= #7FA9EB; label= NEED_TO_KNOW SALES; color= #87CEFF; label= NEED_TO_KNOW FINANCE; color= #00BFFF; label= NEED_TO_KNOW LEGAL; color= #7885D0; label= NEED_TO_KNOW MKTG; color= #7A67CD; label= NEED_TO_KNOW HR; color= #7F7FFF; label= NEED_TO_KNOW ENG; color= #007FFF; label= NEED_TO_KNOW MANUFACTURING; color= #0000BF; label= NEED_TO_KNOW PROJECT_TEAM; color= #9E7FFF; label= NEED_TO_KNOW SYSADM; color= #5B85D0; label= NEED_TO_KNOW ALL; color= #4D658D; label= REGISTERED; color= red; label= Admin_High; color= #636363; * * End of local site definitions |
ラベル付けの決定は、ユーザーおよびプリンタにおいて実行される必要があります。
ユーザーアカウントを設定する場合、セキュリティー管理者役割はすべてのユーザーに対して次を指定する必要があります。
適切な認可上限
ユーザー認可上限の計画については、「ワークシートによる認可上限の計画」を参照してください。
適切な最下位ラベル
ラベルの表示/非表示
詳細は、『Solaris Trusted Extensions 管理の手順』の「Solaris 管理コンソールでのユーザーと権利の管理 (作業マップ)」を参照してください。
セキュリティー管理者役割は、印刷出力にラベル付けするかどうかをカスタマイズできます。手順については、『Solaris Trusted Extensions 管理の手順』の「Trusted Extensions での印刷の管理 (作業マップ)」を参照してください。