この節では、ラベルに関して必要な次の事項をすべて含むリストで、ラベルのセットを定義します。
格付け
その他の語句
語句同士の関係
各語句の使用に関連付けられた格付けの制約
機密ラベルおよび認可上限における語句の使用目的
印刷や電子メールなどのシステム出力の、ラベル付けにおける語句の使用目的
4 つのラベルが階層構造になっているので、それらのラベルは階層的な格付けとしてエンコーディングされます。
法務部門からの承諾を得て、セキュリティー管理者は、ラベル名から SecCompany Confidential: を削除してラベルを短くしました。格付けが長いと、ウィンドウフレームでラベルを読み取るのが困難です。ウィンドウフレームに入りきらないラベル名は右端が切れます。PUBLIC より上位にあるラベル名の切り詰められた名前はすべて、SECCOMPANY という語句で始まるので、各ウィンドウのフレームを手動で拡張しなければ区別できません。
セキュリティー管理者は、次のラベルを定義しました。
REGISTERED
NEED_TO_KNOW
INTERNAL_USE_ONLY
PUBLIC
グループ名は、非階層的な「コンパートメント」としてエンコーディングします。コンパートメントは、NEED_TO_KNOW 格付けを持つラベルだけに現れるように制限されます。コンパートメントの制限は、COMBINATION CONSTRAINTS の ACCREDITATION RANGE セクションにエンコーディングされます。
ユーザー「認可上限」は、ラベルにグループ名があるファイルおよびディレクトリをどのユーザーが作成できるかを制御します。 さらに、NEED_TO_KNOW 格付けとともに複数のグループ名があるラベルを持つドキュメントをどのユーザーが作成できるかも制御します。
ユーザー認可上限および機密ラベルでの格付けやコンパートメントが、必須アクセス制御 (MAC) で使用されます。したがって、法務部門における階層的なラベルやグループ名は、格付けやコンパートメントとしてエンコーディングする必要があります。そうすることによって、これらをラベルで使用して、どの従業員がファイルにアクセスしたりその他の作業を行なったりできるかを制御できるようになります。
SecCompany 社は、ある機密ラベルを PUBLIC の格付けで定義し、そのラベルをユーザー認可範囲の最下位に割り当てています。 また、別の機密ラベルは、PUBLIC のすぐ上位の INTERNAL_USE_ONLY の格付けで定義しています。
認可上限が PUBLIC、最下位ラベルが PUBLIC であり、承認を持たない従業員は、システムを次の範囲で使用できます。
PUBLIC のワークスペースのみでの作業。
PUBLIC のみでのファイルの作成。
PUBLIC のみでの電子メールの読み取り。
ラベル範囲が PUBLIC のプリンタの使用。
それに対して、承認を持たなくても、認可上限が INTERNAL_USE_ONLY の従業員は、システムを次の範囲で使用できます。
PUBLIC または INTERNAL_USE_ONLY のいずれかのワークスペースでの作業。
PUBLIC または INTERNAL_USE_ONLY のいずれか (従業員の現在のワークスペースによって異なる) でのファイルの作成。
いずれかの機密ラベルの電子メールの送受信。
PUBLIC のラベル範囲のプリンタによる PUBLIC とラベル付けされたファイルの印刷。INTERNAL_USE_ONLY のラベル範囲のプリンタへの INTERNAL_USE_ONLY とラベル付けされたファイルの送信。
プリンタジョブの機密ラベルにグループ名のコンパートメントが含まれていれば、必須プリンタバナーページとトレーラページの文面は次のようになります。
Distribute Only To Group Name (Non-Disclosure Agreement Required) |
「ラベルなしの印刷」承認を持つユーザーや役割は、lp -o nolabels オプションを使用できます。このオプションを使用すると、印刷ジョブの本文ページの一番上と一番下のラベルが印刷されません。セキュリティー管理者役割は、この「ラベルなしの印刷」承認を全員に許可するか、まったく許可しないかを決定できます。
「PostScript ファイルの印刷」承認によって、ユーザーは PostScript ファイルをプリンタに送信できます。十分な知識を持つユーザーによって PostScript ファイルのラベルが変更されてしまう危険性があるので、通常は PostScript 印刷は許可されません。
ラベルが印刷されない文書のマスターコピーの製作をテクニカルライターに許可するには、セキュリティー管理者は「ラベルなしの印刷」と「PostScript ファイルの印刷」の 2 つの承認をすべてのテクニカルライターに与えます。
セキュリティー管理者は、ラベル付けの計画を実行するためにセキュリティーポリシーを作成します。
語句 REGISTERED を含む認可上限を持つユーザーであれば、社内のすべての場所にあるすべての登録された情報にアクセスできることを、セキュリティー管理者は認識しています。そこで、追加の対策が必要です。たとえば、認可上限に REGISTERED を持つユーザーに対し、UNIX のアクセス権を使用して自分のファイルを保護するよう指示します。ファイルの参照または変更を作成者のみができるようにアクセス権を設定します。次の例は、任意アクセス制御 (DAC) を適用して REGISTERED ディレクトリの内容を保護するユーザーの場合です。
% plabel REGISTERED % mkdir registered.dir % chmod 700 registered.dir % cd registered.dir % touch registered.file % ls -l -rwxrwxrwx registered.file % chmod 600 registered.file % ls -l -rw------- registered.file |
この例に示すように、機密ラベル REGISTERED で作業してファイルまたはディレクトリを作成するユーザーは、所有者のみにファイルの読み取りと書き込みの権限を設定する必要があります。ディレクトリのアクセス権は、読み取り、書き込み、および検索を、所有者のみが行うことができるように設定します。これによって、REGISTERED で作業できるほかのユーザーでもそのファイルを読み取れなくなります。
次の表は、さまざまな作業グループによって使用されるプリンタの設定方法を示します。
表 6–1 各場所に設置されているプリンタのラベル範囲の設定例
プリンタの設置場所 |
アクセスのタイプ |
ラベル範囲 |
---|---|---|
ロビーや共有の会議室 |
全員 |
PUBLIC 〜 PUBLIC |
社内プリンタルーム |
全従業員および機密保持契約に署名した者 |
〜PUBLIC 〜 INTERNAL_USE_ONLY |
1 つのグループに制限された区域 |
NEED_TO_KNOW group-name コンパートメントで指定されたグループのメンバー |
NEED_TO_KNOW group-name 〜 NEED_TO_KNOW group-name |
厳密に制限された区域 |
認可上限が REGISTERED に格付けされた者のみ |
REGISTERED 〜 REGISTERED |
詳細は、『Solaris Trusted Extensions 管理の手順』の第 15 章「ラベル付き印刷の管理 (手順)」を参照してください。
使用制限されているプリンタにアクセスする人に対して、次のように指示します。
プリンタバナーページとトレーラページにある指示に従って情報を保護すること。
バナーページもトレーラページもないジョブをシュレッダにかけること。また、バナーページにもトレーラページにも照合ジョブ番号が付与されていないジョブもシュレッダにかけること。
次の表のワークシートは、4 つの格付けに定義されている名前および階層値を示しています。値 0 は管理ラベルの ADMIN_LOW のために予約されているので、PUBLIC 格付けの値は 1 に設定され、ほかの格付けの値は順次それよりも高く設定されています。
ラベルのグループ名は、SENSITIVITY LABELS および CLEARANCES セクションの WORDS としてあとで指定します。
name= |
sname=/aname= |
value= |
initial compartments= ビット番号/語句 |
---|---|---|---|
PUBLIC |
PUB |
1 |
なし |
INTERNAL_USE_ONLY |
IUO |
4 |
なし |
NEED_TO_KNOW |
NTK |
5 |
なし |
REGISTERED |
REG |
6 |
なし |
次の表では、語句と格付けの関係を定義します。この関係は、図 6–5 の計画ボードで検討して決定されました。PUBLIC および INTERNAL_USE_ONLY は、いずれのコンパートメントとも、1 つのラベル内で組み合わせることができません。NEED_TO_KNOW は、コンパートメントのいずれか、またはすべてのコンパートメントと、1 つのラベル内で組み合わせることができます。
表 6–3 コンパートメントとユーザー認可範囲の組み合わせの計画シート
格付け |
コンパートメント名/短形式名/ビット |
組み合わせの制約 |
---|---|---|
PUBLIC |
|
PUBLIC のみが有効な組み合わせ |
INTERNAL_USE_ONLY |
|
INTERNAL_USE_ONLY のみが有効な組み合わせ |
NEED_TO_KNOW |
SYSTEM ADMINISTRATION/ SYSADM/ 19 |
NEED_TO_KNOW すべての組み合わせが有効 |
|
MANUFACTURING/ MANU/ 18 |
|
|
ENGINEERING/ ENG/ 17 20 |
|
|
HUMAN RESOURCES/ HR/ 16 |
|
|
MARKETING/ MKTG/ 15 20 |
|
|
LEGAL/ LEGAL/ 14 |
|
|
FINANCE/ FINANCE/ 13 |
|
|
SALES/ SALES/ 12 |
|
|
EXECUTIVE MANAGEMENT GROUP/ EMGT/ 11 |
|
|
ALL_DEPARTMENTS/ ALL/ 11-20 |
|
REGISTERED |
|
REGISTERED のみが有効な組み合わせ |
セキュリティー管理者は次の表を使用して、コンパートメントに使用されたビットを追跡します。
表 6–4 コンパートメントビットの管理表
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
|
ラベルのコンポーネントは、認可上限のユーザーにも割り当てられています。ワークシートの認可上限計画シート (表 6–5) は、認可上限で使用されるラベルコンポーネントを定義します。
表 6–5 のキーは次の通りです。
略語 |
名前 |
---|---|
REG |
REGISTERED |
NTK |
NEED_TO_KNOW |
IUO |
INTERNAL_USE_ONLY |
EMGT |
EXECUTIVE MANAGEMENT GROUP |
SALES |
SALES |
FIN |
FINANCE |
LEGAL |
LEGAL |
MKTG |
MARKETING |
HR |
HUMAN RESOURCES |
ENG |
ENGINEERING |
MANU |
MANUFACTURING |
SYSADM |
SYSTEM ADMINISTRATION |
NDA |
NON-DISCLOSURE AGREEMENT |
表 6–5 認可上限計画シート
CLASS (格付け) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
COMP (コンパートメント) |
注釈 |
---|---|---|---|---|---|---|---|---|---|---|
REG |
EMGT |
ENG |
FIN |
HR |
LEGAL |
MANU |
MKTG |
SALES |
SYSADM |
最上位、使用されない*
|
REG |
|
|
|
|
|
|
|
|
|
必要に応じて、限定したスタッフに割り当て**
|
NTK |
|
ENG |
|
|
|
|
|
|
|
ENG グループに割り当て |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SYSADM |
システム管理者に割り当て |
IUO |
|
|
|
|
|
|
|
|
|
従業員に割り当て。および NDA に署名した者 |
PUB |
|
|
|
|
|
|
|
|
|
全員に割り当て |
*システムにおける最上位のラベルで、最上位の格付けと定義されたすべてのコンパートメントが含まれています。組織内の全部門のすべての情報にアクセスできる者はいないので、これは、ユーザー認可範囲には入りません。そのため、この格付けにはだれも割り当てないでください。
**REGISTERED 機密ラベルで作業するとき、ユーザーは所有者以外の全員に対してアクセス制限するようにアクセス権を設定します。ファイルアクセス権 600 およびディレクトリアクセス権 700 でアクセスを制限します。
SecCompany 社の法務部門は、プリンタバナーページとトレーラページに次のテキストを表示させたいと考えています。
SecCompany Confidential: |
PRINTER BANNERS セクションを使用して、印刷ジョブの機密ラベルに表示される任意のコンパートメントに文字列を関連付けることができます。このエンコーディングでは、NEED_TO_KNOW 格付けだけがコンパートメントを持ちます。次の表は、必要な語句を接頭辞として指定し、各コンパートメントに割り当てる方法を示しています。各チャネルに NTK という略語を割り当てると、PRINTER BANNERS セクションの語句に次のようなグループ名が含まれます。
SecCompany Confidential: group-name |
接頭辞 |
プリンタバナー (語句、接頭辞なし) |
---|---|
SECCOMPANY CONFIDENTIAL: |
ALL_DEPARTMENTS |
SECCOMPANY CONFIDENTIAL: |
EXECUTIVE_MANAGEMENT_GROUP |
SECCOMPANY CONFIDENTIAL: |
SALES |
SECCOMPANY CONFIDENTIAL: |
FINANCE |
SECCOMPANY CONFIDENTIAL: |
LEGAL |
SECCOMPANY CONFIDENTIAL: |
MARKETING |
SECCOMPANY CONFIDENTIAL: |
HUMAN_RESOURCES |
SECCOMPANY CONFIDENTIAL: |
ENGINEERING |
SECCOMPANY CONFIDENTIAL: |
MANUFACTURING |
SECCOMPANY CONFIDENTIAL: |
SYSTEM_ADMINISTRATION |
SECCOMPANY CONFIDENTIAL: |
PROJECT_TEAM |
SecCompany 社の法務部門は、プリンタバナーページとトレーラページに次の取り扱い指示を表示させたいと考えています。
DISTRIBUTE ONLY TO group-name EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED) |
そのためには、この例のグループ名に以前割り当てられたのと同じコンパートメントビットを CHANNELS セクションで割り当てます。SecCompany 社は、コンパートメントとチャネルの両方に同じグループ名を使用する計画です。
チャネル名の前にくる語句は「接頭辞」として指定され、チャネル名の後にくる語句は「接尾辞」として指定されます。セキュリティー管理者はワークシートで接頭辞と接尾辞を指定します。
表 6–7 SecCompany 社のチャネル計画シート
接頭辞 |
チャネル |
接尾辞 |
---|---|---|
DISTRIBUTE_ONLY_TO |
EXECUTIVE_MANAGEMENT_GROUP |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
SALES |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
FINANCE |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
LEGAL |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
MARKETING |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
HUMAN_RESOURCES |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
ENGINEERING |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
MANUFACTURING |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
SYSTEM_ADMINISTRATION |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
DISTRIBUTE_ONLY_TO |
PROJECT_TEAM |
EMPLOYEES (NON-DISCLOSURE_AGREEMENT_REQUIRED) |
次の最下位値を設定する必要があります。
minimun sensitivity label (最下位の機密ラベル)
minimum clearance (最下位の認可上限)
minimum protect as classification (最下位の機密保護の格付け)
SecCompany 社は、従業員がすべての定義済み機密ラベルを使用できるようにしようとしています。さらに、一部の従業員に PUBLIC 認可上限を割り当てられるようにしようとしています。そのため、「minimum sensitivity label (最下位の機密ラベル)」および「minimum clearance (最下位の認可上限)」を PUBLIC に設定する必要があります。
「minimum protect as classification (最下位の機密保護の格付け)」が、ジョブの機密ラベルの実際の格付けの代わりに、プリンタバナーページとトレーラページに出力されます。minimum protect as classification (最下位の機密保護の格付け) は、実際の最下位の格付けよりも高く設定できます。 しかし、SecCompany 社の要件では、minimum protect as classification (最下位の機密保護の格付け) を、印刷ジョブの機密ラベルの実際の格付けと常に等しくすることが許されています。セキュリティー管理者は、minimum sensitivity label (最下位の機密ラベル)、minimum clearance (最下位の認可上限)、およびminimum protect as classification (最下位の機密保護の格付け) に値 PUBLIC を指定します。
ラベル名がウィンドウの一番上に表示されるときは、ラベルに割り当てられている色が背景に表示されます。文字は、背景と補色の関係にある色で表示されます (補色はウィンドウシステムによって演算される)。この例でセキュリティー管理者は、デフォルトの label_encodings ファイルで管理ラベルにすでに割り当てられている色はそのまま使用しています。また管理者は、次の表に示すように、PUBLIC に緑、INTERNAL_USE_ONLY に黄、NEED_TO_KNOW を含むラベルに青 (コンパートメントの違いは青の濃淡で区別)、REGISTERED に赤を割り当てています。
表 6–8 SecCompany 社の色名計画シート
ラベルまたは名前 (label= または name=) |
色 |
---|---|
ADMIN_LOW |
#BDBDBD |
PUBLIC |
緑 |
INTERNAL_USE_ONLY |
黄色 |
NEED_TO_KNOW |
青 |
NEED_TO_KNOW EMGT |
#7FA9EB |
NEED_TO_KNOW SALES |
#87CEFF |
NEED_TO_KNOW FINANCE |
#00BFFF |
NEED_TO_KNOW LEGAL |
#7885D0 |
NEED_TO_KNOW MKTG |
#7A67CD |
NEED_TO_KNOW HR |
#7F7FFF |
NEED_TO_KNOW ENG |
#007FFF |
NEED_TO_KNOW MANU |
#0000BF |
NEED_TO_KNOW PROJECT_TEAM |
#9E7FFF |
NEED_TO_KNOW SYSADM |
#5B85D0 |
NEED_TO_KNOW ALL |
#4D658D |
NEED_TO_KNOW SYSADM |
#5B85D0 |
REGISTERED |
赤 |
ADMIN_HIGH |
#636363 |