ラベルのセットの定義

この節では、ラベルに関して必要な次の事項をすべて含むリストで、ラベルのセットを定義します。

• 格付け

• その他の語句

• 語句同士の関係

• 各語句の使用に関連付けられた格付けの制約

• 機密ラベルおよび認可上限における語句の使用目的

• 印刷や電子メールなどのシステム出力の、ラベル付けにおける語句の使用目的

格付けの計画

4 つのラベルが階層構造になっているので、それらのラベルは階層的な格付けとしてエンコーディングされます。

法務部門からの承諾を得て、セキュリティー管理者は、ラベル名から SecCompany Confidential: を削除してラベルを短くしました。格付けが長いと、ウィンドウフレームでラベルを読み取るのが困難です。ウィンドウフレームに入りきらないラベル名は右端が切れます。PUBLIC より上位にあるラベル名の切り詰められた名前はすべて、SECCOMPANY という語句で始まるので、各ウィンドウのフレームを手動で拡張しなければ区別できません。

セキュリティー管理者は、次のラベルを定義しました。

• REGISTERED

• NEED_TO_KNOW

• INTERNAL_USE_ONLY

• PUBLIC

コンパートメントの計画

グループ名は、非階層的な「コンパートメント」としてエンコーディングします。コンパートメントは、NEED_TO_KNOW 格付けを持つラベルだけに現れるように制限されます。コンパートメントの制限は、COMBINATION CONSTRAINTS の ACCREDITATION RANGE セクションにエンコーディングされます。

ユーザー「認可上限」は、ラベルにグループ名があるファイルおよびディレクトリをどのユーザーが作成できるかを制御します。 さらに、NEED_TO_KNOW 格付けとともに複数のグループ名があるラベルを持つドキュメントをどのユーザーが作成できるかも制御します。

MAC における語句の使用の計画

ユーザー認可上限および機密ラベルでの格付けやコンパートメントが、必須アクセス制御 (MAC) で使用されます。したがって、法務部門における階層的なラベルやグループ名は、格付けやコンパートメントとしてエンコーディングする必要があります。そうすることによって、これらをラベルで使用して、どの従業員がファイルにアクセスしたりその他の作業を行なったりできるかを制御できるようになります。

SecCompany 社は、ある機密ラベルを PUBLIC の格付けで定義し、そのラベルをユーザー認可範囲の最下位に割り当てています。 また、別の機密ラベルは、PUBLIC のすぐ上位の INTERNAL_USE_ONLY の格付けで定義しています。

認可上限が PUBLIC、最下位ラベルが PUBLIC であり、承認を持たない従業員は、システムを次の範囲で使用できます。

• PUBLIC のワークスペースのみでの作業。

• PUBLIC のみでのファイルの作成。

• PUBLIC のみでの電子メールの読み取り。

• ラベル範囲が PUBLIC のプリンタの使用。

  それに対して、承認を持たなくても、認可上限が INTERNAL_USE_ONLY の従業員は、システムを次の範囲で使用できます。

• PUBLIC または INTERNAL_USE_ONLY のいずれかのワークスペースでの作業。

• PUBLIC または INTERNAL_USE_ONLY のいずれか (従業員の現在のワークスペースによって異なる) でのファイルの作成。

• いずれかの機密ラベルの電子メールの送受信。

• PUBLIC のラベル範囲のプリンタによる PUBLIC とラベル付けされたファイルの印刷。INTERNAL_USE_ONLY のラベル範囲のプリンタへの INTERNAL_USE_ONLY とラベル付けされたファイルの送信。

システム出力のラベル付けにおける語句の使用の計画

プリンタジョブの機密ラベルにグループ名のコンパートメントが含まれていれば、必須プリンタバナーページとトレーラページの文面は次のようになります。

Distribute Only To Group Name (Non-Disclosure Agreement Required)

ラベルなしのプリンタ出力の計画

「ラベルなしの印刷」承認を持つユーザーや役割は、lp -o nolabels オプションを使用できます。このオプションを使用すると、印刷ジョブの本文ページの一番上と一番下のラベルが印刷されません。セキュリティー管理者役割は、この「ラベルなしの印刷」承認を全員に許可するか、まったく許可しないかを決定できます。

「PostScript ファイルの印刷」承認によって、ユーザーは PostScript ファイルをプリンタに送信できます。十分な知識を持つユーザーによって PostScript ファイルのラベルが変更されてしまう危険性があるので、通常は PostScript 印刷は許可されません。

ラベルが印刷されない文書のマスターコピーの製作をテクニカルライターに許可するには、セキュリティー管理者は「ラベルなしの印刷」と「PostScript ファイルの印刷」の 2 つの承認をすべてのテクニカルライターに与えます。

サポート手順の計画

セキュリティー管理者は、ラベル付けの計画を実行するためにセキュリティーポリシーを作成します。

REGISTERED ファイルまたはディレクトリを保護するための規則

語句 REGISTERED を含む認可上限を持つユーザーであれば、社内のすべての場所にあるすべての登録された情報にアクセスできることを、セキュリティー管理者は認識しています。そこで、追加の対策が必要です。たとえば、認可上限に REGISTERED を持つユーザーに対し、UNIX のアクセス権を使用して自分のファイルを保護するよう指示します。ファイルの参照または変更を作成者のみができるようにアクセス権を設定します。次の例は、任意アクセス制御 (DAC) を適用して REGISTERED ディレクトリの内容を保護するユーザーの場合です。

例 6–2 DAC の使用による登録情報の保護

% plabel 
REGISTERED
% mkdir registered.dir
% chmod 700 registered.dir
% cd registered.dir
% touch registered.file
% ls -l
-rwxrwxrwx registered.file
% chmod 600 registered.file
% ls -l
-rw------- registered.file

この例に示すように、機密ラベル REGISTERED で作業してファイルまたはディレクトリを作成するユーザーは、所有者のみにファイルの読み取りと書き込みの権限を設定する必要があります。ディレクトリのアクセス権は、読み取り、書き込み、および検索を、所有者のみが行うことができるように設定します。これによって、REGISTERED で作業できるほかのユーザーでもそのファイルを読み取れなくなります。

プリンタ設定の規則

次の表は、さまざまな作業グループによって使用されるプリンタの設定方法を示します。

詳細は、『Solaris Trusted Extensions 管理の手順』の第 15 章「ラベル付き印刷の管理 (手順)」を参照してください。

プリンタ出力の取り扱い上の規則

使用制限されているプリンタにアクセスする人に対して、次のように指示します。

• プリンタバナーページとトレーラページにある指示に従って情報を保護すること。

• バナーページもトレーラページもないジョブをシュレッダにかけること。また、バナーページにもトレーラページにも照合ジョブ番号が付与されていないジョブもシュレッダにかけること。

ワークシートによる格付け値の計画

次の表のワークシートは、4 つの格付けに定義されている名前および階層値を示しています。値 0 は管理ラベルの ADMIN_LOW のために予約されているので、PUBLIC 格付けの値は 1 に設定され、ほかの格付けの値は順次それよりも高く設定されています。

ラベルのグループ名は、SENSITIVITY LABELS および CLEARANCES セクションの WORDS としてあとで指定します。

ワークシートによるコンパートメント値と組み合わせ制約の計画

次の表では、語句と格付けの関係を定義します。この関係は、図 6–5 の計画ボードで検討して決定されました。PUBLIC および INTERNAL_USE_ONLY は、いずれのコンパートメントとも、1 つのラベル内で組み合わせることができません。NEED_TO_KNOW は、コンパートメントのいずれか、またはすべてのコンパートメントと、1 つのラベル内で組み合わせることができます。

セキュリティー管理者は次の表を使用して、コンパートメントに使用されたビットを追跡します。

ワークシートによる認可上限の計画

ラベルのコンポーネントは、認可上限のユーザーにも割り当てられています。ワークシートの認可上限計画シート (表 6–5) は、認可上限で使用されるラベルコンポーネントを定義します。

表 6–5 のキーは次の通りです。

*システムにおける最上位のラベルで、最上位の格付けと定義されたすべてのコンパートメントが含まれています。組織内の全部門のすべての情報にアクセスできる者はいないので、これは、ユーザー認可範囲には入りません。そのため、この格付けにはだれも割り当てないでください。

**REGISTERED 機密ラベルで作業するとき、ユーザーは所有者以外の全員に対してアクセス制限するようにアクセス権を設定します。ファイルアクセス権 600 およびディレクトリアクセス権 700 でアクセスを制限します。

ワークシートによるプリンタバナーの計画

SecCompany 社の法務部門は、プリンタバナーページとトレーラページに次のテキストを表示させたいと考えています。

SecCompany Confidential:

PRINTER BANNERS セクションを使用して、印刷ジョブの機密ラベルに表示される任意のコンパートメントに文字列を関連付けることができます。このエンコーディングでは、NEED_TO_KNOW 格付けだけがコンパートメントを持ちます。次の表は、必要な語句を接頭辞として指定し、各コンパートメントに割り当てる方法を示しています。各チャネルに NTK という略語を割り当てると、PRINTER BANNERS セクションの語句に次のようなグループ名が含まれます。

SecCompany Confidential: group-name

ワークシートによるチャネルの計画

SecCompany 社の法務部門は、プリンタバナーページとトレーラページに次の取り扱い指示を表示させたいと考えています。

DISTRIBUTE ONLY TO group-name EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED)

そのためには、この例のグループ名に以前割り当てられたのと同じコンパートメントビットを CHANNELS セクションで割り当てます。SecCompany 社は、コンパートメントとチャネルの両方に同じグループ名を使用する計画です。

チャネル名の前にくる語句は「接頭辞」として指定され、チャネル名の後にくる語句は「接尾辞」として指定されます。セキュリティー管理者はワークシートで接頭辞と接尾辞を指定します。

認可範囲の最下位の計画

次の最下位値を設定する必要があります。

• minimun sensitivity label (最下位の機密ラベル)

• minimum clearance (最下位の認可上限)

• minimum protect as classification (最下位の機密保護の格付け)

SecCompany 社は、従業員がすべての定義済み機密ラベルを使用できるようにしようとしています。さらに、一部の従業員に PUBLIC 認可上限を割り当てられるようにしようとしています。そのため、「minimum sensitivity label (最下位の機密ラベル)」および「minimum clearance (最下位の認可上限)」を PUBLIC に設定する必要があります。

「minimum protect as classification (最下位の機密保護の格付け)」が、ジョブの機密ラベルの実際の格付けの代わりに、プリンタバナーページとトレーラページに出力されます。minimum protect as classification (最下位の機密保護の格付け) は、実際の最下位の格付けよりも高く設定できます。 しかし、SecCompany 社の要件では、minimum protect as classification (最下位の機密保護の格付け) を、印刷ジョブの機密ラベルの実際の格付けと常に等しくすることが許されています。セキュリティー管理者は、minimum sensitivity label (最下位の機密ラベル)、minimum clearance (最下位の認可上限)、およびminimum protect as classification (最下位の機密保護の格付け) に値 PUBLIC を指定します。

ワークシートによる色の計画

ラベル名がウィンドウの一番上に表示されるときは、ラベルに割り当てられている色が背景に表示されます。文字は、背景と補色の関係にある色で表示されます (補色はウィンドウシステムによって演算される)。この例でセキュリティー管理者は、デフォルトの label_encodings ファイルで管理ラベルにすでに割り当てられている色はそのまま使用しています。また管理者は、次の表に示すように、PUBLIC に緑、INTERNAL_USE_ONLY に黄、NEED_TO_KNOW を含むラベルに青 (コンパートメントの違いは青の濃淡で区別)、REGISTERED に赤を割り当てています。