この章の内容は次のとおりです。
詳細およびその他の参照は、『コンパートメントモードワークステーションのラベル作成: エンコード形式』: 国防情報局 (DIA) 文書 [DDS-2600-6216-93] を参照してください。DIA 参考資料は Trusted Extensions のマニュアルセットに含まれています。DIA 参考資料を使用する場合、Trusted Extensions では情報ラベルおよびその構成要素は使用しないことに注意してください。
ラベルを計画するには、サイトセキュリティーに関する一般的な知識、および label_encodings ファイルの構文に関する具体的な知識が必要です。
作業 |
内容 |
説明 |
---|---|---|
ラベルエンコーディングファイルの検討とその概略 |
サイトセキュリティーポリシーを実施するラベルエンコーディングファイルを作成します。 | |
拡張可能な label_encodings ファイルの作成 |
既存のラベル定義に影響を与えずに変更できるファイルを作成します。 |
正確な label_encodings ファイルを作成するために時間的な余裕を持ちます。
サイトのエンコーディングを作成したりその正確さを高めるには、時間がかかります。正確な label_encodings ファイルをインストールするまで、システムを構成できません。
自分のサイトのセキュリティポリシーを確認します。
多くのサイトは、政府方針に従って開発されたセキュリティーポリシーをすでに持っています。民間企業は、ラベル付けされたセキュリティーの計画に関して経験が浅い場合でも、情報保護の目的の検討から始めることができます。その目的から判断して、ラベルの使用方法に対する常識的な決定を行えます。印刷物や電子メールにラベル付けをする法的な必要が企業に生じた場合、こうしたガイドラインから始めるのがよいでしょう。
例として、第 6 章「例: 組織のラベルの計画」を参照してください。
必要なサイトセキュリティーポリシーの設定については、『Solaris Trusted Extensions 構成ガイド』の付録 A「サイトのセキュリティーポリシー」を参照してください。
米国政府のラベルエンコーディングファイルを検討します。
ファイルについての政府の説明は、『コンパートメントモードワークステーションのラベル作成: エンコード形式』 : 国防情報局文書 [DDS-2600-6216-93] にあります。
サイト用に LOCAL DEFINITIONS セクションをカスタマイズします。
参考および例は、第 5 章「LOCAL DEFINITIONS のカスタマイズ」を参照してください。
Trusted Extensions のインストールの前にエンコーディングを最終確認します。
稼働中のシステムで label_encodings ファイルを変更するのは危険です。詳細は、label_encodings(4) のマニュアルページを参照してください。
次の手順は、あとで安全に拡張できる正確な label_encodings ファイルの作成に役立ちます。
CLASSIFICATIONS および COMPARTMENTS は、あとでセキュリティー管理者役割がテキスト表現を変更できます。ただし、整数値およびビット値を変更すると、重大な問題が発生する可能性があります。
label_encodings ファイルを作成します。
参考として、「エンコーディングファイルのソース」を参照してください。手順については、「ラベルエンコーディングの管理 (作業マップ)」を参照してください。
項目を追加する余地を残します。
格付けの番号付けの際に間を空けます。
たとえば、格付けを番号付けする際に 10 ずつ間を空けます。このように間を空けておけば、あとから格付けを追加できます。
コンパートメントビットに間を空けます。
あとで追加する場合に備えて、コンパートメントビット番号の間を空けておきます。
一部の初期コンパートメントビットを使用しないで、 あとで定義できるようにします。
インバースコンパートメントを使用する場合は、「デフォルト語句とインバース語句」を参照してください。インバースコンパートメントについての詳細は、DIA 参考資料『コンパートメントモードワークステーションのラベル作成: エンコード形式』を参照してください。
サイトの格付けを決定します。
図 1–2 に示すように、定義可能な格付けの総数は 254 です。 格付けに 0 は使用しないでください。
システムは、格付け値 10 は 2 よりセキュリティー上重要であると判断します。セキュリティーレベルの決定にはテキスト表現は使用されません。
同じ格付け値を異なる名前に割り当てることはできません。格付けは、互いに高低の差があるか、無関係である必要があります。2 つのラベルが同一レベルとして評価されることはありません。
格付けの計画のために、表を使用できます。記入例は、表 6–2 を参照してください。
コンパートメントを決定します。
データおよびプログラムのグループ化の方法を決定します。データやプログラムを混在させるかどうかを決定します。たとえば、発注データは、人事ファイルを管理するプログラムから参照できないようにします。また、出荷追跡問題を処理するプログラムからは、発注データにアクセスできるようにします。
ここでユーザーは考慮に入れません。「だれが」ではなく「何を」を検討します。
名前を設計します。
label_encodings ファイルの CLASSIFICATIONS および WORDS には、必須の長形式名と省略可能な短形式名があります。ラベルを指定する場合、短形式名を長形式名に代えて使用できます。
関係を調整します。
コンパートメントは、本来、階層構造ではありません。ただし、コンパートメントが階層関係を持つように設定できます。関係を設定する前に、『コンパートメントモードワークステーションのラベル作成: エンコード形式』の例を参照してください。
この手順を簡単に実行する 1 つの方法として、大きなボード、および格付けとコンパートメントを記した紙片を使用します。例については、図 2–1 を参照してください。この方法によって、関係を視覚化し、満足のいくまで各部分を再調整できます。
ほかの組織のラベルとの互換性が必要なエンコーディングを作成するのでなければ、任意の有効値をコンパートメントビットとして割り当てることができます。ただし、自分の使用している番号とその相互関係を把握しておいてください。
どの認可上限をどのユーザーに割り当てるかを決定します。
認可上限を計画するために表を使用できます。記入例は、表 6–5 を参照してください。
認可上限をユーザーに割り当てる場合、その格付けはユーザーが作業できるすべての格付けより優位にします。認可上限は、ユーザーの最高の作業格付けと同じにできます。認可上限のコンパートメントには、ユーザーが必要とする可能性があるすべてのコンパートメントを含めます。
機密度の低い順からラベルを並べます。
それぞれの語句の定義を、整数、ビットパターン、論理関係式のいずれかの、内部形式と関連付けます。
コンパートメントビットの割り当てを管理するために表を使用できます。記入例は、表 6–4 を参照してください。
SENSITIVITY LABELS の WORDS セクションを INFORMATION LABELS セクションにコピーします。
Trusted Extensions で情報ラベルはサポートされませんが、エンコーディングファイルを有効にするため、INFORMATION LABELS: WORDS: セクションと SENSITIVITY LABELS: WORDS: セクションを同じにする必要があります。
どの色をどのラベルに関連付けるかを決定します。
参考および例は、「ラベルの色の指定」を参照してください。
ラベルの関係を分析します。
Trusted Extensions を設定しているシステムでは、chk_encodings -a コマンドを使用して、ラベルの関係に関する詳細なレポートをファイルに書き込みます。
# chk_encodings -a encodings-file |
label_encodings ファイルはフラットなテキストファイルです。Trusted Extensions を設定しているシステムでは、このファイルのラベルが ADMIN_HIGH であるため、一般ユーザーが読み取ることはできません。label_encodings ファイルの 1 行の最大長は、256 バイトです。このファイルは任意のテキストエディタで編集できます。セキュリティー管理者は、label_encodings ファイルの作成および配布を担当します。
label_encodings ファイルは、どんなシステムでも作成および編集できます。ただし、Trusted Extensions を設定しているホストでファイルを検査およびテストします。
組織によっては、国防情報局 (DIA) の仕様に基づいた政府提供の label_encodings ファイルを使用しています。また、Trusted Extensions パッケージで提供されているエンコーディングファイルのいずれかを基にする組織もあります。
Trusted Extensions では、/etc/security/tsol ディレクトリにサンプルファイルがインストールされます。サンプルをサイトの要件に合わせて変更できます。
Solaris Trusted Extensions ソフトウェアによってインストールされます。
付録 A 「ラベルエンコーディングファイルのサンプル」の例とほぼ同じです。
付録の初めにファイルのラベル構成要素が説明されています。第 6 章「例: 組織のラベルの計画」に、ファイルの作成手順が説明されています。
米国政府の単一レベルファイルです。
米国政府の単一レベルファイルの Sun バージョンです。色の割り当てが異なります。
米国政府のマルチレベルファイルです。
米国政府のマルチレベルファイルの Sun バージョンです。組み合わせの制限が少なく、minimum clearance (最下位の認可上限) が高く、デフォルトユーザーラベルが低く、色が異なります。
あるいは、label_encodings ファイルを最初から作成することもできます。label_encodings ファイルの構文および構造は、「エンコーディングファイルの構文」に示されています。
デフォルトでは、label_encodings.simple ファイルは /etc/security/tsol/label_encodings としてインストールされます。
ACCREDITATION RANGE: classification= public; only valid compartment combinations: public minimum clearance= needtoknow; minimum sensitivity label= public; minimum protect as classification= public; |
ACCREDITATION RANGE 定義は、ユーザーを次のラベルに制限します。
only classification (唯一の格付け) として、PUBLIC が定義されています。
only valid compartment combination (唯一の有効なコンパートメント組み合わせ) として、PUBLIC が定義されています。
minimum clearance (最下位の認可上限) として、NEEDTOKNOW が定義されています。
minimum sensitivity label (最下位の機密ラベル) として、PUBLIC が定義されています。
minimum protect as classification (最下位の機密保護の格付け) として、PUBLIC が定義されています。
格付けセクションを次の図に示します。
ファイルのコンパートメントを次の図に示します。
政府提供ファイルには、label_encodings.single と label_encodings.multi の 2 つがあります。label_encodings.single ファイルは単一レベルであり、label_encodings.multi ファイルは単一レベルファイルのマルチレベルバージョンです。ACCREDITATION RANGE セクションの設定も異なります。ACCREDITATION RANGE セクションは、どの格付けおよびどのコンパートメントが一般ユーザーで使用可能かを定義します。
label_encodings.multi ファイルの ACCREDITATION RANGE 設定を次の抜粋に示します。
ACCREDITATION RANGE: classification= u; all compartment combinations valid; classification= c; all compartment combinations valid; classification= s; all compartment combinations valid; classification= ts; all compartment combinations valid; minimum clearance= c; minimum sensitivity label= u; minimum protect as classification= u; |
ACCREDITATION RANGE で次のように定義されているため、label_encodings.multi ファイルに定義されているすべての格付けおよびコンパートメントの語句をサイトで使用できます。
all compartment combinations valid (すべてのコンパートメント組み合わせが有効) として、UNCLASSIFIED、CLASSIFIED、SECRET、および TOP SECRET が定義されています。
minimum clearance (最下位の認可上限) として、CLASSIFIED が定義されています。
minimum sensitivity label (最下位の機密ラベル) として、UNCLASSIFIED が定義されています。
minimum protect as classification (最下位の機密保護の格付け) として、UNCLASSIFIED が定義されています。
label_encodings.single ファイルの ACCREDITATION RANGE 設定を次の抜粋に示します。
ACCREDITATION RANGE: classification= s; only valid compartment combinations: s a b rel cntry1 minimum clearance= s Able Baker NATIONALITY: CNTRY1; minimum sensitivity label= s A B REL CNTRY1; minimum protect as classification= s; |
ACCREDITATION RANGE 定義は、ユーザーを次のラベルに制限します。
only classification (唯一の格付け) として、SECRET が定義されています。
only valid compartment combination (唯一の有効なコンパートメント組み合わせ) として、SECRET A B REL CNTRY1 が定義されています。
minimum clearance (最下位の認可上限) として、SECRET ABLE BAKER NATIONALITY: CNTRY1 が定義されています。
minimum sensitivity label (最下位の機密ラベル) として、SECRET A B REL CNTRY1 が定義されています。
minimum protect as classification (最下位の機密保護の格付け) として、SECRET が定義されています。
label_encodings ファイルの Sun の実装は、LOCAL DEFINITIONS セクションをサポートします。このセクションは省略可能です。このセクションを既存の label_encodings ファイルに追加できます。セクション冒頭のキーワード内の LOCAL という語は「Sun の実装に対してローカル」であることを意味します。
LOCAL DEFINITIONS セクションのオプションは、ラベル変換オプションを設定し、色をラベルに関連付けます。アプリケーションウィンドウのタイトルバーには、関連付けられている色を背景にしてラベルが表示されます。COLOR NAMES オプションに無効な色が指定されていたり、色が指定されていない場合は、デフォルトの色が表示されます。第 5 章「LOCAL DEFINITIONS のカスタマイズ」に、サイトに合わせて Sun の拡張機能を変更する方法が説明されています。