コンパートメントモードワークステーションのラベル作成: エンコード形式

第 6 章認可範囲と名前情報ラベルのエンコーディング

ACCREDITATION RANGE: セクションでは、システムおよびユーザーの認可範囲と、システム認可範囲に関連したシステム定数を指定します。システム認可範囲は、システムが全体として処理できる機密ラベルのセットであり、最下位機密ラベルと最上位機密ラベルによって定義します。最下位機密ラベルは、ACCREDITATION RANGE: セクションで直接指定しますが、最上位機密ラベルは、エンコーディングファイルに指定した格付けと語句から導かれます。ユーザー認可範囲は、システム認可範囲のサブセットであり、ユーザー認可範囲には、通常の (承認されていない) システムユーザーが設定できる機密ラベル、たとえば、ユーザーがサブジェクトやオブジェクトを作成する際の機密ラベル、既存の機密ラベルを元に作成できる機密ラベルなどが含まれます。

ACCREDITATION RANGE: セクションは、1 つまたは複数の認可範囲の指定に続いて、システム認可範囲に関連した各種の定数、最下位認可上限、最下位機密ラベル、格付けによる最下位保護を指定します。

この節では、例を使用してユーザー認可範囲の概念を説明します。次に、ユーザー認可範囲とシステム認可範囲に関連した定数の指定方法を説明します。

ユーザー認可範囲の指定例

システムのユーザー認可範囲は、通常のユーザーが操作を行えるように意図された機密ラベルの集まりです。ユーザー認可範囲は、概念的には、機密ラベルのリスト (集まり) として捉えることができます。多くのシステムで行われるように、特定の機密ラベルをリストから削除することができます。

なお、ユーザー認可範囲によって機密ラベルに課される制約は、認可上限や情報ラベルには適用されません。

たとえば、コンパートメント A、B、C が許される TS を処理するシステムを考えてみましょう。このようなシステムに設定できるあらゆる機密ラベルのリスト (すなわち、もっとも広いユーザー認可範囲) は、次のとおりです。

TS   TS A   TS B   TS C    TS A B  TS A C   TS B C   TS A B C

ただし、このようなシステムにとってもっと現実的なユーザー認可範囲は、次のとおりです。

TS A B TS A C TS A B C

この例では、コンパートメント B と C は、A と組み合わせてしか処理できません。また A も単独では処理できません。

ユーザー認可範囲の指定

格付けと機密ラベル語句のエンコーディングでは、指定できる機密ラベルのうち、どのラベルが正しい形式であるかを指定します。しかし、これらのエンコーディングに基づいただけでは、指定できるあらゆる機密ラベルが正しい形式であるとは言えないことがあります。上記の例に示すコンパートメント A、B、C があるとすると、コンパートメント C について、A との必須組み合わせが設定されていると、コンパートメント C は、A なしに正しい形式のラベルとして表示することはできません。したがって、この例でいう正しい形式のラベルとは、次のとおりです。

TS   TS A   TS B   TS A B   TS A C   TS A B C

ユーザー認可範囲の指定は、正しい形式の機密ラベルの集まりという観点から記述することができます。

上記の例では、格付けとして TS だけを扱っていますが、ユーザー認可範囲を指定する場合は、一般的に、ユーザー認可範囲に含まれる格付けごとに有効なコンパートメントの組み合わせを指定する必要があります。さらに、正しい形式のコンパートメント同士の組み合わせが必ずしも有効であるとは限らない場合は、有効な組み合わせまたは無効な組み合わせを明示的に指定することによって、有効なコンパートメント同士の組み合わせを指定することができます。

ユーザー認可範囲の指定は、1 つ以上必要です。機密ラベルに表示する格付けごとに、ユーザー認可範囲の指定が 1 つ必要です。各指定は、次に説明するキーワード classification= と、それに続く all compartment combinations valid、all compartment combinations valid except:、または only valid compartment combinations: のいずれかのキーワードで構成されます。

キーワード classification=

キーワード classification= は、ユーザー認可範囲の格付けごとに指定する必要があります。このキーワードに続いて、CLASSFICATIONS: セクションに指定した有効な格付け (短形式名、長形式名、代替名)、および次に説明する 3 つのキーワードのうち 1 つを記述します。格付けの名前は、このキーワードの直後の空白文字に続く最初の空白文字以外の文字から、次のセミコロンまたは改行コードまでと見なされます。指定する名前は、エンコーディングファイルの格付けセクションに指定した格付けの短形式名、長形式名、または代替名のいずれかと一致していなければなりません。

キーワード all compartment combinations valid

キーワード all compartment combinations valid は、直前のキーワード classification= で指定した格付けに関して、正しい形式のコンパートメント同士の組み合わせがすべて有効であることを指定します。すなわち、CLASSIFICATIONS: および SENSITIVITY LABELS: の両セクションのエンコーディング値に基づいた正しい形式のコンパートメントの組み合わせだけが有効です。たとえば、SENSITIVITY LABELS: COMBINATION CONSTRAINTS: に次のような指定があると、

A ! B

コンパートメント B は、格付け指定やユーザー認可範囲の指定に関係なく、コンパートメント A と一緒に機密ラベルに表示することはできません。

次に、キーワード all compartment combinations valid を使用したユーザー認可範囲指定の例を示します。

classification= TS; all compartment combinations valid;

キーワード all compartment combinations valid except:

キーワード all compartment combinations valid except: では、一部の例外的なコンパートメントの組み合わせを除き、直前のキーワード classification= で指定した格付けに関して、すべてのコンパートメントの組み合わせが有効であることを指定します。この例外は、1 行に 1 つずつ指定し、次のキーワードが指定された行でこの指定が終了します。例外に続く各行 (空白行とコメント行を除く) には、機密ラベルを 1 つずつ指定します。これらの機密ラベル行は、classification= または minimum clearance= というキーワードが指定された行で終了します。機密ラベルは少なくとも 1 つ指定する必要があります。

指定する各機密ラベルは、CLASSIFICATIONS: および SENSITIVITY LABELS: の両セクションのエンコーディング値に基づいた正しい形式でなければなりません。さらに、各機密ラベルは、標準形で指定する必要があります。標準形の機密ラベルとは、sname で始まり、続いて SENSITIVITY LABELS: WORDS: で定義した名前を 0 個以上指定したものです。なお、この指定順序は、SENSITIVITY LABELS: セクションでの語句の指定順序と同じです。

機密ラベルは、コンパートメントの組み合わせを指定するために使用します。機密ラベルに指定した格付けは、妥当性チェックが終了したあとは無視されます。ただし、各機密ラベルの格付けは、直前に指定したキーワード classification= と同じでなければなりません。

次に、上述した例を取り上げ、キーワード all compartment combinations valid except: を使用した現実的なユーザー認可範囲の指定例を示します。

classification= TS; all compartment combinations valid except:
TS
TS A
TS B

キーワード only valid compartment combinations:

キーワード only valid compartment combinations: では、一部の例外的なコンパートメントの組み合わせを除き、直前のキーワード classification= で指定した格付けに関して有効なコンパートメントの組み合わせがないことを指定します。この例外は、1 行に 1 つずつ指定し、次のキーワードが指定された行でこの指定が終了します。例外に続く各行 (空白行とコメント行を除く) には、機密ラベルを 1 つずつ指定します。これらの機密ラベル行は、classification= または minimum clearance= というキーワードが指定された行で終了します。機密ラベルは少なくとも 1 つ指定する必要があります。

次に、上述の例を取り上げ、キーワード only valid compartment combinations: を使用した現実的なユーザー認可範囲の指定例を示します。

classification= TS; only valid compartment combinations: 
TS A B
TS A C
TS A B C

付録 B 「説明付きのエンコーディングサンプル」で、上述の各ユーザー認可範囲指定に関してさらに例を示します。

システム認可範囲に関連した定数の指定

ユーザー認可範囲の各格付け指定に続いて、次に示すように、minimum clearance=、minimum sensitivity label=、minimum protect as classification= という各キーワードを使用して、システム認可範囲に関連したシステム定数をいくつか指定します。

キーワード minimum clearance=

ユーザー認可範囲の指定に続いてキーワード minimum clearance= を指定します。このキーワードに続いて、システム上のユーザーの最下位認可上限を指定します。この最下位認可上限は、ユーザーの認可上限を設定する際にシステムによって適用されます。認可上限は、このキーワードの直後の空白文字に続く最初の空白文字以外の文字から、次のセミコロンまたは改行コードまでと見なされます。また、認可上限は、正しい形式でかつ標準形で指定しなければなりません。標準形の認可上限とは、格付けの sname で始まり、続いて、CLEARANCES: WORDS: に指定した名前を 0 個以上指定します。なお、この指定順序は、CLEARANCES: セクションでの語句の指定順序と同じです。この認可上限は、CLEARANCES: に指定したエンコーディング値に基づいて有効でなければなりませんが、認可上限の組み合わせ制約に従う必要はありません (その意味では正しい形式ではありません)。また、ユーザー認可範囲に含まれている必要もありません。

キーワード minimum sensitivity label=

キーワード minimum clearance= に続いて、キーワード minimum sensitivity label= を指定します。このキーワードに続いて、システム上で使用される最下位機密ラベルを指定します。この最下位機密ラベルは、システム認可範囲の下限に相当し、機密ラベルを設定する際にシステムによって適用されます。機密ラベルは、このキーワードの直後の空白文字に続く最初の空白文字以外の文字から、次のセミコロンまたは改行コードまでと見なされます。また、機密ラベルは、正しい形式でかつ標準形で指定しなければなりません。標準形の機密ラベルとは、sname で始まり、続いて SENSITIVITY LABELS: WORDS: で定義した名前を 0 個以上指定したものです。なお、この指定順序は、SENSITIVITY LABELS: セクションでの語句の指定順序と同じです。最下位機密ラベルは、ユーザー認可範囲に含まれている必要はありません。ただし、最下位認可上限は、最下位機密ラベルより優位でなければなりません。

キーワード minimum protect as classification=

キーワード minimum sensitivity label= に続いて、キーワード minimum protect as classification= を指定します。このキーワードに続いて最下位格付けを指定します。あらゆるシステム出力は、別途手作業で見直して、降格しない限り、この最下位格付けのもとに保護されます。格付けの名前は、このキーワードの直後の空白文字に続く最初の空白文字以外の文字から、次のセミコロンまたは改行コードまでと見なされます。指定する名前は、エンコーディングファイルの格付けセクションに指定した格付けの短形式名、長形式名、または代替名のいずれかと一致していなければなりません。ここに指定する格付けは、最下位認可上限の格付けより上位であってはなりません。

図 6–1 の例は、出力を印刷する際に、格付けによる最下位保護がシステムによってどのように使用されるかを示しています。minimum protect as classification に指定された格付けと、データの機密ラベルの格付けのうちもっとも上位のものがバナーページの最上部と最下部、出力の保護方法を説明した警告文に出力されます。

図 6–1 格付けによる最下位保護を示すプリンタバナーの使用例

図は、TOP SECRET がデータに対する格付けによる最下位保護であることを示します。TOP SECRET は、バナーの 3 箇所に出力されます。

名前情報ラベルのエンコーディング

一部のエンコーディングファイルでは、一部の格付け名と語句の名前自体を格付けすることができます。その場合は、オプションの NAME INFORMATION LABELS: セクションを使用して、エンコーディングファイルに指定した情報ラベルの名前を指定します。情報ラベルは、接頭辞と接尾辞も含め、すべての格付けと語句の名前に指定できます。このセクションはまったくのオプションです。指定しない場合は、すべての名前の情報ラベルは、最下位情報ラベルであると仮定されます。このセクションを指定した場合でも、自身の情報ラベルが最下位情報ラベル以外の情報ラベルについては、指定する必要があります。

NAME INFORMATION LABELS: セクションは、0 個以上の情報ラベルの指定から構成されます。各情報ラベルの指定は、キーワード name= を 1 つ以上指定したあと、il= を 1 つ指定します。指定したすべての名前には、指定した単一の情報ラベルが割り当てられます。名前として、格付けの場合は、name、sname、aname を、語句の場合は、name、sname (接頭辞または接尾辞付きの name や sname も含む) を指定することができます。

指定する各情報ラベルは、CLASSIFICATIONS: および INFORMATION LABELS: の両セクションのエンコーディングに基づいた正しい形式でなければなりません。さらに、各情報ラベルは、標準形で指定する必要があります。標準形の情報ラベルとは、格付けの name (sname や aname ではない) で始まり、それに続いて INFORMATION LABELS: WORDS: に指定した名前を 0 個以上指定したものです。なお、この指定順序は、INFORMATION LABELS: セクションでの語句の指定順序と同じです。

次の例は、付録 B 「説明付きのエンコーディングサンプル」に示すのと同じエンコーディング例を引用したもので、名前情報ラベルの指定方法を示しています。たとえば、次のような情報ラベル指定がある場合、

name= bravo1;	il= confidential b;

bravo1 という名前には confidential b という情報ラベルが割り当てられます。bravo1 は、INFORMATION LABELS: セクションだけに記述されています。また、次の指定では、

name= alpha1;

name= alpha2;

name= alpha3;	il= confidential a;

confidential a という情報ラベルが alpha1、alpha2、alpha3 という名前に割り当てられます。alpha1、alpha2、alpha3 は、INFORMATION LABELS: セクションだけに記述されています。また、次の指定では、

name= sa;	il= top secret sa;

top secret sa という情報ラベルが sa という名前に割り当てられます。sa は、INFORMATION LABELS:、、SENSITIVITY LABELS:、および CLEARANCES: の各セクションに記述されています。最後に、次の指定では、

name= (CH A);	il= confidential a;

confidential a という情報ラベルが (CH A) という名前に割り当てられています。(CH A) は、CHANNELS: セクションに複数回記述されています。

第 6 章 認可範囲と名前情報ラベルのエンコーディング