種類の異なるラベルに語句を指定する際の一貫性

情報ラベル、機密ラベル、認可上限といった 3 種類のラベルのコンポーネントとして、多くの語句を指定する必要があります。通常、機密ラベルに指定する語句は、認可上限にも情報ラベルにも指定します。

(認可上限の語句は名前や接頭辞の指定が機密ラベルとは異なっても、その意味は機密ラベル語句と同じであることがあります。これは、語句が同じコンパートメントビットと関連付けられているからです。なぜ認可上限語句の接頭辞だけが機密ラベル語句と異なるかの理由については、第 5 章「機密ラベル、認可上限、チャネル、プリンタバナーのエンコーディング」を参照してください。情報ラベルの語句は名前が機密ラベルとは異なっても、その意味は機密ラベル語句と同じであることがあります。これは、語句が同じコンパートメントビットと関連付けられているからです。また、情報ラベルに表示されない語句と同じコンパートメントビットパターンを指定した別の語句が、情報ラベルに表示されることがあります。)

同じ語句を種類の異なる複数のラベルに表示する場合は、これらの語句の指定が各ラベルでできるだけ一貫するように細心の注意を払う必要があります。特に、異なるラベルに指定する同一の語句は、minclass と maxclass が同じでなければなりません。また、このような語句は、組み合わせという観点からも同じ必須組み合わせと組み合わせ制約を指定する必要があります。なお、この場合、組み合わせる相手の語句も複数のラベルに存在することになります。矛盾した指定を行うと予期せぬ結果を招くことがあります。

たとえば、オブジェクトの機密ラベルの格付けとコンパートメントを、そのオブジェクトの情報ラベルの格付けとコンパートメントと等価にすることで、機密ラベルを降格するシステムを考えてみましょう。例 7–1 のエンコーディングも検討します。これらのエンコーディングでは、同じオブジェクトに関して CONFIDENTIAL A は有効な情報ラベルであり、SECRET A B は有効な機密ラベルです。しかし、このシステムの「機密ラベルを情報ラベルの格付けおよびコンパートメントにまで降格させる」機能を実行すると、機密ラベルは、CONFIDENTIAL A に降格します。このような機密ラベルは、次の 2 つの理由により無効です。1) 機密ラベル内の語句 A は、SECRET という最下位の格付けを持ち、2) 語句 A は、機密ラベルで語句 B を必要とするためです。語句 A を情報ラベルと機密ラベルで一貫してエンコーディングした場合は、このような問題が回避されます。

例 7–1 一貫性を欠くエンコーディング例

CLASSIFICATIONS: 
		NAME= CONFIDENTIAL;   SNAME= C; VALUE= 4;
		NAME= SECRET; SNAME= C; VALUE= 5; 

INFORMATION LABELS:
		WORDS:
			NAME= A;   COMPARTMENTS= 2;  MINCLASS= C;
			NAME= B;   COMPARTMENTS= 3;  MINCLASS= C;
		REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS  

SENSITIVITY LABELS:
		WORDS:
		NAME= A;   COMPARTMENTS= 2;  MINCLASS= S;
		NAME= B;   COMPARTMENTS= 3;  MINCLASS= C;
		REQUIRED COMBINATIONS: A  B
		COMBINATION CONSTRAINTS