コンパートメントモードワークステーションのラベル作成: エンコード形式

第 5 章 機密ラベル、認可上限、チャネル、プリンタバナーのエンコーディング

本章で説明するエンコーディングは、同様な構造を持ちます。

機密ラベルのエンコーディング

セクション SENSITIVITY LABELS: では、人が読める機密ラベルを構成する語句だけでなく、これらの語句の必須組み合わせと組み合わせ制約を指定します。このセクションは、格付けを持たない機密ラベル語句を内部的なビット文字列の形式に変換したり、この逆を行なったりする際にシステムによって使用されます。

セクション SENSITIVITY LABELS: では、必ず、INFORMATION LABELS: セクションで関連付けたコンパートメントビットとまったく同じコンパートメントビットに語句を関連付けなければなりません。さらに、INFORMATION LABELS: セクションに指定した語句のうち、通常の (インバースではない) コンパートメントビットに関連付けられている各語句については、それらのビットより優位の (同等ではない) コンパートメントビットに関連付けられている語句を SENSITIVITY LABELS: に指定することはできません。ただし、機密ラベル語句が別名の場合はこの限りではありません。また、SENSITIVITY LABELS: セクションに指定したインバースコンパートメント語句ごとに、対応するインバースビット語句を INFORMATION LABELS: セクションに指定しなければなりません。ここでいう対応するインバースビット語句とは、機密ラベル語句のコンパートメントビットより劣位のコンパートメントビットを持ち、かつそのマーキングに通常のビットが含まれていない語句のことです。

SENSITIVITY LABELS: セクションの構造は、INFORMATION LABELS: セクションの構造と同じですが、次の点で異なります。

  1. キーワード markings= を指定できない。これは、定義により機密ラベルはマーキングを持たないと規定されているからです。

  2. アクセス関連キーワードを指定できない。これは、機密ラベルのコンポーネントはすべてアクセス関連であるため、このようなキーワードを指定することは冗長だからです。

情報ラベルセクションで説明したその他のキーワードはすべて機密ラベルのセクションにも指定できます。使用目的、ルール、制約、および警告事項も同じです。

INFORMATION LABELS: と SENSITIVITY LABELS: の両セクションに関するもう 1 つの相違点は、機密ラベル語句をエンコーディングファイルに記述する場合、情報を扱う機関では、機密度のもっとも低い語句から最初に記述することです。

第 7 章「エンコーディングを指定する際の一般的な考慮事項」で、機密ラベルのエンコーディングを指定する際の非常に重要な考慮点について検討します。

認可上限のエンコーディング

CLEARANCES: セクションでは、人が読める形式のユーザー認可上限を構成する語句を指定するだけでなく、語句の必須組み合わせと組み合わせ制約も指定します。このセクションは、格付けを持たない認可上限を表す語句を、人が読める形式から内部的なビット文字列形式に変換したり、この逆を行なったりする際にシステムによって使用されます。

CLEARANCES: セクションの構造は、SENSITIVITY LABELS: セクションの構造と同じです。実際に、CLEARANCES: セクションと SENSITIVITY LABELS: セクションが同じ場合が多数あります。機密ラベルとは異なる必須組み合わせや組み合わせ制限が認可上限に存在する場合、または規定によって認可上限のコンパートメント名が対応する機密ラベルのコンパートメント名と若干異なる場合に CLEARANCES: セクションを別に追加して、システムをより柔軟にします。

CLEARANCES: セクションでは、必ず、INFORMATION LABELS: および SENSITIVITY LABELS: の両セクションで関連付けたコンパートメントビットとまったく同じコンパートメントビットに語句を関連付けなければなりません。さらに、SENSITIVITY LABELS: セクションに指定した語句のうち、通常の (インバースではない) コンパートメントビットに関連付けられている各語句については、それらのビットより優位の (同等ではない) コンパートメントビットに関連付けられている語句を CLEARANCES: セクションに指定することはできません。ただし、認可上限語句がエイリアスである場合はこの限りではありません。また、CLEARANCES: セクションに指定したインバースコンパートメント語句ごとに、対応するインバースビット語句を SENSITIVITY LABELS: セクションに指定しなければなりません。ただし、ここでいう対応するインバースビット語句とは、認可上限のコンパートメントビットより劣位のコンパートメントビットが設定された語句を示します。

付録 B 「説明付きのエンコーディングサンプル」のエンコーディングサンプルでは、CLEARANCES: の組み合わせ制約が SENSITIVITY LABELS: の組み合わせ制約と異なる場合を示しています。このような例が発生するのは、リリース先を示すコンパートメントが機密ラベルにエンコーディングされている場合です。付録 B 「説明付きのエンコーディングサンプル」 の例で、REL CNTRY1 および REL CNTRY2 は、リリース先を示すコンパートメントとして扱われます。機密ラベルに REL CNTRY1 が設定されていると、REL CNTRY1 というコンパートメントが設定されている認可上限を持つシステムユーザーだけにデータがリリースされることを意味します。

認可上限セクションでは、接頭辞 REL は NATIONALITY: と呼ばれるもので、認可上限にこの語句を指定すると、ユーザーの国籍が指定されます。したがって、機密ラベルに REL CNTRY2 を設定すると、NATIONALITY: CNTRY2 というコンパートメントが設定されている認可上限を持つシステムユーザーだけにデータをリリースできることを意味します。機密ラベルに REL CNTRY1/CNTRY2 が設定されていると、NATIONALITY: CNTRY1 または NATIONALITY: CTRY2 のいずれかのコンパートメントが設定されている認可上限を持つシステムユーザーだけにデータをリリースできることを意味します。したがって、機密ラベルに REL CNTRY1 と REL CNTRY2 の両方を指定することにはまったく問題がありません。

しかし、認可上限についてはこのことは当てはまりません。認可上限に NATIONALITY: CNTRY1 を設定すると、ユーザーは CNTRY1 の国民であることを意味します。同様に、認可上限に NATIONALITY: CTRY2 を設定すると、ユーザーは CNTRY2 の国民であることを意味します。ただし、ユーザーを複数の国の国民として扱うことは、ほとんどのシステムで無意味です。したがって、NATIONALITY: CNTRY1 と NATIONALITY: CNTRY2 の両方を認可上限に指定することは無効であり、次の認可上限の組み合わせ制約によってこれを防止することができます。

NATIONALITY: CNTRY1 !  NATIONALITY: CNTRY2

第 7 章「エンコーディングを指定する際の一般的な考慮事項」で、認可上限のエンコーディング指定に関する非常に重要な考慮点について検討します。

チャネルのエンコーディング

CHANNELS: セクションでは、人が読める「HANDLE VIA...」という、プリンタのバナーページに表示される取り扱い警告を構成する語句を指定します。このセクションは、機密ラベルの内部形式を、人が読める適切な取り扱いチャネル警告に変換するためにシステムによって使用されます。図 5–1 の例では、取り扱いチャネル警告が表示されたプリンタのバナーページのフォーマットを示しています。このセクションは、人が読める取り扱い警告を内部形式に変換する際には使用されないため、REQUIRED COMBINATIONS: と COMBINATION CONSTRAINTS: の各サブセクションは必要ありません。したがって、CHANNELS: セクションには、WORDS: というサブセクションしかありません。

CHANNELS: WORDS: というサブセクションの構造は、SENSITIVITY LABELS: WORDS: というサブセクションの構造と似ています。ただし、sname=、iname=、minclass=、maxclass=というキーワードは、取り扱い警告には関係ないので無視されます。

いずれの場合も、INFORMATION LABELS:、SENSITIVITY LABELS:、CLEARANCES: の各セクションで語句に関連付けられていないコンパートメントビットについては、CHANNELS: セクションで語句を関連付けることはできません。

図 5–1 チャネル文字列を表す印刷バナーの例

図は、チャネル文字列「HANDLE VIA (CH BY|CH A) CHANNELS JOINTLY」が行「TOP SECRET」の上にあるプリンタバナーを示します。

プリンタバナーのエンコーディング

PRINTER BANNERS: セクションでは、プリンタのバナーページに表示される必要がある人が読める警告のうち「HANDLE VIA...」以外の警告を構成する語句を指定します。CHANNELS: セクションでは、通常、機密ラベルのメイン (サブではない) コンパートメントに基づいて「HANDLE VIA...」という警告を指定しますが、PRINTER BANNERS: セクションでは、コンパートメントビットまたはマーキングビットに基づいて警告を指定します。このセクションは、機密ラベルの内部形式を、対応する情報ラベルのマーキングとともに、人が読める取り扱い禁止チャネル警告に変換するとき、システムによって使用されます。図 5–2 の例は、取り扱い禁止チャネル警告が表示されたプリンタのバナーページのフォーマットを示しています。このセクションは、人が読める取り扱い警告を内部形式に変換する際には使用されないため、REQUIRED COMBINATIONS: と COMBINATION CONSTRAINTS: の各サブセクションは必要ありません。したがって、PRINTER BANNERS: セクションには、WORDS: というサブセクションしかありません。

PRINTER BANNERS: WORDS: というサブセクションの構造は、CHANNELS: WORDS: サブセクションの構造と同じです。ただし、上述した理由によりキーワード markings= を指定できます。sname=、iname=、minclass=、maxclass= というキーワードは、プリンタバナー警告には関係ないので指定できません。指定しても無視されます。

いずれの場合も、INFORMATION LABELS:、SENSITIVITY LABELS:、CLEARANCES: の各セクションで語句に関連付けられていないコンパートメントビットについては、PRINTER BANNERS: セクションで語句を関連付けることはできません。また、INFORMATION LABELS: セクションで語句に関連付けられていないマーキングビットについても、語句を関連付けることはできません。

図 5–2 プリンタバナーのエンコーディングを表す文字列

図は、エンコーディング文字列「FULL SA NAME」がチャネルと TOP SECRET の行の上にあるプリンタバナーを示します。