語句をエンコーディングする際の必須アクセス制御に関する考慮点

各語句をエンコーディングする場合は、あらかじめ国家方針という観点から語句の意味を決定しておく必要があります。コンパートメント、サブコンパートメント、SAP、SAPI の場合がそうであるように、必須アクセス制御 (MAC) が語句に基づいて行われなければならないことを国家方針で規定している場合、または語句をコンパートメント (たとえば、付録 B 「説明付きのエンコーディングサンプル」に記載された RELCNTRY1、RELCNTRY2 など、MAC の実行が決定されているリリースマーキング) として扱うよう方針が決定された場合は、そのような語句は、エンコーディングファイルの認可上限セクションと機密ラベルセクションのコンパートメントビットに関連付ける必要があります。また、情報ラベルセクションにも関連付けが必要になる場合もあります。このような語句は、「MAC 語句」と呼ばれます。一方、MAC の決定には直接関与しないものの、MAC の決定に直接関与する語句を示唆する語句は、情報ラベルにしか表示されず、コンパートメントビットとマーキングビットの両方に関連付けられ、「MAC 関連語句」と呼ばれます。最後に、MAC とは無関係の語句は、情報ラベルにしか表示されず、マーキングだけに関連付けられ、「非 MAC 語句」と呼ばれます。

MAC 語句のエンコーディング

前述したように、必須アクセス制御を行わなければならない語句は、コンパートメントビットに関連付け、CLEARANCES:、SENSITIVITY LABELS: の両セクションに指定する必要があります。また、CHANNELS:、PRINTER BANNERS:、INFORMATION LABELS: の各セクションにも指定する必要がある場合もあります。語句を CHANNELS: セクションに記述するのは、それが取り扱いチャネルを表す場合です。語句を PRINTER BANNERS: セクションに記述するのは、それが取り扱いチャネル警告以外の特殊なプリンタバナーマーキングを必要とする場合です。語句を INFORMATION LABELS: セクションに記述するのは、それを情報ラベルに表示したい場合です。情報ラベルには、必須アクセス制御語句を表示するのではなく、必須アクセス制御語句を示唆するコードワードを表示することもできます。

clearances:、sensitivity labels:、channels:、および PRINTER BANNERS: の各セクションにエンコーディングした必須アクセス制御語句は、コンパートメントビットだけに関連付けられます。一方、INFORMATION LABELS: セクションに記述した必須アクセス制御語句は、コンパートメントビットとマーキングビットの両方に関連付けられます。

付録 B 「説明付きのエンコーディングサンプル」に示す語句 A を考えてみましょう。この語句は、CLEARANCES: と SENSITIVITY LABELS: の両セクションでは A という名前で記述され、CHANNELS: セクションでは (CHA) という名前で記述され、値が 1 のコンパートメントビット 0 に関連付けられています。なお、この語句は、INFORMATION LABELS: セクションで値が 1 のコンパートメントビット 0 にも関連付けられていますが、次に述べる理由により、マーキングビットにも関連付けらています。

コンパートメントを表し、通常コンパートメントビットだけに関連付けられると考えられる語句のなかには、情報ラベルでマーキングビットに関連付ける必要があるものがあります。これによって、ほかの情報ラベル語句との階層関係が築かれます。INFORMATION LABELS: セクションで、語句 A はマーキングビット 7 と関連付けられています。A にマーキングビット 7 を指定する理由は、WNINTEL (これは、マーキングビット 7 だけに関連付けられている) より上位に位置する A と階層関係を築くためです。階層関係を築く理由は、WNINTEL という語句は、本来、コンパートメントを直接的に表現または示唆する語句とともにする表示する必要がないものと考えられるからです。すなわち、この階層関係によって WNINTEL という語句は A のような語句とともにラベルに表示されなくなります。

MAC 関連語句のエンコーディング

MAC で直接使用されることはないが、コンパートメントやほかの MAC 語句の存在を示唆する語句は、コンパートメントビットとマーキングビットの両方を使用して INFORMATION LABELS: にエンコーディングします。このような状況が発生するのは、コードワードと呼ばれる複数の語句がコンパートメントに関連付けられている場合です。ユーザーの認可上限は、個々のコードワードについてではなく、コンパートメント全体に設定されます。ただし、情報ラベルにコードワードが存在することは、コンパートメントにデータが存在することを意味します。このような場合、コードワードは、コンパートメント識別のため、コンパートメントビットに関連付けられなければなりません。また、1 つ以上のマーキングビットにも関連付けられなければなりません。これは、MAC 語句の場合とは逆に、語句をコードワードとして区別し、複数のコードワードの中で差別化するためです。このケースの例として、付録 B 「説明付きのエンコーディングサンプル」 に示す alpha1、alpha2、および alpha3 という語句があります。これらの 3 つの語句はいずれも、コンパートメントビット 0 (すなわち、コンパートメント A) に関連付けられていますが、マーキングビットにも関連付けられています。マーキングビットの特定のパターンによって、これらの 3 つのコードワードのうちのどれが存在するのかが分かります。

MAC 関連語句は、必要に応じて PRINTER BANNERS: セクションにもエンコーディングすることができます。この例については、付録 B 「説明付きのエンコーディングサンプル」で取り挙げていません。

非 MAC 関連語句のエンコーディング

MAC と関係ない語句 (コンパートメントとして直接 MAC に関係することも、コードワードとして間接的に MAC に関係することもない語句) は、マーキングビットだけを使用して INFORMATION LABELS: セクションにエンコーディングします。付録 B 「説明付きのエンコーディングサンプル」に示す WNINTEL がこの語句に相当します。

必要に応じて、非 MAC 関連語句は、PRINTER BANNERS: セクションにもエンコーディングすることができます。この例については、付録 B 「説明付きのエンコーディングサンプル」で取り挙げていません。