データ・ラベルおよびユーザー・ラベル

2 データ・ラベルおよびユーザー・ラベル

データ・ラベルおよびユーザー・ラベルの基本的な概念を理解しておく必要があります。

ラベルベース・セキュリティについて
ラベルベース・セキュリティは、機密データへのアクセスを柔軟に制御する手段を提供します。
ユーザー・ラベルと権限管理について
ユーザーのラベルと権限を管理するには、SA_USER_ADMINパッケージに対するEXECUTE権限を持ち、policy_DBAロールを付与されている必要があります。
ラベル・コンポーネント
ラベルで使用される要素を理解しておく必要があります。
ラベルの構文とタイプ
ラベル・コンポーネントを定義した後、レベル、区分およびグループの特定セットを組み合せてデータ・ラベルを作成できます。
データ・ラベルとユーザー・ラベルの相互動作
ユーザーがアクセスできるのは、各自のラベル認可の範囲内にあるデータのみです。
ラベルの管理
Oracle Label Securityには、データベース内で使用するラベルを定義および管理するための管理インタフェースが用意されています。

親トピック: 「Oracle Label Securityスタート・ガイド」

2.1 ラベルベース・セキュリティについて

ラベルベース・セキュリティは、機密データへのアクセスを柔軟に制御する手段を提供します。

Oracle Label Securityでは、データへのアクセスは、ユーザーの識別情報とラベル、およびデータの機密性とラベルに基づいて制御されます。ラベル・セキュリティは、ユーザーが表やビューなどのオブジェクト内のデータに対して実行できる操作を決定する任意アクセス制御以外の保護を追加します。

表2-1に、Oracle Label Securityポリシーがデータへのアクセス制御に使用する3つのディメンションを示します。

表2-1 Oracle Label Securityのデータ・ディメンション

データ・ディメンション	説明
データ・ラベル	データの行ラベルは、その行の機密性のレベルと性質を示し、ユーザーがその行にアクセスするために満たす必要のある追加の基準を指定します。
ユーザー・ラベル	ユーザー・ラベルは、ユーザーの機密レベルに加えてユーザーのアクセスをラベル付きデータに制約する区分とグループを指定します。各ユーザーには、レベル、区分およびグループの範囲が割り当てられ、各セッションはその認可範囲内で動作してその範囲内のラベル付きデータにアクセスできます。
ポリシー権限	ユーザーに、特殊な操作を実行する権利(権限)、またはそのラベル認可を超えてデータにアクセスする権利(権限)を付与できます。

ここでの説明はデータへのアクセスに関するものです。アクセス・タイプは、データの読取りまたは書込みのいずれかです。

データベース表にOracle Label Securityポリシーが適用されると、各行のラベルを格納するために表に1列が追加されます。管理者は、この列を表示するか非表示にするかを選択できます。

関連トピック

アクセス制御および権限

親トピック: データ・ラベルおよびユーザー・ラベル

2.2 ユーザー・ラベルと権限管理について

ユーザーのラベルと権限を管理するには、SA_USER_ADMINパッケージに対するEXECUTE権限を持ち、policy_DBAロールを付与されている必要があります。

SA_USER_ADMINパッケージには、Oracle Label Securityユーザーのセキュリティ属性を管理するためのプロシージャとファンクションが用意されています。また、ユーザーのレベル、区分およびグループを指定するなど、ユーザー・ラベルをコンポーネント別に管理できるように複数のプロシージャが含まれています。さらに、コンポーネントではなくラベル全体の文字列表現を受け入れるプロシージャもあります。レベル、区分およびグループのパラメータでは、各コンポーネントに対して定義された短縮名が使用されることに注意してください。

すべてのラベルおよび権限情報は、Oracle Label Securityのデータ・ディクショナリ表に格納されます。ユーザーがデータベースに接続すると、Oracle Label Securityのデータ・ディクショナリに格納されている情報に基づいてそのセッション・ラベルが確立されます。

ユーザーを複数のポリシーに基づいて認可できることに注意してください。

関連トピック

親トピック: データ・ラベルおよびユーザー・ラベル

2.3 ラベル・コンポーネント

ラベルで使用される要素を理解しておく必要があります。

ラベル・コンポーネントの定義および有効な文字
ラベルは、複数のコンポーネントを持つ単一の属性です。
レベルの機密性コンポーネント
レベルは、ラベルを付ける情報の機密性を示すランキングです。
区分コンポーネント
区分はラベル付きデータの機密性を記述する領域であり、レベルに対して、さらに細分化したレベルを提供します。
グループ・コンポーネントについて
グループは、EASTERN_REGION、WESTERN_REGION、WR_SALESなど、データを所有する組織またはデータにアクセスする組織を識別します。
業界別のレベル、区分およびグループの例
Oracle Label Securityのレベル、区分、グループは、各業界に導入できるように設計されています。

親トピック: データ・ラベルおよびユーザー・ラベル

2.3.1 ラベル・コンポーネントの定義および有効な文字

ラベルは、複数のコンポーネントを持つ単一の属性です。

すべてのラベルにはレベル・コンポーネントを含める必要がありますが、区分コンポーネントとグループ・コンポーネントはオプションです。管理者は、ラベルを作成する前にラベル・コンポーネントを定義する必要があります。

ラベルは、データ・レコードの機密性とユーザーの機密性認可を示します。ユーザーがデータを表示できるようにするには、データ・ラベルよりもユーザー・ラベルが優先される必要があります。

管理者はラベル・コンポーネントに詳細名と短縮名の両方を定義しますが、検索時に表示されるのは短縮名のみです。ユーザーがラベルを操作する際は、コンポーネントの短縮名のみが使用されます。短縮名の例を、次の表の「例」列に示します。

表2-2 機密性ラベルのコンポーネント

コンポーネント説明例

コンポーネント	説明	例
レベル	ラベルにはレベル・コンポーネントを含める必要があります。機密性レベルの仕様を使用して、データの機密性、およびユーザーに認可されている最大機密性レベルを示します。機密性レベルは数値で順序付けされます。	`C` (`CONFIDENTIAL`のかわり) (1) `S` (`SENSITIVE`のかわり) (2) `HS` (`HIGHLY_SENSITIVE`のかわり) (3)
区分	ラベルに関連付けられた0個以上のコンポーネント	`FINCL` (`FINANCIAL`のかわり) `CHEM` (`CHEMICAL`のかわり) `OP` (`OPERATIONAL`のかわり)
グループ	データ・ラベル内の0個以上のグループは、データへのアクセスを許可されているグループを示します。ユーザー・ラベルには、ユーザーが認可されているグループが含まれます。グループは通常、地理的または組織的であり、階層にも含めることができます。	`ER` (`EASTERN_REGION`のかわり) `WR` (`WESTTERN_REGION`のかわり)

レベル

ラベルにはレベル・コンポーネントを含める必要があります。

機密性レベルの仕様を使用して、データの機密性、およびユーザーに認可されている最大機密性レベルを示します。機密性レベルは数値で順序付けされます。

C (CONFIDENTIALのかわり) (1)
S (SENSITIVEのかわり) (2)
HS (HIGHLY_SENSITIVEのかわり) (3)

区分

ラベルに関連付けられた0個以上のコンポーネント

FINCL (FINANCIALのかわり)
CHEM (CHEMICALのかわり)
OP (OPERATIONALのかわり)

グループ

データ・ラベル内の0個以上のグループは、データへのアクセスを許可されているグループを示します。ユーザー・ラベルには、ユーザーが認可されているグループが含まれます。グループは通常、地理的または組織的であり、階層にも含めることができます。

ER (EASTERN_REGIONのかわり)
WR (WESTTERN_REGIONのかわり)

すべてのラベル・コンポーネント指定に有効な文字には、英数字、アンダースコアおよび空白も含まれます。(先頭および後続の空白は無視されます。)

次の図に、レベル、区分およびグループを使用してデータを論理的に分類できる3つのディメンションを示します。

図2-1 レベル、区分およびグループを持つデータ・カテゴリ

「図2-1 レベル、区分およびグループを持つデータ・カテゴリ」の説明

親トピック: ラベル・コンポーネント

2.3.2 レベル機密性コンポーネント

レベルは、ラベルを付ける情報の機密性を示すランキングです。

情報の機密性が高いほど、レベルも高くなります。情報の機密性が低いほど、レベルも低くなります。

ラベルには必ず1つのレベルを含める必要があります。Oracle Label Securityでは、1つのポリシーに最大10,000のレベルを定義できます。レベルごとに、Oracle Label Security管理者が数値書式、詳細名および必須の簡易名を定義する必要があります。

表2-2にレベルの例を示します。

表2-3 レベルの例

数値	詳細名	短縮名
`40`	`HIGHLY_SENSITIVE`	`HS`
`30`	`SENSITIVE`	`S`
`20`	`CONFIDENTIAL`	`C`
`10`	`PUBLIC`	`P`

表2-4に、レベルを指定する様々な方法を示します。

表2-4 レベル指定の書式

書式説明

書式	説明
数値(タグとも呼ばれる)	数値のレベルは0から9999です。機密性はこの数値でランキングされるため、機密性の高いレベルほど大きい数値、機密性の低いレベルほど小さい数値を割り当てる必要があります。表2-3では、40 (`HIGHLY_SENSITIVE`)は30、20および10より上位レベルです。管理者は、レベルの数値に連番を使用しないようにします。適切な方法は、レベル間に等間隔の増分(50や100など)を使用することです。これにより、既存の2つのレベル間に後からレベルを追加挿入できます。
詳細名	レベルの詳細名は80文字以内です。
短縮名	短縮名は30文字以内です。

数値(タグとも呼ばれる)

数値のレベルは0から9999です。機密性はこの数値でランキングされるため、機密性の高いレベルほど大きい数値、機密性の低いレベルほど小さい数値を割り当てる必要があります。表2-3では、40 (HIGHLY_SENSITIVE)は30、20および10より上位レベルです。

管理者は、レベルの数値に連番を使用しないようにします。適切な方法は、レベル間に等間隔の増分(50や100など)を使用することです。これにより、既存の2つのレベル間に後からレベルを追加挿入できます。

詳細名

レベルの詳細名は80文字以内です。

短縮名

短縮名は30文字以内です。

管理者はレベル(およびその他の各ラベル・コンポーネント)に詳細名と短縮名の両方を定義しますが、Oracle Label Securityポリシーが有効になっているときにレコードの検索時に表示されるのは短縮名のみです。ユーザーがラベルを操作する際は、コンポーネントの短縮名のみが使用されます。

一般にユーザーが定義することの多いその他の一連のレベルとしては、TOP_SECRET、SECRET、CONFIDENTIALおよびUNCLASSIFIED、またはTRADE_SECRET、PROPRIETARY、COMPANY_CONFIDENTIALおよびPUBLIC_DOMAINなどがあります。

レベルのみを使用する場合、この例のレベル40のユーザーであれば、レベル40以下のすべてのデータ行に対して、アクセスまたは変更ができます。

ノート:

このマニュアルで使用されているレベルおよびラベル(TOP_SECRET、SECRET、CONFIDENTIALなど)はすべて一例です。

親トピック: ラベル・コンポーネント

2.3.3 区分コンポーネント

コンパートメントは、ラベルが割り当てられたデータの機密性を表す領域を識別し、レベル内のより詳細なレベルを表します。

区分により、データが1つ以上のセキュリティ領域に対応付けられます。特定のプロジェクトに関連するすべてのデータに、同じ区分をラベル付けすることができます。

表2-5に、区分の例を示します。

表2-5 区分の例

数値	詳細名	短縮名
`85`	`FINANCIAL`	`FINCL`
`65`	`CHEMICAL`	`CHEM`
`45`	`OPERATIONAL`	`OP`

表2-6に、区分を指定する様々な方法を示します。

表2-6 区分指定の書式

書式説明

書式	説明
数値	数値の範囲は0から9999です。レベルに使用されている数値とは無関係です。区分の数値は、機密性のレベルを示すわけではありません。区分の数値は、ラベル文字列での区分短縮名の表示順序を制御します。たとえば、表2-5に示された3つの区分すべてと、短縮名が`S`のレベル`SENSITIVE`を持つラベルを作成するとします。このラベルを文字列形式で表示すると次のようになり、`SENSITIVE`: `OPERATIONAL`, `CHEMICAL`, `FINANCIAL`:を意味します。 S:OP,CHEM,FINCL 表示順序は、区分に割り当てられた数値の順序に従います。45は65より小さく、65は85より小さい数値です。対照的に、`FINCL`区分に割り当てられた数値が5の場合、ラベルの文字列書式は次のようになります。 S:FINCL,OP,CHEM
詳細名	区分の詳細名は80文字以内です。
短縮名	短縮名は30文字以内です。

数値

数値の範囲は0から9999です。レベルに使用されている数値とは無関係です。区分の数値は、機密性のレベルを示すわけではありません。区分の数値は、ラベル文字列での区分短縮名の表示順序を制御します。たとえば、表2-5に示された3つの区分すべてと、短縮名がSのレベルSENSITIVEを持つラベルを作成するとします。このラベルを文字列形式で表示すると次のようになり、SENSITIVE: OPERATIONAL, CHEMICAL, FINANCIAL:を意味します。

S:OP,CHEM,FINCL

表示順序は、区分に割り当てられた数値の順序に従います。45は65より小さく、65は85より小さい数値です。対照的に、FINCL区分に割り当てられた数値が5の場合、ラベルの文字列書式は次のようになります。

S:FINCL,OP,CHEM

詳細名

区分の詳細名は80文字以内です。

短縮名

短縮名は30文字以内です。

区分はオプションです。ラベルには0個以上の区分を含めることができます。Oracle Label Securityでは、最高10,000の区分を定義できます。

区分を含まないラベルがあってもかまいません。たとえば、HIGHLY_SENSITIVEおよびCONFIDENTIALレベルは区分なしで指定し、SENSITIVEレベルは区分を含むように指定できます。

データの機密性を分析すると、一部の区分が特定のレベルでのみ有用であることがわかる場合があります。

次の図では、区分を使用するとどのようにデータを分類できるかを示します。

図2-2 ラベルのマトリックス

「図2-2 ラベルのマトリックス」の説明

この図では、区分FINCL、CHEMおよびOPがレベルHIGHLY_SENSITIVE (40)とともに使用されています。ラベルHIGHLY_SENSITIVE:FINCL, CHEMは、2つの名前付き区分を持つレベル40を示します。区分FINCLとCHEMの機密性は同じです。保護されている表の一部のデータがどの区分にも属さない場合もあることに注意してください。

区分が指定されている場合、行データへのアクセスが通常は許可されるレベルのユーザーであっても、行ラベルで表示されるすべての区分もユーザーのラベルに含まれていないかぎりアクセスは禁止されます。

親トピック: ラベル・コンポーネント

2.3.4 グループ・コンポーネント

グループでは、EASTERN_REGION、WESTERN_REGION、WR_SALESなど、データを所有する組織またはデータにアクセスする組織を識別します。

特定の部門に関連するすべてのデータに、その部門のグループをラベル付けすることができます。グループは、データを制御された方法で配布したり、組織の変更に適切なタイミングで対処する場合に役立ちます。会社組織の再編時には、データ・アクセス権も再編成に沿って適切に変更できます。

グループは階層型です。組織のインフラストラクチャに基づいてデータにラベルを付けることができます。つまり、グループを親グループに対応付けることができます。

図2-3は、次のような組織階層に対応するグループ・セットを定義する方法を示しています。

図2-3 グループの例

「図2-3 グループの例」の説明

WESTERN_REGIONグループには、3つのサブグループWR_SALES、WR_HUMAN_RESOURCESおよびWR_FINANCEが含まれています。WR_FINANCEサブグループは、WR_ACCOUNTS_RECEIVABLEおよびWR_ACCOUNTS_PAYABLEに分割されています。

表2-7に、この例の組織構造をOracle Label Securityのグループの書式で表す方法を示します。グループに割り当てられた数値が表示順序のみに影響することに注意してください。管理者は、階層(つまり、親子関係)を別々に指定します。

表2-7 グループの例

数値	詳細名	短縮名	親グループ
`1000`	`WESTERN_REGION`	`WR`
`1100`	`WR_SALES`	`WR_SAL`	`WR`
`1200`	`WR_HUMAN_RESOURCES`	`WR_HR`	`WR`
`1300`	`WR_FINANCE`	`WR_FIN`	`WR`
`1310`	`WR_ACCOUNTS_PAYABLE`	`WR_AP`	`WR_FIN`
`1320`	`WR_ACCOUNTS_RECEIVABLE`	`WR_AR`	`WR_FIN`

表2-8に、グループを指定する様々な方法を示します。

表2-8 グループ指定の書式

書式説明

書式	説明
数値	グループの数値の範囲は0から9999で、ポリシーごとに一意である必要があります。数値は、ランキングを示すわけではありません。また、親子関係も機密性レベルも示しません。単に、ラベル文字列でのグループの短縮名の表示順序を制御します。たとえば、表2-7にリストしたようにレベル`SENSITIVE`、区分`CHEMICAL`、グループ`WESTERN_REGION`および`WR_HUMAN_RESOURCES`を持つラベルが作成されているとします。このラベルを文字列で表示すると、次のようになります。 S:CHEM:WR,WR_HR 1000は1200より前に位置するため、`WR`は`WR_HR`より前に表示されます。
詳細名	グループの詳細名は80文字以内です。
短縮名	短縮名は30文字以内です。

数値

グループの数値の範囲は0から9999で、ポリシーごとに一意である必要があります。

数値は、ランキングを示すわけではありません。また、親子関係も機密性レベルも示しません。単に、ラベル文字列でのグループの短縮名の表示順序を制御します。

たとえば、表2-7にリストしたようにレベルSENSITIVE、区分CHEMICAL、グループWESTERN_REGIONおよびWR_HUMAN_RESOURCESを持つラベルが作成されているとします。このラベルを文字列で表示すると、次のようになります。

S:CHEM:WR,WR_HR

1000は1200より前に位置するため、WRはWR_HRより前に表示されます。

詳細名

グループの詳細名は80文字以内です。

短縮名

短縮名は30文字以内です。

グループはオプションであり、ラベルには0個以上のグループを含めることができます。Oracle Label Securityでは、最高10,000のグループを定義できます。

グループを含まないラベルがあってもかまいません。データの機密性を分析すると、一部のグループが特定のレベルでのみ使用されている場合があります。たとえば、HIGHLY_SENSITIVEおよびCONFIDENTIALラベルはグループなしで指定し、SENSITIVEラベルはグループを含むように指定できます。

関連トピック

インバース・グループを使用した解放性

親トピック: ラベル・コンポーネント

2.3.5 業界別のレベル、区分およびグループの例

Oracle Label Securityのレベル、区分、グループは、各業界に導入できるように設計されています。

表2-9に、各種業界での代表的な実装方法をリストし、Oracle Label Securityのレベル、区分およびグループの柔軟性を示します。

表2-9 業界別の代表的なレベル、区分およびグループ

業界レベル区分グループ

業界	レベル	区分	グループ
B2B	`TRADE_SECRET` `PROPRIETARY` `COMPANY_CONFIDENTIAL` `PUBLIC`	`MARKETING` `FINANCIAL` `SALES` `PERSONNEL`	`AJAX_CORP` `BILTWELL_CO` `ACME_INC` `ERSATZ_LTD`
金融サービス	`ACQUISITIONS` `CORPORATE` `CLIENT` `OPERATIONS`	`INSURANCE` `EQUITIES` `TRUSTS` `COMMERCIAL_LOANS` `CONSUMER_LOANS`	`CLIENT` `TRUSTEE` `BENEFICIARY` `MANAGEMENT` `STAFF`
司法	`NATIONAL_SECURITY` `SENSITIVE` `PUBLIC`	`CIVIL` `CRIMINAL`	`ADMINISTRATION` `DEFENSE` `PROSECUTION` `COURT`
医療	`PRIMARY_PHYSICIAN` `PATIENT_CONFIDENTIAL` `PATIENT_RELEASE`	`PHARMACEUTICAL` `INFECTIOUS_DISEASES`	`CDC` `RESEARCH` `NURSING_STAFF` `HOSPITAL_STAFF`
防衛	`TOP_SECRET` `SECRET` `CONFIDENTIAL` `UNCLASSIFIED`	`ALPHA` `DELTA` `SIGMA`	`UK` `NATO` `SPAIN`

B2B

TRADE_SECRET

PROPRIETARY

COMPANY_CONFIDENTIAL

PUBLIC

MARKETING

FINANCIAL

SALES

PERSONNEL

AJAX_CORP

BILTWELL_CO

ACME_INC

ERSATZ_LTD

金融サービス

ACQUISITIONS

CORPORATE

CLIENT

OPERATIONS

INSURANCE

EQUITIES

TRUSTS

COMMERCIAL_LOANS

CONSUMER_LOANS

CLIENT

TRUSTEE

BENEFICIARY

MANAGEMENT

STAFF

司法

NATIONAL_SECURITY

SENSITIVE

PUBLIC

CIVIL

CRIMINAL

ADMINISTRATION

DEFENSE

PROSECUTION

COURT

医療

PRIMARY_PHYSICIAN

PATIENT_CONFIDENTIAL

PATIENT_RELEASE

PHARMACEUTICAL

INFECTIOUS_DISEASES

CDC

RESEARCH

NURSING_STAFF

HOSPITAL_STAFF

防衛

TOP_SECRET

SECRET

CONFIDENTIAL

UNCLASSIFIED

ALPHA

DELTA

SIGMA

UK

NATO

SPAIN

親トピック: ラベル・コンポーネント

2.4 ラベルの構文とタイプ

ラベル・コンポーネントを定義した後、レベル、区分およびグループの特定セットを組み合せてデータ・ラベルを作成できます。

Oracle Enterprise Managerのグラフィカル・ユーザー・インタフェースまたはコマンドライン・プロシージャを使用できます。ラベルの文字列表現の構文は、次のとおりです。

LEVEL:COMPARTMENT1,...,COMPARTMENTn:GROUP1,...,GROUPn

ラベルを指定するテキスト文字列は、英数字、空白およびアンダースコアを含めて4,000文字以内です。ラベルには大/小文字区別がありません。そのため大文字、小文字または大/小文字両方で入力できますが、文字列がデータ・ディクショナリに格納され、表示されるときには大文字が使用されます。コロン(:)は、コンポーネント間のデリミタとして使用されます。カンマは、コンポーネント内の異なるエントリ(区分またはグループ)間のデリミタとして使用されます。この構文では、後続のデリミタを入力する必要はありません。

たとえば、次のような有効なラベルを作成できます。

SENSITIVE:FINANCIAL,CHEMICAL:EASTERN_REGION,WESTERN_REGION
CONFIDENTIAL:FINANCIAL:VP_GRP
SENSITIVE
HIGHLY_SENSITIVE:FINANCIAL 
SENSITIVE::WESTERN_REGION

有効なデータ・ラベルが作成されると、さらに次の2つのことが行われます。

ラベルが有効なデータ・ラベルとして自動的に指定されます。この機能では、データに割当て可能なラベルが制限されます。ただし、ほとんどのユーザーは、データ・ラベルの増加を制限するために、ラベルを手動で作成する方法を選択します。
ラベルを表すテキスト文字列に数値ラベル・タグが関連付けられます。保護されている表のポリシー・ラベル列には、テキスト文字列ではなく、このラベル・タグが格納されます。

ノート:

有効なデータ・ラベルの動的な作成では、TO_DATA_LABELファンクションが使用されます。また、その使用は厳密に制御する必要があります。

関連トピック

親トピック: データ・ラベルおよびユーザー・ラベル

2.5 データ・ラベルとユーザー・ラベルの相互動作

ユーザーがアクセスできるのは、各自のラベル認可の範囲内にあるデータのみです。

ユーザーは次のものを持ちます。

最大レベルと最小レベル
認可された区分のセット
認可されたグループ(および、暗黙的にすべてのサブグループの認可)のセット

たとえば、次のレベルを考えてみます。

HIGHLY_SENSITIVE、数値フォーム40
SENSITIVE、数値フォーム30
CONFIDENTIAL、数値フォーム20
PUBLIC、数値フォーム10

ユーザーに最大レベルSENSITIVEが割り当てられている場合、そのユーザーは潜在的にSENSITIVE、CONFIDENTIALおよびPUBLICのデータへのアクセス権を持つことになります。このレベルが高すぎるため、ユーザーはHIGHLY_SENSITIVEデータにアクセスできません。

図2-4は、アクセス制御を行うためにデータ・ラベルとユーザー・ラベルがOracle Label Securityでどのように相互作用するかを示しています。データ・ラベルはディスクリートですが、ユーザー・ラベルは包含的です。ユーザーは、認可された区分およびグループに応じて、各自の範囲内のすべてのレベルに該当するデータにアクセスできる可能性があります。

図2-4 例: データ・ラベルとユーザー・ラベル

「図2-4 例: データ・ラベルとユーザー・ラベル」の説明

この図のように、ユーザー1は、最大レベルがHSであるため、行2、3および4にアクセスできます。また、FIN区分へのアクセス権を持っており、階層形式のグループWRへのアクセス権にはグループWR_SALが含まれています。CHEM区分はないため、行1にはアクセスできません。(ユーザーが行にアクセスするためには、その行のデータ・ラベルのすべての区分に対する認可が必要です。)

ユーザー2は行3および4にアクセスできます。このユーザーの最大レベルはSであり、これは行2にあるHSより下位です。このユーザーにはFIN区分へのアクセス権がありますが、グループWR_SALに対する認可しかありません。そのため、行1にはアクセスできません。

図2-5は、組織階層に関連するデータがデータ・レベルおよび区分にどのように収まるかを示しています。

図2-5 ラベル・コンポーネントの相互関係

「図2-5 ラベル・コンポーネントの相互関係」の説明

たとえば、UNITED_STATESグループには3つのサブグループEASTERN_REGION、CENTRAL_REGIONおよびWESTERN_REGIONが含まれています。WESTERN_REGIONサブグループは、さらにCALIFORNIAおよびNEVADAに分割されています。各グループおよびサブグループにはそれぞれ、有効な区分およびレベルに属するデータがデータベース内に存在している可能性があります。したがって、CALIFORNIAサブグループ内に、FINANCIALであるSENSITIVEデータが存在する場合があります。

データには通常、単一グループがラベル付けされますが、これに対し、ユーザーのラベルは階層形式であることに注意してください。ユーザーが特定のグループを持つ場合、そのグループに暗黙的に子グループが含まれている場合があります。このように、UNITED_STATESグループに関連付けられたユーザーはすべてのデータへのアクセス権を持ちますが、CALIFORNIAに関連付けられたユーザーは、そのサブグループに関連するデータへのアクセス権のみを持ちます。

親トピック: データ・ラベルおよびユーザー・ラベル

2.6 ラベルの管理

Oracle Label Securityには、データベース内で使用するラベルを定義して管理できるように、管理インタフェースが用意されています。

Oracle Database内でラベルを定義するには、Oracle Label Security PL/SQLパッケージを使用する方法と、Oracle Enterprise Managerを使用する方法があります。管理者は、最初にラベルを構成するレベル、区分およびグループを定義してから、データベースの内容に関して有効なデータ・ラベルのセットを定義できます。

管理者は、データベース内の個々の表またはアプリケーション・スキーマ全体にポリシーを適用できます。最後に、管理者は各データベース・ユーザーに、個々のジョブに必要なラベル・コンポーネント(および、必要に応じて権限)を割り当てます。

親トピック: データ・ラベルおよびユーザー・ラベル