セキュリティモデル

登場人物

あかり：情シスに入った新人。セキュリティに関心がある

部長：情シスの部長。

ゆり：あかりの先輩社員。現在CISSP取得に向けて勉強中

本編

セキュリティとガバナンス

セキュリティモデル

Bell-LaPadulaモデル
コンピュータセキュリティにおける機密性を保護するためのモデル。このモデルは特に軍事や政府機関のように、機密情報の取り扱いが厳重に管理される環境で用いられる。主な目的は、機密性の維持、つまり不正なアクセスによる情報の漏えいを防ぐこと。

Bibaモデル
コンピュータセキュリティにおけるデータの完全性を保護するためのモデル。このモデルはBell-LaPadulaモデルが「機密性」に重点を置くのに対して、データの信頼性や正確性を守ることに焦点を当てている。融機関や医療システムのように、データの信頼性が特に重要な環境でよく使われる。

Clark-Wilsonモデル
コンピュータシステムにおけるデータの整合性を維持するためのセキュリティモデル。特に商取引や金融、業務システムなど、データの正確さや一貫性が重視される場面で利用される。このモデルは、不正な操作やエラーによってデータが改ざんされたり、無効な状態になったりすることを防ぐために、いくつかのセキュリティメカニズムを導入する。

情報フロー制御モデル
システム内のデータがどのように流れるか（伝送・処理・出力されるか）を管理し、機密情報が不適切な場所に漏れないようにするためのセキュリティモデル。このモデルは、情報が特定のルールに従って流れることを強制し、機密性や完全性の保護を図る。

Bell-LaPadulaモデルの特徴

Bell-LaPadulaモデルには、2つの重要なルールがあります：

「no read up」（読み取り禁止ルール）
ユーザーは、自分の許可レベルよりも高い機密レベルの情報を読むことができません。
例：一般職員が機密レベル「秘密」の文書を閲覧することはできません。

「no write down」（書き込み禁止ルール）
ユーザーは、自分の許可レベルよりも低い機密レベルの場所に書き込むことができません。これは、機密情報を意図的または誤って低いセキュリティレベルの場所に漏らすことを防ぎます。
例：「極秘」情報を持つ上級職員が、誤ってその情報を「公開」レベルのシステムに書き込むことはできません。

実際の例

とえば、ある会社のシステムでは、従業員の役職や担当によって機密情報のアクセスレベルが異なります。

• Aさん（一般職員）：アクセスレベルは「公開」。このレベルでは、社内の一般情報にはアクセスできるが、「秘密」や「極秘」などの機密情報にはアクセスできない。
• Bさん（管理職）：アクセスレベルは「秘密」。このレベルでは、「秘密」の情報を閲覧・変更できるが、「極秘」の情報にはアクセスできない。
• Cさん（上級管理職）：アクセスレベルは「極秘」。このレベルでは、全ての情報を閲覧・変更できるが、情報を「秘密」や「公開」レベルに書き込むことはできない。

Bibaモデルの特徴

Bibaモデルには、次の2つの重要なルールがあります：

1. 「no write up」（上書き禁止ルール）
   ユーザーは、自分の信頼性レベルよりも高いレベルのデータに書き込むことができません。これにより、信頼性の低いユーザーが高い信頼性を必要とするデータを汚染することを防ぎます。
   例：一般社員が、上級管理職が使用する重要なデータベースに変更を加えることはできません。
2. 「no read down」（読み取り禁止ルール）
   ユーザーは、自分の信頼性レベルよりも低いレベルのデータを読むことができません。これにより、信頼性の高いシステムやユーザーが、信頼性の低いデータを使用して判断を誤ることを防ぎます。
   例：上級管理職が、一般社員が扱う信頼性の低いデータを閲覧することはできません。

実際の例

ある会社で、複数のレベルのユーザーが異なる信頼性レベルのデータを扱っている状況を考えてみます。

• Aさん（一般社員）：信頼性レベルは「低」。このレベルでは、信頼性の低いデータを閲覧・変更できるが、信頼性の高いデータベースにはアクセスできない。また、信頼性の高いデータに変更を加えることもできない。
• Bさん（管理職）：信頼性レベルは「中」。このレベルでは、自分と同じ信頼性レベルのデータを扱うことができるが、それより上の「高」信頼性のデータにはアクセスできない。また、信頼性の低いデータは閲覧しないよう制限されている。
• Cさん（上級管理職）：信頼性レベルは「高」。このレベルでは、信頼性の高いデータのみを扱うことができるが、信頼性の低いデータにアクセスして誤った判断をするリスクがあるため、低い信頼性のデータは閲覧できない。

Clark-Wilsonモデルの特徴

Clark-Wilsonモデルでは、システム内のデータの操作が信頼できるプロセスを通じて行われることを保証します。これを実現するために、以下の主要な要素が導入されています。

1. 整合性制約（Integrity Constraints）
   システム内のデータ操作が正しい手続きや承認を経て行われるように制約を設けます。つまり、信頼できる手段によってのみデータの変更や処理が行われることを保証します。
2. トランザクションの定義（Well-formed Transactions）
   正規の手続きに従った操作のみがシステム内で許可されます。この操作は「整合性のあるトランザクション」と呼ばれ、不正な操作（データの無断改変など）を防ぎます。
3. 職務分掌の原則（Separation of Duties）
   1人のユーザーがすべての権限を持つことを防ぎ、データ操作や承認のプロセスを複数の担当者に分散させることによって、不正を防ぎます。たとえば、あるユーザーがデータを入力し、別のユーザーがその入力を確認・承認する形です。
4. 監査可能性（Auditing）
   全てのデータ操作やトランザクションはログに記録され、必要に応じて監査ができるようになっています。これにより、システムが不正利用された場合でも、問題を追跡しやすくなります。

実際の例

例えば、金融機関での業務を考えてみましょう。

• Aさん（データ入力担当）：顧客の口座情報や取引を入力する役割を持っています。Aさんは、トランザクションの実行やデータ変更ができるが、これが最終的に確定するには承認が必要です。
• Bさん（監査・承認担当）：Aさんが入力したデータを確認し、正しいかどうかをチェックします。Bさんがデータを承認しない限り、入力された情報は有効になりません。
• Cさん（システム管理者）：システムの操作やデータ変更の履歴を定期的に監査し、不正行為や誤操作がないかを確認します。

情報フロー制御モデルの特徴

情報フロー制御モデルでは、システム内の各オブジェクト（ファイルやデータ）は、特定のセキュリティラベルが割り当てられています。これらのラベルは、データの機密性や完全性のレベルを示し、データがどこへ流れてよいかを決定します。

1. 直接フローと間接フロー
   • 直接フロー: 情報が一つのオブジェクトから別のオブジェクトに直接移動すること。
   • 間接フロー: 例えば、機密データを基に計算された結果が低機密レベルに流れる場合など、情報が明示的に移動していなくても、結果として機密情報が漏洩する可能性があるフロー。
2. セキュリティポリシー
   これに基づき、情報の流れを制御します。例えば、上位の機密情報が下位レベルに流れ込まないようにすること（no write down）や、信頼性の低い情報が信頼性の高い場所に流れ込まないようにすること（no read up）が求められます。
3. 強制制御
   各オブジェクトやプロセスにラベルを付与し、高機密情報は低機密なプロセスやユーザーに流れないようにします。これにより、不適切なデータフローによる情報漏洩を防ぎます。

実際の例

例えば、政府機関の情報システムでは、異なる機密レベルの情報が多く存在します。ここでは、情報フロー制御モデルが活躍します。

• Aさん（一般職員）：Aさんは、低機密情報にしかアクセスできない権限を持っています。そのため、「機密」レベルのデータにアクセスすることも、機密データを含むレポートに書き込むこともできません。
• Bさん（上級職員）：Bさんは、高機密情報にアクセスできる権限を持っていますが、Bさんが作成した高機密情報を**「公開」レベル**の文書に書き込んだり、誤って公開したりしないように、情報の流れが制御されています。