<CISSP試験でも重要!【セキュリティモデル】を完璧にするシリーズ④~Biba編~>
さて、機密性専門のBell-LaPadulaの次は、またまたCISSP試験でもお馴染みの【Biba】について紹介をしていきます。Bibaに関する知識もCISSP試験では必須となり、得点を稼ぐためには必ず押さえて頂いた方が良い知識ですので、Bell-LaPadulaに続き紹介をしていきます!
・Bibaとは?
→一言で言うと、「機密情報等の重要データが不正に変更されることを防ぐ(=完全性を担保する)」ことを目的に考えられた【完全性】のみにフォーカスした状態マシンモデルの一つ、となります。
そして、このBibaを覚えるコツはBell-LaPadulaを覚えることです! 何故か?
皆様、以下の知識をBell-LaPadulaシリーズでは習得を頂いたかと思います。
~~~~~~~~~~~~~
「オブジェクト側の要素」
・組織にとっての機密度で全てのオブジェクトに情報(=分類)ラベル(例:機密、社外秘、非機密など)を予め設定しておく
⇒機密ファイルXYZへのアクセス可否を判断する上で、情報ラベルは必須となるため、これを事前に定めておかないと正しくアクセス可否を判断できず、結果として機密性は担保できない!
~~~~~~~~~~~~~
※もう一度復習したい方はこちら:https://www.cyberseals.work/entry/2021/09/18/071606
すご~く大げさに言ってしまえば以下の2点以外はBell-LaPadulaとほぼ一緒だと思ってしまって良いと思います!
①オブジェクトに対して機密度を重視してラベルをつける(=分類する)のが【Bell-LaPadula】 完全性を重視して分類をするのが【Biba】
②サブジェクトに対してクリアランスを付与するのが【Bell-LaPadula】完全性を重視してオブジェクトと同じようにサブジェクトも分類するのが【Biba】
もちろん、細かい点は異なりますがこのくらいで覚えていかないと勉強する気も失われていきますし、CISSP試験対策的にも要点だけを覚えていくことはメチャ重要でした!('ω')
つまり、Bibaというのは完全性をもとにサブジェクト、オブジェクトを分類し、高い完全性レベルとして分類されたオブジェクト(例えば口座データ)に低い完全性レベルとして分類されたサブジェクトから情報が流れることを防ぐ。というのが最大の目的になっています。
さて、ここまでBibaモデルについて一定程度の理解は頂けたのではないかと思っています。( ^)o(^ )
ここからは【完全なCISSP試験対策】で、単純な暗記となりますので、一般読者の方はここで最後となります! 最後までご覧頂き、ありがとうございました!
※以下、CISSP試験対策※
「3つの公理(=考え方的なもの)を覚えましょう」
・スター属性公理
→サブジェクトは上位の完全性レベルのオブジェクトへ書き込めない
・単純完全性公理
→サブジェクトは下位の完全性レベルのオブジェクトを読み取れない
・呼出属性公理
→サブジェクトは上位の完全性レベルのサブドメインを呼び出せない
※これはもう完全に暗記です!ちなみにBell-LaPadulaでも同じような話が出てきているので、僕は両方ともノートに表のように書き出して併せて覚えてました。
今回は以上となります。改めて、最後までご覧頂きありがとうございました
先日絵を描いてみました。笑