<CISSP試験でも重要!【セキュリティモデル】を完璧にするシリーズ⑥~情報フローモデル編~>
さて、今回は【情報フローモデル】というセキュリティモデルについて紹介をしていきます!この情報フローという言葉は前の記事でも何度か登場してきていますが、特に現実のセキュリティのお仕事においても学習する価値のある知識になると思います!もちろん、CISSP試験的にも覚える価値があります!( ^)o(^ )
それではまず、概要から。
・情報フローモデルとは?
→覚え方としては、「ある情報が適切な先(例えば、人・システム)に正しく流れていることを確実にするため、その情報の流れに着目をして情報の流れを制御しようとする考え方」といった具合になります。
少し、わかりにくいですよね。
そんな方は例えば、Bell-LaPadulaを例に考えてみると良いと思います!おさらいにもなりますが、以下のご紹介をさせて頂いたのを皆様は覚えていますでしょうか?
【Bell-LaPadulaでは、サブジェクトが何らかのオブジェクトへアクセスする際、サブジェクトのクリアランスとオブジェクトのラベルを比較し「このサブジェクトは、そのオブジェクトにアクセスして良いのか?=オブジェクトは安全にアクセスしてもらえるか?」を判断する】
これぞ、まさに情報フローモデルです。
つまり、「サブジェクトがオブジェクトにアクセスする」とは、「あるオブジェクト(情報)がサブジェクトに流れる」ということであり、Bell-LaPadulaでは、この流れが正しいかどうかを「サブジェクトのクリアランス」と「オブジェクトのラベル」で判断をしているわけです。
これはBell-LaPadulaに限らず、Bibaモデルでも同じ考え方で情報の流れに着目して目的を達成します。
(Bell-LaPadulaでは機密性を重視して、Bibaは完全性を重視してサブジェクトとオブジェクトを分類するんでしたね!!)
如何でしょうか。情報フローモデルとはどのような概念かお分かり頂けていると嬉しいです。情報フローモデルというのは他のセキュリティモデルの基礎になるような要素であって、「情報フローモデルに基づいたOOセキュリティモデル」みたいな考え方とイメージすると理解が深まるかもしれません。
また、「情報」というのは様々な場所にあり、様々な人からアクセスされることにより、様々なフローで流れていきます。
なので、その無数にある情報の流れが適切かつ正しく流れていくのであれば安全が担保されるといっても過言ではないかもしれません。(一概には言えませんが、そのくらいの理解で良いと思います・・・笑)
そしてここからはCISSP試験向けの内容です!以下だけで良いので、情報フローモデルときたら即座に反応できるように、丸暗記してください!
・隠れチャネル
→情報が不適切な形で流れてしまうこと。「ストレージチャネル」と「タイミングチャネル」がある。
(これらの詳細は僕も分かりませんが、CISSP試験は合格できました(笑))
以上です!ありがとうございました。
(昨年ですが、事故しました。相手方の過失によるものでしたが、今年はより安全運転で行きたいですね・・・)