CISSP試験でも重要！【セキュリティモデル】を完璧にするシリーズ⑥～情報フローモデル編～

＜CISSP試験でも重要！【セキュリティモデル】を完璧にするシリーズ⑥～情報フローモデル編～＞

さて、今回は【情報フローモデル】というセキュリティモデルについて紹介をしていきます！この情報フローという言葉は前の記事でも何度か登場してきていますが、特に現実のセキュリティのお仕事においても学習する価値のある知識になると思います！もちろん、CISSP試験的にも覚える価値があります！( ^)o(^ )

それではまず、概要から。

・情報フローモデルとは？

→覚え方としては、「ある情報が適切な先（例えば、人・システム）に正しく流れていることを確実にするため、その情報の流れに着目をして情報の流れを制御しようとする考え方」といった具合になります。

少し、わかりにくいですよね。

そんな方は例えば、Bell-LaPadulaを例に考えてみると良いと思います！おさらいにもなりますが、以下のご紹介をさせて頂いたのを皆様は覚えていますでしょうか？

【Bell-LaPadulaでは、サブジェクトが何らかのオブジェクトへアクセスする際、サブジェクトのクリアランスとオブジェクトのラベルを比較し「このサブジェクトは、そのオブジェクトにアクセスして良いのか？＝オブジェクトは安全にアクセスしてもらえるか？」を判断する】

これぞ、まさに情報フローモデルです。

つまり、「サブジェクトがオブジェクトにアクセスする」とは、「あるオブジェクト（情報）がサブジェクトに流れる」ということであり、Bell-LaPadulaでは、この流れが正しいかどうかを「サブジェクトのクリアランス」と「オブジェクトのラベル」で判断をしているわけです。

これはBell-LaPadulaに限らず、Bibaモデルでも同じ考え方で情報の流れに着目して目的を達成します。

（Bell-LaPadulaでは機密性を重視して、Bibaは完全性を重視してサブジェクトとオブジェクトを分類するんでしたね！！）

如何でしょうか。情報フローモデルとはどのような概念かお分かり頂けていると嬉しいです。情報フローモデルというのは他のセキュリティモデルの基礎になるような要素であって、「情報フローモデルに基づいたOOセキュリティモデル」みたいな考え方とイメージすると理解が深まるかもしれません。

また、「情報」というのは様々な場所にあり、様々な人からアクセスされることにより、様々なフローで流れていきます。