<CISSP試験でも重要!【セキュリティモデル】を完璧にするシリーズ⑧~ラティスモデル編~>
さて、今回は【ラティスモデル】という、ポケモンの名前みたいなセキュリティモデルについて紹介をしていきます!このモデルですが、CISSP試験で必要とされるセキュリティモデルの中で最も意味が分かりにくく、僕も理解に苦戦しました。
ですので、試験対策を念頭に必要な部分だけをシンプルにご紹介していければと思います('_')
はじめにですが、このモデルが分かりにくいのは、
正式にはラティスモデルとは「他の全てに優越される固有の上限と下限からなる有限半順序な構造体」みたいな定義がされているためです。
(心から何を言ってるのか分からないですよね・・・)
ただ、実は大したことは言っておらず、試験に臨む上ではラティスモデルは以下のように覚えれば問題ないと思っています。
・ラティスモデルとは?
→セキュリティラベルを基に、サブジェクト(例:人)がオブジェクト(例:ファイル)に対して実行できる最大限(例:読み取り可)と最小限(例:書き込み不可)を決めるモデル
どうでしょうか?
これであれば、Bell-LaPadulaなどの他のセキュリティモデルについて学ばれている方は何となく言っていることが分かるのではないでしょうか。逆をいえば、このラティスモデルを詳しく覚える必要はなくBell-LaPadulaやBibaなどについて正しく理解できるよう学習をすることが重要だと僕は思っています!
もう少しラティスモデルについて補足をすると、結局このモデルで言っていることは、
「システム(例:OS)が1つの1つのアクセス(例:読み取り、書き込み、上書きetc)を制御する際、サブジェクトがオブジェクトにできる最大と最小を決定した上で、1つ1つのアクセスを制御しなさい!そうすれば、理論的には想定通りのアクセス制御ができますよ」
といったイメージになります!(←何度も書いてますが、イメージできることがCISSP試験では超重要です)
はい!今回は少し量が少ないですが、以上となります!
次回はCISSP試験的にも、現代のセキュリティでも重要なモデルについてご紹介しますので、引き続きお願いしま~~す(^^♪
(最近、PCの指紋認証が調子悪いんですよね・・・。指、死んでるのかな(笑))