「Bell-LaPadulaモデル」

Bell-LaPadulaモデルの定義

Bell-LaPadulaモデルは、コンピュータセキュリティの分野で機密情報への不正アクセスを防ぐために使用されるフォーマルモデルです。機密データの機密性を確保するための一連のルールと制約を提供します。David BellとLeonard LaPadulaによって考案されたこのモデルは、安全なシステムにおけるアクセス制御の基礎となっています。

Bell-LaPadulaモデルの動作原理

Bell-LaPadulaモデルは、「no-read-up, no-write-down」ポリシーの概念に基づいており、特定のセキュリティクリアランスを持つユーザーが、より高い分類レベルのデータを読むことができない（no-read-up）、またはより低い分類レベルにデータを書き込むことができない（no-write-down）ことを意味します。これにより、情報の不正な漏洩を防ぎ、機密データの機密性を維持します。

モデルは、機密性、完全性、可用性（CIA）の3つの核心的なセキュリティ原則を定義しています。特に機密性を強調し、より高いセキュリティレベルから下位レベルへの情報漏洩を防ぐことに重点を置いています。厳格なアクセス制御を実施することで、Bell-LaPadulaモデルは許可された個人だけが機密情報にアクセスできるようにします。

強制アクセス制御

Bell-LaPadulaモデルは、ユーザーとアクセス対象オブジェクトに割り当てられたセキュリティレベルに基づいてアクセスを決定する強制アクセス制御（MAC）を取り入れています。MACの下では、ユーザーにはアクセスできる情報の最高レベルを決定するセキュリティクリアランスが割り当てられます。例えば、「Secret」クリアランスを持つユーザーは「Top Secret」に分類された情報にはアクセスできませんが、「Secret」や「Confidential」に分類された情報にはアクセス可能です。

特筆すべきことに、Bell-LaPadulaモデルは情報の流出を最小限に抑えることの重要性を認識し、最小特権の原則を守ります。つまり、ユーザーには職務を遂行するために必要な程度のアクセスのみが与えられ、不注意または意図的な不正アクセスのリスクが低減します。

任意アクセス制御

強制アクセス制御に加えて、Bell-LaPadulaモデルは任意アクセス制御（DAC）も取り入れています。任意アクセス制御では、個々のユーザーが自分が所有する情報に対して誰がアクセスできるかを制御することができます。これにより、組織内でのデータ共有に対してきめ細かい制御が可能になります。

強制アクセス制御が情報を保護するための第一層を提供する一方で、任意アクセス制御はユーザーが自分のデータに対して自治を行使し、特定の状況と関与する情報の機密性に基づいて判断を下すことを可能にします。

予防のヒント

Bell-LaPadulaモデルの効果的な実施とシステム内での安全なアクセス制御をサポートするために、次の予防のヒントを考慮してください。

• Bell-LaPadulaモデルの原則に基づいた厳格なアクセス制御を実施します。不正アクセスを防ぐために、「no-read-up, no-write-down」ポリシーを強制するアクセス制御メカニズムを使用します。
• ユーザークリアランスを強制し、許可された分類外の情報を読み書きできないようにします。セキュリティクリアランスとアクセス許可を定期的に見直し、モデルのガイドラインに合わせて更新します。
• アクセス制御を定期的に監視し、潜在的な脆弱性や不正な行動を検出して対処します。潜在的なセキュリティ侵害を示す可能性があるアクセスパターンや異常な行動を追跡するメカニズムを実装します。

これらの予防ヒントを遵守し、アクセス制御戦略にBell-LaPadulaモデルの原則を取り入れることで、機密情報の機密性を高め、システム全体のセキュリティ姿勢を強化することができます。

関連用語

• Biba Model: 機密性よりも完全性を重視し、不正なユーザーによるデータの改変を防ぐことに焦点を当てたモデル。
• Access Control Policies: コンピューティング環境内で特定のリソースに誰がアクセスできるかを規制するガイドラインと対策。