ベル・ラパドゥラモデル

ベル・ラパドゥラモデル （ BLP ）は、政府および軍事アプリケーションでアクセス制御を実施するために使用されるステートマシンモデルである。^[1] 米国国防総省（DoD）のマルチレベルセキュリティ（MLS）ポリシーを形式化するために、Roger R. Schellの強力なガイダンスに続いて、David Elliott Bell ^[2]とLeonard J. LaPadulaによって開発された。^[3]^[4]^[5]このモデルは、コンピューターセキュリティポリシーの正式な状態遷移モデルであり、オブジェクトのセキュリティラベルとサブジェクトのクリアランスを使用するアクセス制御ルールのセットを記述する。セキュリティラベルは、最も機密性の高いもの（例：「トップシークレット」）から、最も機密性の低いもの（例：「未分類」または「パブリック」）まである。

ベル・ラパドゥラモデルは、保護とセキュリティの間に明確な区別がないモデルの例である。^[6]

特徴[編集]

ベル・ラパドゥラモデルは、データの完全性を保護するためのルールを記述するBiba Integrity Modelとは対照的に、データの機密性と機密情報への制御されたアクセスに焦点を当てている。この正式なモデルでは、情報システムのエンティティはサブジェクトとオブジェクトに分割される。「安全な状態」の概念が定義されており、各状態遷移は安全な状態から安全な状態に移行することによりセキュリティを維持し、それによりシステムがモデルのセキュリティ目標を満たしていることを帰納的に証明する。ベル・ラパドゥラモデルは、コンピューターシステムで許可される状態のセットを持つ状態マシンの概念に基づいて構築されている。ある状態から別の状態への遷移は、遷移関数によって定義される。

システム状態は、オブジェクトに対するサブジェクトの許可されたアクセスモードのみがセキュリティポリシーに従っている場合、「セキュア」であると定義される。特定のアクセスモードが許可されているかどうかを判断するには、対象のクリアランスをオブジェクトの分類（より正確には、セキュリティレベルを構成する分類とコンパートメントの組み合わせ）と比較して、対象が許可されているかどうかを判断します特定のアクセスモード用。クリアランス/分類スキームは、格子の観点から表現される。このモデルでは、1つの任意アクセス制御（DAC）ルールと2つの必須アクセス制御（MAC）ルールを3つのセキュリティプロパティで定義する：

シンプルセキュリティプロパティは、特定のセキュリティレベルのサブジェクトがより高いセキュリティレベルのオブジェクトを読み取れないことを示している。
*（スター）プロパティは、特定のセキュリティレベルのサブジェクトが、より低いセキュリティレベルのオブジェクトに書き込みできないことを示す。
任意セキュリティプロパティは、アクセスマトリックスを使用して、任意アクセス制御を指定する。

高感度ドキュメントから低感度ドキュメントへの情報の転送は、信頼できるサブジェクトの概念を介して、ベル・ラパドゥラモデルで発生する場合がある。信頼できるサブジェクトは、スタープロパティによって制限されない。信頼できるサブジェクトは、セキュリティポリシーに関して信頼できるものである必要がある。このセキュリティモデルはアクセス制御に向けられており、「読み取り、書き込み」というフレーズが特徴である。Bibaモデル、Clark-Wilsonモデル、Chinese Wallモデルと比較すること。

ベル・ラパドゥラモデルを使用すると、ユーザーは自分のセキュリティレベル以上でのみコンテンツを作成できる（つまり、秘密の研究者は秘密ファイルまたは最高機密ファイルを作成できるが、公開ファイルは作成できない。逆に、ユーザーは自分のセキュリティレベル以下でのみコンテンツを表示できる（つまり、秘密の研究者は公開ファイルまたは秘密ファイルを表示できますが、最高機密ファイルは表示できない。閲覧はできない）。

ベル・ラパドゥラモデルは、そのスコープを明示的に定義しているが、以下の点を十分に取り扱わなかった：

隠れチャネル。事前に設定されたアクションを介した情報の受け渡しについて簡単に説明した。
システムのネットワーク。後のモデリング作業でこのトピックに対処した。
マルチレベルセキュリティ外のポリシー。1990年代初期の研究では、MLSはブールポリシーの 1つのバージョンであり、他のすべての公開されたポリシーと同じであることが示された。

ストロングスタープロパティ[編集]

ストロングスタープロパティは、*（スター）プロパティの代わりとなるもので、サブジェクトは一致するセキュリティレベルを持つオブジェクトのみに書き込むことができる。したがって、通常の*（スター）プロパティで許可されている、より高いセキュリティレベルへの書き込み操作は存在せず、同じセキュリティレベルへの書き込み操作のみが存在する。ストロングスタープロパティは通常、マルチレベルデータベース管理システムに関して論じられており、整合性の問題に動機付けられている。^[7]このストロングスタープロパティはBibaモデルですでに予想されており、Bibaモデルではベル・ラパドゥラモデルとの組み合わせによる強い整合性が、単一レベルでの読み取りと書き込みをもたらしている。

安定の原則[編集]

ベル・ラパドゥラモデルの安定の原則は、サブジェクトまたはオブジェクトの分類が参照されている間は変化しないことを示している。安定の原則には2つの形式がある。「強い安定の原則」は、システムの通常の運用中にセキュリティレベルが変わらないことを示している。「弱い安定の原則」は、セキュリティレベルが、定義されたセキュリティポリシーに違反するような方法で決して変更されない可能性があることを示している。弱い安定ではシステムが最小特権の原則を遵守できるため、弱い安定の方が望ましい。つまり、プロセスは、所有者の許可に関係なく低い許可レベルで開始され、アクションが必要とするにつれて徐々に高い許可レベルを蓄積する。

制限[編集]

機密性、書き込みの制御（整合性の1つの形式）、*-プロパティおよび任意アクセス制御のみに対処する。
秘密のチャネルが言及されているが、包括的に対処されていない
静けさの原則は、セキュリティレベルが動的に変化しないシステムへの適用を制限する。信頼できるサブジェクトを介して、高から低への制御されたコピーが可能である。[編集BLPを使用するシステムの多くには、オブジェクトセキュリティレベルの動的な変更が含まれていない。]

脚注[編集]

^ Hansche, Susan; John Berti; Chris Hare (2003). Official (ISC)2 Guide to the CISSP Exam. CRC Press. pp. 104. ISBN 978-0-8493-1707-1
^ David Elliott Bell, Oral history interview, 24 September 2012. Charles Babbage Institute, University of Minnesota]
^ Bell, David Elliott; LaPadula, Leonard J. (1973). Secure Computer Systems: Mathematical Foundations. MITRE Corporation 2006年4月20日閲覧。.
^ Bell, David Elliott; LaPadula, Leonard J. (1976). Secure Computer System: Unified Exposition and Multics Interpretation. MITRE Corporation.
^ Bell, David Elliott (December 2005). "Looking Back at the Bell-LaPadula Model" (PDF). Proceedings of the 21st Annual Computer Security Applications Conference. Tucson, Arizona, USA. pp. 337–351. doi:10.1109/CSAC.2005.37。 Slides - Looking Back at the Bell-LaPadula Model Archived June 8, 2008, at the Wayback Machine.
^ Landwehr, Carl (September 1981). “Formal Models for Computer Security”. ACM Computing Surveys 13 (3): 8, 11, 247–278. doi:10.1145/356850.356852. ISSN 0360-0300.
^ Sandhu, Ravi S. (1994). "Relational Database Access Controls" (PDF). Handbook of Information Security Management (1994-95 Yearbook). Auerbach Publishers. pp. 145–160. 2017年5月21日閲覧。

参考文献[編集]

Bishop, Matt (2003). Computer Security: Art and Science. Boston: Addison Wesley
Krutz, Ronald L.; Russell Dean Vines (2003). The CISSP Prep Guide (Gold ed.). Indianapolis, Indiana: Wiley Publishing
McLean, John (1994). "Security Models". Encyclopedia of Software Engineering. Vol. 2. New York: John Wiley & Sons, Inc. pp. 1136–1145.

[1] Hansche, Susan; John Berti; Chris Hare (2003). Official (ISC)2 Guide to the CISSP Exam. CRC Press. pp. 104. ISBN 978-0-8493-1707-1

[2] David Elliott Bell, Oral history interview, 24 September 2012. Charles Babbage Institute, University of Minnesota]

[3] Bell, David Elliott; LaPadula, Leonard J. (1973). Secure Computer Systems: Mathematical Foundations. MITRE Corporation 2006年4月20日閲覧。.

[4] Bell, David Elliott; LaPadula, Leonard J. (1976). Secure Computer System: Unified Exposition and Multics Interpretation. MITRE Corporation.

[5] Bell, David Elliott (December 2005). "Looking Back at the Bell-LaPadula Model" (PDF). Proceedings of the 21st Annual Computer Security Applications Conference. Tucson, Arizona, USA. pp. 337–351. doi:10.1109/CSAC.2005.37。 Slides - Looking Back at the Bell-LaPadula Model Archived June 8, 2008, at the Wayback Machine.

[6] Landwehr, Carl (September 1981). “Formal Models for Computer Security”. ACM Computing Surveys 13 (3): 8, 11, 247–278. doi:10.1145/356850.356852. ISSN 0360-0300.

[7] Sandhu, Ravi S. (1994). "Relational Database Access Controls" (PDF). Handbook of Information Security Management (1994-95 Yearbook). Auerbach Publishers. pp. 145–160. 2017年5月21日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]