組織であれ、家であれ、誰でも全てのデータを利用できるというケースは少ないでしょう。社内資料を外に持ち出すことを禁止したり、写真を非公開にしたりと他の人が利用できないようにする処置が施されています。このように、アクセスするものとアクセスされる側を中継し、乱用されないようにする制御をアクセス制御といいます。アクセスする側、アクセスされる側という言い方をしましたが、主体と対象、サブジェクトとオブジェクトという表現もあります。CISSPの試験は基本的には英語です。日本語に翻訳される形式もありますが、どのように翻訳されるかわかりませんから、サブジェクト・オブジェクトという英語での表現も覚えておくとよいでしょう。
話を戻してアクセス制御ですが、サブジェクトとオブジェクトというのは、単にアクセスする側とされる側を分けただけの抽象的な定義です。アクセス制御をするためにはそのサブジェクトとオブジェクトの信頼度や重要度に応じたレベルわけが必要です。この振り分けのことをサブジェクトクリアランス、オブジェクトラベリングという言い方をします。
ここでは、アクセスされる側、オブジェクト側についてお話します。オブジェクトを適切な機密レベルに割り当てることをラベリングといいます。ラベリングは、機密性の高いデータが不適切に取り扱われないようにしたり、法律や規制に基づいて必要な保護措置を講じるために行います。また、すべてのデータを最高機密に指定すると、すごい特権を持つ人しかそのデータにアクセス出来なくなり、効率が非常に悪くなりますので、データの価値や感度に応じた分類をしていきます。
ラベリングをするにはまず、組織内の全てのデータを特定し、リストアップします。次に、各データの価値、感度、法的要求事項を評価します。このデータの評価結果に基づいて、適切な分類ラベルを決定します。そして、決定されたラベルをデータに適用し、文書化します。データの分類が適切に維持されるよう、定期的なレビューと更新を行います。
多くの世界政府で使用されているオブジェクトラベルは、機密、秘密、極秘です。それぞれ無許可で開示された場合の損害の規模によって区分されます。それに加えて、未分類で機密ではないデータ、機密であるが分類されていないデータなどの追加のラベルが存在します。 機密であるが分類されていないというのは、入隊員の医療記録などの完全に管理下におけないものの機密情報として扱わなければならないものを指します。このようなデータは、公開されることによって通常は国家安全保障上の問題が発生しないことが想定されますが、ちゃんと保護する必要があります。 オブジェクトラベリングは、国家だけではなく民間企業に対しても使用される概念であり、民間企業においては「社内使用のみ」や「自社所有」などのラベルも使用しています。
しかしながら、データの分類をしなければならないのは、セキュリティ専門家であるあなただけではありません。データを分類するのは、とても一般的な作業であり、どの活動にも必要です。つまりあなたは、データを分類することが仕事ではなく、このデータ分類のプロセスや概念を組織内に正しく伝達する必要があります。全社的に明確なデータ分類ポリシーを策定し、周知を行います。従業員に対して定期的なトレーニングを実施し、データ分類の重要性を理解させます。これに加えて、データ分類を支援する自動化ツールを導入し、効率的な管理を行います。勿論、 データ分類の実施状況を定期的に監査し、必要に応じて改善を行います。データの分類は、情報セキュリティの基盤となる重要なプロセスです。適切な分類を行うことで、組織のデータを効果的に保護し、リスクを最小限に抑えることができます。