Go to Qiita Advent Calendar Top
LoginSignup
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@nozomi2025

【セキュリティモデル】Bell-La Padula モデル入門:機密性を守るセキュリティモデル

Last updated at Posted at 2025-09-22

はじめに

情報セキュリティの世界では、機密性(Confidentiality)完全性(Integrity)可用性(Availability) の「CIAトライアド」が重要とされています。
その中でも 機密性を最優先に設計された古典的なモデル が、1970年代にアメリカ国防総省向けに提案された Bell-La Padula(BLP)モデル です。

本記事では、このモデルの基本概念と特徴、図解を用いたルールの理解、そして実際にどのように適用されるかを整理します。

Bell-La Padula モデルとは?

  • 1973年に David Elliott BellLeonard J. LaPadula によって提案。
  • 軍事・政府システムにおける 強制アクセス制御(Mandatory Access Control: MAC) をベースに、情報の機密性を厳格に守ることを目的としています。
  • 「情報漏洩を防ぐ」ことに特化 しており、完全性や可用性は対象外です。

基本概念

  1. セキュリティレベル(ラベル)
    • 情報は「機密区分(Top Secret, Secret, Confidential, Unclassified)」などで分類されます。
    • ユーザーやプロセスは クリアランス(許可レベル) を持ちます。
  2. 主体(Subject)と客体(Object)
    • 主体:ユーザーやプロセス(能動的に操作する側)。
    • 客体:ファイルやデータベースなど(受動的に格納される側)。
  3. アクセスモード
    • 読み取り(Read)、書き込み(Write)、実行(Execute)など。

主要ルール(BLPの三大特性)

1. 単純セキュリティ特性(Simple Security Property)

  • 「No Read Up」
  • 主体は、自分のクリアランスより 上位の情報を読めない
  • 例:Secret のユーザーは Top Secret 文書を読めない。

2. *-プロパティ(Star Property, No Write Down)

  • 「No Write Down」
  • 主体は、自分のクリアランスより 下位の情報へ書き込めない
  • 情報の「格下げによる漏洩」を防止。
  • 例:Top Secret ユーザーは Confidential 文書に書き込みできない。

3. 任意セキュリティ特性(Discretionary Security Property)

  • アクセス制御行列などに基づいて、個別の権限管理 を追加で行う。
  • 強制制御(MAC)に加え、任意制御(DAC)も併用。

図解で理解する Bell-La Padula

Mermaid 図での表現

  • 実線矢印:上から下への 書き込み禁止(No Write Down)
  • 点線矢印:下から上への 読み取り禁止(No Read Up)

上下関係イメージ図

 ↑ 読むのは禁止(No Read Up)
 │
 │   ┌──────────────┐
 │   │   Top Secret │  ← 最上位
 │   └──────────────┘
 │   ┌──────────────┐
 │   │     Secret   │
 │   └──────────────┘
 │   ┌──────────────┐
 │   │ Confidential │
 │   └──────────────┘
 │   ┌──────────────┐
 │   │ Unclassified │  ← 最下位
 │   └──────────────┘
 │
 ↓ 書くのは禁止(No Write Down)

このように、Bell-La Padula モデルは「情報が下方向に漏れること」を防ぎ、機密性を守ります。

具体例

例えば、軍事システムを考えましょう。

  • Alice = Secret クリアランス
  • Bob = Confidential クリアランス
  • 文書 X = Top Secret
  • 文書 Y = Confidential
  • Alice は文書 X を 読めない(No Read Up)
  • Alice は文書 Y に 書き込めない(No Write Down)

➡ 情報は 下方向に漏れない仕組み になっています。

メリットとデメリット

メリット

  • 機密性を厳格に保証できる。
  • 軍事・政府システムのような 情報漏洩が許されない環境 に適合。

デメリット

  • 完全性や可用性を考慮しない
  • 商用システムに適用すると「使いにくい」。
  • 柔軟性に欠け、現代のビジネス用途には不向き。

(※ そのため、Bibaモデル(完全性重視)Clark-Wilsonモデル などと組み合わせて使われます。)

まとめ

  • Bell-La Padula モデルは 「機密性最優先」 のセキュリティモデル
  • No Read Up / No Write Down という単純かつ強力なルールで情報漏洩を防ぐ
  • 図解で理解すると「情報が下方向に落ちない仕組み」であることが直感的に分かる
  • 現代でもセキュリティ基礎を学ぶ上で欠かせない存在

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?