Bell-La PadulaモデルとBibaモデルの違い
セキュリティ分野では、システムやデータを守るためにセキュリティモデルという理論的な枠組みが定義
その中でも代表的なのが、Bell-La Padula(BLP)モデル と Bibaモデル
前者は「機密性(Confidentiality)」、後者は「完全性(Integrity)」を中心に設計
Bell-La Padula(BLP)モデルとは?
目的:機密性(Confidentiality)の保持
情報が「上位レベル(機密)」から「下位レベル(公開)」へ漏れないようにする。
基本ルール
| 規則 | 名前 | 内容 |
|---|---|---|
| No Read Up(単純セキュリティ特性) | 上位レベルの情報は読めない | 例:秘密文書は「機密許可なし」のユーザーは読めない |
| No Write Down(スター特性:★-property) | 下位レベルへの書き込み禁止 | 例:機密文書を一般公開フォルダに書き出すのは禁止 |
イメージ
- 「上を見ること(読む)」は禁止(=上位情報の漏洩防止)
- 「下に書くこと」も禁止(=情報の拡散防止)
使われる場面
- 軍事・政府機関など、情報の階層(Top Secret / Secret / Confidential)を扱う環境。
- 例:米国国防総省のアクセス制御モデル。
Bibaモデルとは?
目的:完全性(Integrity)の保持
データが「信頼できるレベル」から「信頼できないレベル」に汚染されないようにする。
基本ルール
| 規則 | 名前 | 内容 |
|---|---|---|
| No Write Up(単純完全性特性) | 上位レベルへの書き込み禁止 | 例:下位ユーザーが高信頼データを上書きできない |
| No Read Down(★-property) | 下位レベルの情報は読めない | 例:信頼すべきシステムが、不正確なデータを読まない |
イメージ
- 「上に書くこと」禁止(=低信頼データが高信頼領域を汚染しない)
- 「下を読むこと」禁止(=信頼性を失わない)
使われる場面
- 産業制御システム、金融トランザクション、データ整合性が重要な環境。
両モデルの比較
| 比較項目 | Bell-La Padula(BLP) | Bibaモデル |
|---|---|---|
| 目的 | 機密性(Confidentiality) | 完全性(Integrity) |
| 主な考え方 | 情報漏えいの防止 | データ汚染の防止 |
| 読みの制限 | No Read Up(上を読めない) | No Read Down(下を読めない) |
| 書きの制限 | No Write Down(下に書けない) | No Write Up(上に書けない) |
| 主な利用分野 | 政府・軍事・機密情報管理 | 産業制御・金融・品質重視のシステム |
| 情報の方向 | 下から上へ流す(情報は上向き) | 上から下へ流す(データ信頼性を下向きに) |
まとめ
- Bell-La Padula:情報漏えいを防ぐ「機密性モデル」
- Biba:誤改ざんを防ぐ「完全性モデル」
- 両者は真逆のルールで構成されるが、併用することでセキュリティの三大要素(CIA)を補完。