クラーク・ウィルソン・モデルとは【用語集詳細】
クラーク・ウィルソン・モデル(Clark Wilson Model)は、主に私企業における情報の完全性を確保するために提唱されたセキュリティモデルです。
1987年にDavid D. ClarkとDavid R. Wilsonによって公開されました。
クラーク・ウィルソン・モデルでは、情報システム内のデータを制限データと非制限データに分類し、制限データに対しては完全性ポリシーを適用します。
制限データに対しては、完全性検証プロセス(Integrity Verification Procedure)および変更プロセス(Transformation Procedure)という2つのプロセスを適用します。
完全性検証プロセスでは、データが適切な状態にあることを検証し、変更プロセスではデータをある状態から別の状態に変更します。
データの処理は常に完全性ポリシーによる監視と制御を受け、サブジェクトではなく、変更プロセスのみがデータにアクセスし、変更することができます。
クラーク・ウィルソン・モデルは、以下の9つのルールに基づきます。
- システムはあらゆる制限データの完全性を検証するポリシーを保有している。
- 変更ポリシーの適用は、対象となる制限データの完全性を保持するものでなければならない。
- 制限データの変更は、変更ポリシーによってのみ行われる。変更ポリシーは、職務の分離および最小特権の原則を守るものでなけれならない。
- 変更ポリシーの行動はログされなければならない。
- 変更ポリシーが非制限データを変更した場合、当該データは制限データに変更されなければならない。
- 承認された変更ポリシーのみが、制限データにアクセスできる。
- ユーザーは変更ポリシーからの認可を通じてのみ制限データにアクセス可能である。
- システムは、変更ポリシーを実行しようとするあらゆるユーザーに対して認証を行う
- 管理者のみが変更ポリシー認可を設定可能である