DMS では、ユーザーが機密カラムの感度レベルを変更するチケットを送信すると、DMS は [承認ルール検証] チェックポイントで設定されたセキュリティルールを評価します。このページでは、これらのチケット向けのデフォルト承認テンプレートの設定方法およびカスタムセキュリティルールの作成方法について説明します。
仕組み
DMS は、秘密度を 3 段階の階層で管理します。低い方から順に、内部、機密、および 極秘です。ユーザーが機密カラム変更チケットを送信すると、DMS は [承認ルール検証] チェックポイントのルールを [機密カラム変更] モジュール内で評価します。
評価には、次の 2 つの構成要素を使用します。
要因 — チケットコンテキスト (感度レベル変更の方向など) を公開する事前定義された変数です。これらを使用してルール条件を記述します。
操作 — DMS がルール条件を満たしたときに実行する操作で、送信のブロックや承認テンプレートへのルーティングなどが含まれます。
承認プロセスが設定されていない場合や、カスタムルールが一致しない場合は、デフォルト承認テンプレートが適用されます。
要因とアクション
要因
要因名は、@fac.<display-name> の形式です。
以下のファクターは、[機密列変更] モジュール内の [承認ルール検証] チェックポイントで利用できます。
| 要因 | 説明 |
|---|---|
@fac.column_level_change_type | 感度レベル変更の方向です。有効な値: upper、sensitive_to_inner、confidential_to_sensitive、confidential_to_inner。 |
column_level_change_type 要因は、次の値を取ります。
| 値 | 変更方向 |
|---|---|
upper | 上位レベル — 内部 → 機密、内部 → 極秘、機密 → 極秘 の 3 つのケースをカバーします。 |
sensitive_to_inner | 機密 → 内部 |
confidential_to_sensitive | 機密 → センシティブ |
confidential_to_inner | 極秘 → 内部 |
アクション
アクション名は、@act.<display-name> の形式です。
| アクション | 説明 |
|---|---|
@act.forbid_submit_order | チケットの提出をブロックします。形式: @act.forbid_submit_order 'Reason for blocking' |
@act.do_not_approve | 使用する承認テンプレートの ID を指定します。詳細については、「承認プロセスの設定」をご参照ください。 |
完全な DSL 構文については、「セキュリティルールの DSL 構文」をご参照ください。
事前定義されたルールテンプレート
DMS では、[機密列の変更] モジュールの [承認ルール検証] チェックポイント配下に、4つの事前定義ルールテンプレートが用意されています:
感度レベルを上位レベルに変更する場合、承認は不要です。
機密 → 内部 変更の承認プロセス
機密 → 機微への変更の承認プロセス
極秘 → 内部 変更の承認プロセス
ルールを作成するときにこれらのテンプレートをロードするか、カスタムルールの開始点として使用します。
デフォルト承認テンプレートの変更
デフォルトの承認テンプレートは、[承認ルール検証] チェックポイントでカスタムルールが一致しない場合に、機微な列変更チケットに適用されます。
前提条件
開始する前に、次のことを確認してください。
DMS コンソール V5.0 へのアクセス
-
ポインターを左上隅の
アイコンに合わせ、 を選択します。説明DMS コンソールを通常モードで使用する場合は、上部ナビゲーションバーで を選択します。
-
ポインターを左上隅の
アイコンに移動し、 を選択します。説明DMS コンソールを通常モードで使用する場合は、上部のナビゲーションバーでを選択します。
セキュリティルールセットを編集する権限
手順
DMS コンソール V5.0 にログインします。
左上隅で、
アイコンにマウスを合わせ、[すべての機能] > [セキュリティと仕様] > [セキュリティルール] を選択します。DMS コンソールを通常モードで使用する場合は、上部ナビゲーションバーで [セキュリティと仕様] > [セキュリティルール] を選択します。
編集するルールセットを見つけ、[編集] を [操作] 列でクリックします。
「詳細」ページの左側のナビゲーションウィンドウで、「セキュリティと仕様」>「機微な列の変更」を選択します。
[チェックポイント] を [基本構成項目] に設定します。
「[機微な列のデフォルト承認テンプレート]」設定項目を見つけ、[編集] を [操作] 列でクリックします。
「[設定項目の変更]」ダイアログボックスで、「[承認テンプレートの切り替え]」をクリックします。
使用するテンプレートを [テンプレート名] で検索し、[操作] 列の [選択] をクリックします。
承認を完全にスキップするには、[承認不要にリセット] をクリックします。
[送信] をクリックします。
ルールの作成
特定の種類の機密列変更に対する承認動作を制御するために、カスタムセキュリティルールを作成します。
前提条件
開始する前に、次のことを確認してください。
DMS コンソール V5.0 へのアクセス
セキュリティルールセットを編集する権限
手順
DMS コンソール V5.0 にログインします。
左上隅で、
アイコンにマウスを合わせ、[すべての機能] > [セキュリティと仕様] > [セキュリティルール] を選択します。DMS コンソールを通常モードで使用する場合、上部ナビゲーションバーで [セキュリティと仕様] > [セキュリティルール] を選択します。
編集するルールセットを検索し、[編集] を [操作] 列でクリックします。
「[詳細]」ページの左側のナビゲーションウィンドウで、「[セキュリティと仕様]」>「[機微な列の変更]」を選択します。
[チェックポイント] を [基本構成項目] に設定します。
「[ルールの作成]」をクリックし、パラメーターを入力します。
パラメーター 必須 説明 チェックポイント はい 承認ルールの検証ルールのチェックポイントです。[機密列変更] モジュールでは、 チェックポイントを使用できます。 テンプレートデータベース いいえ 出発点として利用できる事前定義ルールテンプレートです。チェックポイントを選択した後、[テンプレートデータベースから読み込む] をクリックし、テンプレートを選択します。利用可能なテンプレートについては、「事前定義ルールテンプレート」をご参照ください。 ルール名 はい ルールの名前です。[テンプレートデータベース] からロードすると自動入力されます。 Rule DSL はい ルールの DSL 文です。[テンプレートデータベース] からロードすると自動入力されます。構文の詳細については、「セキュリティルールの DSL 構文」をご参照ください。 [送信] をクリックします。
新しいルールは、デフォルトで[無効]になっています。ルールを有効化するには、現在のページにあるチェックポイントを選択し、該当のルールを見つけ、[操作]列の[有効化]をクリックして、[OK]をクリックします。