行レベルの細分度を備えたマルチレベル・セキュリティーのインプリメント

行レベルの細分度を備えたマルチレベル・セキュリティーをインプリメントする際に、オブジェクト・レベルのマルチレベル・セキュリティーはインプリメントしてもしなくても構いません。 オブジェクトレベルでマルチレベルセキュリティを実装する場合は、 RACF で Db2 オブジェクトすべてに対してセキュリティラベルを定義し、外部セキュリティアクセス制御の承認終了ルーチンをインストールする必要があります。 アクセス制御認証終了ルーチンまたは RACF アクセス制御を使用しない場合は、 Db2 ネイティブ認証制御を使用できます。

行レベルの細分度を備えたマルチレベル・セキュリティーをインプリメントする際に、オブジェクト・レベルのマルチレベル・セキュリティーはインプリメントしてもしなくても構いません。

推奨事項: 行レベルの細分度を備えたマルチレベル・セキュリティーとともに、オブジェクト・レベルのマルチレベル・セキュリティーも使用するようにしてください。 RACF をマルチレベルセキュリティで使用することで、実行時に独立したチェックを行い、常にデータに対するユーザーの権限をチェックすることができます。

Db2 は、ユーザーのセキュリティー・ラベルを、アクセスされる行のセキュリティー・ラベルと比較することにより、行レベルの細分度を備えたマルチレベル・セキュリティーを実行します。 セキュリティー・ラベルは同一ではなくても、等価となる可能性があるため、Db2 は RACROUTE REQUEST=DIRAUTH マクロを使用して、2 つのセキュリティー・ラベルが同じではない場合にこの比較を行います。 SELECT などの読み取り操作の場合、Db2 は ACCESS=READ を使用します。 更新操作の場合、Db2 は ACCESS=READWRITE を使用します。

行レベルの細分度を備えたマルチレベル・セキュリティーに対する write-down privilege (ライトダウン権限) には、以下のような特性があります。

• write-down privilege (ライトダウン権限) を持つユーザーは、行のセキュリティー・ラベルを任意の有効な値に更新できます。 ユーザーは、ユーザーと行との優位関係がどのようなものであっても、この更新を行うことができます。
• Db2 は、ユーザーが特定のユーティリティーを実行するための書き込み権限を持っている必要があります。
• write-down control (ライトダウン制御) が使用可能にされていない場合は、有効なセキュリティー・ラベルを持つすべてのユーザーが、write-down privilege (ライトダウン特権) を持つユーザーと同等です。