Eligibirityを持っている人についても、ランキングがある。これは情報のレベルが関係する。以前「ゼロ・トラスト」の考え方を紹介した時に、6つのものを整理しておく必要があると述べた。
ゼロ・トラストって何?(前編) - Cyber NINJA、只今参上 (hatenablog.com)
ここでいう<Identity>を、国家安全保障の分野で整理したのが「セキュリティ・クリアランス制度」と思ってもらっていい。そして<Data>の整理も必要だ。それは、
◆Classified 機密に指定された情報
・Top Secret(機密)漏れたことで致命的なダメージを受ける情報
・Secret(極秘)漏れたことで重大なダメージを受ける情報
・Confidential(秘)漏れたことでダメージを受ける情報
の3レベルがあり、各々別のネットワークシステム上で管理されている。いわば3段キャビネットの全部に、違う鍵が付いているようなものだ。さらにその下に、
◇Unclassified 機密には含まれない情報
・CUI(Controlled Unclassified Information)
がある。<Identity>と<Data>の関係はと言うと、
・Top Secretにアクセスできる人は約225万人、ただしアクティブなのは120万人ほど
・Secret/Cofidentialにアクセスできる人は約290万人、アクティブなのは160万人ほど
・CUIにアクセスできる人は(Eligibirityの外数だが)約400万人
となっている。では具体的に「情報」ってどんなものがあるかというと、大統領令13526に例示があった。
1)米軍の計画、兵器システム、軍事行動
2)外国政府情報
3)諜報活動、情報源、方法論、暗号学
4)外交もしくは、秘密情報源を含む海外活動
5)国家安全保障に関する、科学情報・技術情報・経済情報
6)核物質、設備を守る政府プログラム
7)国家安全保障に関する、システム・インフラ・プロジェクト・防御サービス等の脆弱性や性能情報
8)大量破壊兵器の、開発・製造・利用
これらの中身が、上記4区分に整理され必要とされる職種の人にのみアクセス権が与えられるわけだ。
<続く>
