これは歴史的な代物だが、その思想は今も生きている。

TCSECとは何か

TCSEC (Trusted Computer System Evaluation Criteria) は、1980年代に米国国防総省 (DoD) が定めたコンピュータセキュリティの評価基準だ。その名の通り、信頼できるコンピュータシステムとは何か、その「信頼性」をどう評価するかを定義したものだ。 表紙がオレンジ色だったことから「オレンジブック」という通称で知られている。

なぜ必要だったのか

当時の主な目的は、軍事・政府機関がコンピュータシステムを調達する際の、統一されたセキュリティの物差しを作ることだった。 「このシステムは機密情報を扱えるレベルか？」を客観的に判断するために、セキュリティ機能を階層的なクラスに分類し、明確な基準を設けた。

評価の階層

TCSECの核心は、このセキュリティレベルの分類にある。下から上へ、厳格性が増していく。

• D: Minimal Protection 評価基準を満たさなかったシステム。要するに「落第」だ。
• C: Discretionary Protection (任意保護)
  • C1: ユーザーとグループによってアクセスを制御する、基本的なセキュリティ機能を持つ。
  • C2: C1を強化し、ユーザー単位でのアクセス制御や、監査（ログ記録）機能が要求される。一般的なOSがこれに該当した。
• B: Mandatory Protection (強制保護) ここからが本番だ。システムの管理者が定めたセキュリティポリシーに基づき、アクセス制御を「強制的」に行う。ユーザーが勝手に権限を変更することは許されない。
  • B1: データに「機密」「部外秘」といったラベルを付け、そのラベルに基づいてアクセスを強制的に制御する (MAC)。
  • B2: B1をさらに形式的にし、システムの構造化や、不正な情報経路（ covert channel）の分析が求められる。
  • B3: さらに厳格化。システムの動作を監視する「リファレンスモニタ」の概念などが導入される。
• A1: Verified Protection 最高レベル。セキュリティモデルが数学的な手法を用いて形式的に証明されていることが要求される。

現在の立ち位置

はっきり言うが、TCSEC自体はもう古い。1990年代後半には、これをベースに欧州の基準なども取り込んだ、国際標準の「コモンクライテリア (Common Criteria, ISO/IEC 15408)」にその役目を譲っている。 だが、ここで定義された任意アクセス制御 (DAC) や強制アクセス制御 (MAC) といった概念は、現在のセキュリティ技術を理解する上で極めて重要な基礎知識だ。歴史としてではなく、セキュリティの基本原則として学んでおくべきものだ。