ZTCAP - 執行ポリシー構造の改善
| バージョン | 著者 | 日付 | 変更内容 |
|---|---|---|---|
| 1.0 | ソン・ヒス | 2026-03-03 | 最初の作成 |
| 2.0 | ソン・ヒス | 2026-03-04 | イベント依存構造 + グループ別選択方式で改善 |
| 3.0 | ソン・ヒス | 2026-03-10 | 5つの同等グループ構造に改善、"状態維持"を削除、衝突組み合わせ検証を追加 |
| 4.0 | ソン・ヒス | 2026-03-11 | 暗号化/復号化を1つのグループに統合し、4つのグループ構造に変更 |
1. 機能概要
条件付きポリシー設定時の実行ポリシーを4つの独立したグループ構造に変更します。
各グループは同等のレベルで独立して許可/ブロックを制御できますが、グループ間での複数選択, グループ内では単一選択柔軟なポリシーの組み合わせを可能にします。
コア設計原則
- ドキュメントイベント(暗号化/復号化/カプセル化の持ち出し) = ユーザー/アプリが要求された行為(トリガー)
- 執行ポリシー= そのリクエストに対してシステムが実際に行う動作(応答)
- 4つのグループが同等のレベルで独立して動作 (主動作 / 副動作の区別なし)
- 暗号化と復号化は同一グループ内の単一選択で相反する組み合わせを構造的に防止します。
運用シナリオ
- 条件付きポリシーの作成/修正画面での実行ポリシーセクションへのアクセス
- 4つのグループがすべて表示され、各グループごとに許可/ブロックのトグル設定が行われます。
- 許可選択時のグループ内詳細オプションの選択と設定
2. 現在提供されている機能 (AS-IS)
制約事項
- 実行ポリシーは単一選択方式です
- 一つの実行ポリシーのみ適用可能(相互排他構造)
- ポリシー間の組み合わせ適用不可
- 追加の動作(隠された情報、セキュリティラベル)は主な動作(暗号化、復号化)と同じレベルに混在していますが、1つだけ選択可能です。
- "状態維持"は実質的にブロックを意味しますが、直感的ではありません。
3. 改善機能の概要 (TO-BE)
主要な改善点
- 執行ポリシーを4つの独立したグループによる構造化 (同等のレベル)
- グループ間: 複数選択可能(独立して許可/ブロック)
- グループ内: 単一選択 (相互排他的オプション)
- 暗号化/復号化を1つのグループに統合→ グループ内単一選択による衝突防止
- "状態維持" 削除→ すべてのグループをブロック = 状態を維持
4. 実行ポリシーグループ構造
4.1 グループ分類
| グループ | 含まれる項目 | グループ内選択 | 許可/ブロック |
|---|---|---|---|
| 1. 暗号化と復号化 | DRMによる暗号化、AIPによる暗号化、復号化、平文化 | 単一選択(1つ選択) | トグル |
| 2. カプセル化の持ち出し | カプセル化の持ち出し | 単一項目 (詳細権限設定) | トグル |
| 3. ドキュメントのランク付け | セキュリティレベル | ランク選択 | トグル |
| 4. 隠し情報の挿入 | キー/バリュー メタデータの挿入 | キー/バリュー入力 | トグル |
すべてのグループが同等のレベルで独立して動作します。主動作 / 副動作の区別はありません。 暗号化と復号化は同一グループ内の単一選択であるため、同時適用が構造的に不可能です。
4.2 選択ルール
グループ間: 複数選択 (独立した許可/ブロックトグル) /グループ内: 単一選択 (ラジオ)
1. 暗号化 — 許可 / 拒否 トグル
- グループ内単一選択(ラジオ)
- ○ DRMによる暗号化 → 詳細設定: 暗号化タイプ(DAC/MAC/GRADE)、ポリシーID、文書権限
- ○ AIPで暗号化 → 詳細設定: AIPラベルの選択
- ○ 復号化 → 外部暗号化レイヤーのみ解除
- ○ 平文化 → すべての暗号化レイヤーを完全に解除
2. カプセル化の出力 — 許可 / ブロック トグル
- 許可時の詳細設定:
- 別名で保存: 許可 / ブロック (許可した場合はパスワード解除権限が自動的に付与されます)
- 読み取り(閲覧):許可 / ブロック、回数設定(1~99または無制限)
- 印刷: 許可 / ブロック、回数設定 (1~10)
- 破棄: 許可 / ブロック、有効期限の設定
- OLESOM Viewer: 許可 / ブロック
3. ドキュメントのランク指定 — 許可 / ブロック トグル
- 許可時の詳細設定:
- セキュリティレベル(Security Level)の選択 → Security365ポータルに登録されたレベルのリスト
4. 隠し情報の挿入 — 許可 / ブロック トグル
- 許可時の詳細設定:
- キー値の入力 (20文字以下)
- 値を入力してください(1000文字以内)
- 登録ボタンでキー-バリューのペアを追加
- 登録された項目はリストとして表示され、個別に削除可能です。
4.3 グループ内単一選択理由(相互排他)
| グループ | 相互排他理由 |
|---|---|
| 1. 暗号化と復号化 | DRM暗号化、AIP暗号化、復号化、平文化は同一文書に同時に適用できません。1つの処理方式のみを選択する必要があります。 |
4.4 グループ間の組み合わせ
グループ間での複数選択が可能で、すべての組み合わせが許可されていますなります。暗号化/復号化の衝突は、グループ内の単一選択によって構造的に防止されます。
| 組み合わせ | 可能かどうか | 理由 |
|---|---|---|
| 暗号化 + カプセル化 輸出 | 可能 | 暗号化解除後の結果物をSOMに出力する(順次処理) |
| 暗号化 + 文書の格付け | 可能 | 暗号化と復号化時のメタデータにランク付け |
| 暗号化 + 隠蔽情報挿入 | 可能 | ヘッダーに隠された情報を挿入する暗号化と復号化 |
| カプセル化の持ち出し + 文書のグレード指定 | 可能 | 持ち出し時のランク付け |
| カプセル化の反出 + 隠蔽情報の挿入 | 可能 | 輸出時の隠蔽情報挿入 |
| 文書のグレード指定 + 隠し情報の挿入 | 可能 | メタデータの同時操作 |
5. "状態維持" 処理の変更
AS-IS
- 「状態維持」が7つ��の執行ポリシーの1つとして同じレベルに存在
- 実質的に「ブロック」の意味ですが、直感的ではありません。
TO-BE
- "状態維持"項目削除
- すべてのグループの**"ブロック" トグルが同じ役割**実行
- 4つのグループすべてをブロック = 既存の「状態を維持」と同じ効果(何の動作も実行しない)
- 部分ブロック + 部分許可可能(従来は不可能だったシナリオ)
- 例: 暗号化はブロックしますが、文書のランク付けと隠された情報の挿入のみを許可します
- 例: 暗号化はブロックしますが、セキュリティレベルのみを変更します。
- 管理者に「許可/拒否」という明確な意思決定構造を提供
6. 執行ポリシー設定画面構成
6.1 画面構造
┌─────────────────────────────────────────────────────┐
│ 집행 정책 │
│ 각 그룹을 독립적으로 허용/차단 설정할 수 있습니다. │
├─────────────────────────────────────────────────────┤
│ │
│ 1. 암복호화 ─────────────────── [허용 / 차단 토글] │
│ ○ DRM으로 암호화 │
│ - 암호화 유형: DAC / MAC / GRADE 선택 │
│ - 정책 ID 입력 │
│ - 문서 권한: 읽기, 편집, 암호화 해제, │
│ SOM 반출, 프린트, 마킹, 권한 변경 │
│ ○ AIP로 암호화 │
│ - AIP 레이블 선택 │
│ ○ 복호화 (외부 암호화 레이어만 해제) │
│ ○ 평문화 (모든 암호화 레이어 완전 해제) │
│ │
│ 2. 캡슐화 반출 ────────────── [허용 / 차단 토글] │
│ - 다른 이름 저장: 허용 / 차단 │
│ - 읽기(열람): 허용 / 차단, 횟수 설정 │
│ - 프린트: 허용 / 차단, 횟수 설정 │
│ - 파기: 허용 / 차단, 유효기간 설정 │
│ - OLESOM Viewer: 허용 / 차단 │
│ │
│ 3. 문서 등급 지정 ─────────── [허용 / 차단 토글] │
│ - 보안 등급 선택 (Security365 포탈 연동) │
│ - 하위 보안 레이블 선택 │
│ │
│ 4. 은닉 정보 삽입 ─────────── [허용 / 차단 토글] │
│ - Key (20자 이하) / Value (1000자 이하) 입력 │
│ - [등록] 버튼으로 추가, 리스트 표시 │
│ │
└─────────────────────────────────────────────────────┘
6.2 トグル動作
- 許可トグル ON: グループ内の詳細オプションが展開されて表示される
- ブロックトグル ON: 詳細設定全体折りたたみ(該当動作を実行しません)
- 拡張/縮小アニメーションの提供 (100ms以内)
6.3 ポリシーリスト画面の表示
- 許可されたグループを組み合わせて表示
- 例:
DRM으로 암호화 + 캡슐화 반출 + 은닉 정보 삽입 - 例:
평문화 + 문서 등급 지정 - 例:
모두 차단(= 既存の「状態を維持」) - ツールチップ: マウスオーバー時に詳細設定情報を表示
7. 執行ポリシー設定プロセス
7.1 設定フロー
7.2 ステップバイステップのフロー説明
1. 정책 생성/수정 화면 접근
↓
2. 집행 정책 섹션에서 4개 그룹이 모두 표시됨
- 1. 암복호화
- 2. 캡슐화 반출
- 3. 문서 등급 지정
- 4. 은닉 정보 삽입
↓
3. 각 그룹별로 허용/차단 토글 설정
- 허용 시: 그룹 내 옵션 단일 선택 (라디오) + 세부 설정 확장
- 차단 시: 세부 설정 접힘 (해당 동작 수행하지 않음)
↓
4. 저장
- 모든 그룹 차단 = 기존 "상태 유지"와 동일 효과
- 하나 이상 허용 = 허용된 그룹의 동작 순차 실행
8. 実際の適用シナリオ
シナリオ 1: 機密文書の外部持ち出し
문서 이벤트: 암호화
집행 정책:
1. 암복호화: 허용 → DRM 암호화 (DAC, 정책ID: P001, 읽기+프린트 권한)
2. 캡슐화 반출: 허용 → 읽기 10회, 프린트 2회, 파기 30일
3. 문서 등급: 허용 → 기밀 등급
4. 은닉 정보: 허용 → Key: "부서", Value: "제품기획부"
→ 결과: DRM 암호화 + SOM 반출 + 기밀 등급 부여 + 은닉 정보 삽입
シナリオ 2: 公開文書の自動復号化
문서 이벤트: 복호화
집행 정책:
1. 암복호화: 허용 → 평문화 (전체 해제)
2. 캡슐화 반출: 차단
3. 문서 등급: 허용 → 공개 등급
4. 은닉 정보: 차단
→ 결과: 전체 복호화 + 공개 등급 재지정
シナリオ 3: 等級/隠蔽情報のみ付与 (状態維持 + 部分許可)
문서 이벤트: 암호화
집행 정책:
1. 암복호화: 차단 ← 암복호화는 안 하지만
2. 캡슐화 반출: 차단
3. 문서 등급: 허용 → 비밀 등급 ← 등급만 부여
4. 은닉 정보: 허용 → Key: "프로젝트", Value: "Alpha" ← 은닉 정보만 삽입
→ 결과: 문서 상태는 유지하면서 메타데이터만 조작
シナリオ 4: 完全ブロック (= 既存の「状態維持」)
문서 이벤트: 암호화
집행 정책:
1. 암복호화: 차단
2. 캡슐화 반출: 차단
3. 문서 등급: 차단
4. 은닉 정보: 차단
→ 결과: 아무 동작도 수행하지 않음 = 기존 "상태 유지"와 동일
9. AS-IS vs TO-BE 比較
| 比較項目 | AS-IS | TO-BE |
|---|---|---|
| 実行ポリシーの選択 | 7つ中単一選択 | 4つのグループ複数選択 |
| 構造 | フラットリスト | 独立グループ (同等レベル) |
| 暗号化/復号化 | 別項目として分離 | グループとして統合(単一��選択) |
| 主動作/副動作 | 同じレベルに混在 | 区分なし(すべて等しい) |
| 状態維持 | 別途執行ポリシー | 削除→ すべてのグループをブロック = 状態を維持 |
| 部分ブロック + 部分許可 | 不可能 | 可能 |
| ポリシーの組み合わせ | 不可能 (1つだけ) | 可能(グループ間のすべての組み合わせを許可) |
| 衝突組合検証 | なし | 不必要(グループ内単一選択による構造的防止) |
| 拡張性 | 項目追加時のリストの長さが増加する | グループを追加するだけで大丈夫です。 |