Trusted Solaris によるラベル付き情報の個別維持

Trusted Solaris は、次の方法によって、異なる機密ラベルの情報を別々に維持することができます。

• ユーザーがシングルレベルまたはマルチレベルセッションを選択する

• ラベル付きワークスペースを使用する

• 機密ラベルに応じてファイルを個別ディレクトリに格納する

• 電子メールトランザクションに MAC を適用する

• オブジェクトを再使用する前にクリアする

ユーザーがシングルレベルまたはマルチレベルセッションを選択する

Trusted Solaris では、セッションに最初にログインしたときに、単一の機密ラベルでの操作か、あるいは複数の機密ラベル (許可されている場合) での操作かを指定するようになっています。その後で、各自の「セッション認可上限」または「セッション機密ラベル」、すなわち、操作の際のセキュリティレベルを設定します。

シングルレベルセッションを選択した場合は、設定したセッション機密ラベルのオブジェクト、またはそれよりも下位のオブジェクトにしかアクセスできません。

マルチレベルセッションを選択した場合は、設定したセッション認可上限と同等、またはそれよりも下位の情報であれば、機密レベルの異なる情報にもアクセスできます。Trusted Solaris 環境では、ワークスペースごとに異なる機密ラベルを指定できます。

ラベル付きワークスペースを使用する

Trusted Solaris のワークスペースには、標準の Solaris オペレーティング環境とまったく同様に、フロントパネルのボタンからアクセスします。ただし、Trusted Solaris の場合は、ワークスペース全体を単一の機密ラベルに指定することができます。これは、マルチレベルセッションで作業しているときに、機密ラベルの異なるファイルに情報を移動したくない場合に大変便利です。

機密ラベルに応じてファイルを個別ディレクトリに格納する

Trusted Solaris には、次のような 2 種類の特殊ディレクトリが用意されており、異なる機密ラベルでファイルやサブディレクトリを保存し、別々に保持することができます。

• マルチレベルディレクトリ (MultiLevel Directory、MLD) - 特殊な種類のディレクトリで、シングルレベルディレクトリと呼ばれる個別のサブディレクトリに、機密ラベルごとに情報を格納します。一般に、管理者が作成するユーザーのホームディレクトリは、このマルチレベルディレクトリです。

• シングルレベルディレクトリ (Single-Level Directory、SLD) - マルチレベルディレクトリ内の隠しサブディレクトリで、単一の機密ラベルだけを持つファイルまたはサブディレクトリを格納します。

ファイルマネージャなどのアプリケーションや、標準コマンドを使用してシェルからマルチレベルディレクトリ内のファイルを表示 (またはアクセス) しようとすると、現在の機密ラベルのファイルだけが表示 (またはアクセス) されます。たとえば、機密ラベルの異なるファイルがホームディレクトリに保存されていても、通常は、現在の機密ラベル以外のファイルは表示されません。

次の図は、マルチレベルディレクトリ内に隠れているシングルレベルディレクトリの概念を図に示したものです。上の図は、「CONFIDENTIAL A B」で作業をしているユーザーの画面上の、ホームディレクトリ /myHomeDir の内容表示状態を示しています。下の図は、「SECRET A B」で作業をしているユーザーの画面を示しています。表示されないディレクトリとファイルは、点線と細字で示されています。実線と太字は、表示されるディレクトリとファイルを示します。シングルレベルディレクトリに割り当てられている機密ラベルは、括弧内に省略形で示されています。ただし、実際には、機密ラベルはディレクトリ名には表示されません。

図 1-4 ファイルおよびディレクトリの表示と非表示

「CONFIDENTIAL A B」で作業しているユーザーが、/myHomeDir ディレクトリの内容を表示しようとすると、次のように表示されます。

% pwd
/myhomedir
% ls
file1

「SECRET A B」で作業しているユーザーには、次のように表示されます。

% pwd
/myhomedir
% ls
file2    file3

電子メールトランザクションに MAC を適用する

Trusted Solaris は、電子メールの使用時は常に必須アクセス制御を適用します。電子メールが送信されても、認可上限が不十分なユーザーは、そのメールを受信できません。受信者のアカウントに送られた電子メールは機密ラベルに従ってソートされます。メールを受信するには、受信者の現在の機密ラベルが、読もうとしているメールメッセージと同じレベルでなければなりません。そうでない場合は、現在の機密ラベルを変更する必要があります。

オブジェクトを再使用する前にクリアする

Trusted Solaris は、メモリーやディスク領域など、ユーザーがアクセスできるオブジェクトを再使用の前に自動クリア (消去) することによって、機密情報が不用意に漏洩しないようにします。システム上のプロセスは、メモリーやディスク領域などのオブジェクトに対し、割り当て、割り当て解除、再使用といった処理を絶え間なく実行します。オブジェクトが再使用される前に機密データを消去し損ねると、不適当なユーザーにデータが漏洩してしまう恐れがあります。Trusted Solaris は、デバイスの割り当てを解除し、ユーザーがアクセスできるオブジェクトをすべてクリアしたうえで、再びそれらをプロセスに割り当てます。ただし、フロッピーディスクや磁気テープなどの取り外し可能な記憶媒体については、他のユーザーにアクセスされる前にユーザー自身がクリアしておく必要があります。