Oracle Solaris Trusted Extensions ユーザーズガイド

Previous: 第 4 章 Trusted Extensions の構成要素 (リファレンス)

用語集

Trusted JDS

セッションマネージャー、ウィンドウマネージャーなどさまざまなデスクトップツールが含まれるラベル付きのグラフィカルなデスクトップ。Trusted JDS は完全なアクセシビリティーを備えたデスクトップです。

アカウントラベル範囲

Trusted Extensions が設定されたシステムで作業するために、セキュリティー管理者によってユーザーまたは役割に割り当てられたラベルのセット。ユーザー認可上限によって上限が定義され、ユーザーの最下位ラベルによって下限が定義されます。このセットには、適格な形式のラベルだけが含まれます。

アクション

CDE (Common Desktop Environment、共通デスクトップ環境) のグラフィカルユーザーインタフェースからアクセスされるアプリケーション。アクションはアイコンで表現され、1 つ以上のコマンドと任意のユーザープロンプトで構成されます。Trusted Extensions でユーザーが実行できるアクションは、そのユーザーのアカウントに割り当てられる権利プロファイルにセキュリティー管理者が設定したものに限られます。同様に、アクションの特定の機能も、セキュリティー管理者が適切な承認と特権を権利プロファイルに割り当てた場合にのみ使用できます。

アクセス権

ほとんどのコンピュータシステムで利用されているセキュリティー保護機能。ファイルやディレクトリの読み取り、書き込み、実行、または名前の表示を行う権利をユーザーに与えます。任意アクセス制御 (DAC)および必須アクセス制御 (MAC)も参照してください。

アクセス権 (アクセス権ビット)

ファイルやディレクトリ (フォルダ) に対する読み取り、書き込み、実行を許可されているユーザーを示す一連のコード。ユーザーは、所有者、グループ (所有者のグループ)、その他 (残るすべてのユーザー) に分類されます。読み取り権 (r で示される) は、ユーザーに対してファイルの内容の読み取り、またはディレクトリ (フォルダ) 内のファイルの一覧表示を許可します。書き込み権 ( w) は、ファイルの変更、またはフォルダ内のファイルの追加や削除を許可します。実行権 (e) は、実行可能ファイルの実行を許可します。または、ディレクトリ内のファイルの読み取りや検索を許可します。UNIX アクセス権またはアクセス権ビットとも呼ばれます。

アクセス制御リスト (ACL)

Solaris OS のセキュリティー機能の 1 つ。特定のユーザーやグループに適用するアクセス権指定リスト (ACL エントリ) を使用できるように、任意アクセス制御 (DAC)を拡張します。標準的な UNIX のアクセス権 (アクセス権ビット)よりもきめの細かい制御が可能です。

一般ユーザー

システムの標準的なセキュリティーポリシーに反する処理を実行できる特別な承認を 1 つも持たないユーザー。通常は一般ユーザーが管理的な役割になることはできません。

オブジェクト

データを格納したり、受け取ったりする受動的な実体であり、データファイルやディレクトリ、プリンタなどのデバイスを指します。オブジェクトはサブジェクトの作用を受けます。プロセスにシグナルを送る場合など、プロセスがオブジェクトになる場合もあります。

オペレータ

システムのバックアップの責任を負う 1 人以上のユーザーに割り当てられる役割。

下位読み取り

サブジェクトが、オブジェクトよりも優位なラベルを持つときに、そのオブジェクトを表示できる能力。一般に、セキュリティポリシーでは下位読み取りが許可されます。たとえば、Secretで実行されるテキストエディタプログラムで Unclassifiedデータを読み取ることができます。必須アクセス制御 (MAC)も参照してください。

拡張構成

セキュリティーポリシーに違反する変更を行なったために、もはや評価可能な構成ではなくなったコンピュータシステム。

格付け

認可上限またはラベルの構成要素。格付けは、TOP SECRET や UNCLASSIFIED など、セキュリティーの階層レベルを示します。

監査

Solaris OS のセキュリティー機能の 1 つ。ユーザーの活動などシステム上のイベントを取り込み、その情報を「監査証跡」と呼ばれるファイルのセットに格納するプロセス。監査によって、サイトのセキュリティーポリシーを満たすためのシステムアクティビティーレポートが作成されます。

監査 ID (AUID)

Solaris OS のセキュリティー機能の 1 つ。ログインユーザーを表す ID。ユーザーが役割になっても変わらないことから、監査の目的でユーザーを識別するために使用されます。監査 ID は、ユーザーが実効 UID、実効 GID を取得した場合でも、常に監査の目的でそのユーザーを表します。ユーザー ID (UID)も参照してください。

完全な優位

優位なラベルを参照してください。

管理ラベル

管理ファイル専用の特別なラベルで、 ADMIN_LOW と ADMIN_HIGH の 2 種類があります。ADMIN_LOW はシステム内の最下位のラベルであり、コンパートメントを持ちません。システム内のほかのすべてのラベルは、このラベルよりも完全に優位です。ADMIN_LOW の情報は、すべてのユーザーが読み取れますが、書き込みは ADMIN_LOW ラベルで作業中の役割のユーザーしか行えません。ADMIN_HIGH はシステム内の最高位のラベルであり、すべてのコンパートメントを持ちます。このラベルは、システム内のほかのすべてのラベルよりも完全に優位です。ADMIN_HIGH の情報は、ADMIN_HIGH で作業する役割のユーザーだけが読み取れます。管理ラベルは、役割およびシステムのラベルまたは認可上限として使用されます。優位なラベルも参照してください。

機密ラベル

ラベルを参照してください。

共通デスクトップ環境 (CDE)

セッションマネージャー、ウィンドウマネージャーなどさまざまなデスクトップツールが含まれるラベル付きのグラフィカルなデスクトップ。Trusted Extensions では、ラベルビルダー、デバイス割り当てマネージャー、選択マネージャーなどのトラステッドアプリケーションがデスクトップに追加されます。Trusted JDS も参照してください。

グループ ID (GID)

Solaris OS のセキュリティー機能の 1 つ。共通のアクセス権を持つユーザーのグループの識別に使用される整数。任意アクセス制御 (DAC)も参照してください。

ゲートウェイ

複数のネットワークインタフェースを持つホスト。複数のネットワークの接続に使用されます。ゲートウェイが Trusted Extensions ホストである場合は、特定のラベルに対するトラフィックを制限できます。

権利プロファイル

Solaris OS のセキュリティー機能の 1 つ。サイトのセキュリティー管理者が、コマンドや CDE のアクションをセキュリティー属性でまとめるために使用します。ユーザーの承認や特権などの属性に応じて、コマンドやアクションが正常に処理されます。通常、1 つの権利プロファイルには、相互に関連するタスクが含まれます。プロファイルはユーザーと役割に割り当てることができます。

降格されたラベル

以前の値よりも優位でない値に変更された、オブジェクトのラベル。

コンパートメント

ラベルを構成する階層的ではない要素で、格付けとともに使用して認可上限やラベルを形成します。コンパートメントは、エンジニアリング部門や学際的プロジェクトチームなど、その情報にアクセスする必要があると考えられるユーザーの集団を表すために使われます。

コンパートメントモードワークステーション (CMW)

(米国国防総省の) 国防情報局 (DIA) の文書 DDS-2600-5502-87、『Security Requirements for System High and Compartmented Mode Workstations』に記述された、信頼できるワークステーションに関する政府の要件を満たすコンピューティングシステム。具体的には、UNIX ワークステーション用の、X ウィンドウシステムをベースにした信頼性の高いオペレーティング環境を定義します。

最下位ラベル

ユーザーが作業できる一連のラベルの下限としてユーザーに割り当てられるラベル。ユーザーが Trusted Extensions のセッションを初めて開始したときは、最下位ラベルがユーザーのデフォルトラベルになります。ユーザーはログイン時に、別のラベルを初期ラベルとして選択できます。

最下位ラベルは、管理者以外のユーザーに許可されるもっとも下位のラベルでもあります。セキュリティー管理者によって割り当てられ、ユーザー認可範囲の下限を定義します。

最少特権

最少特権の原則を参照してください。

最少特権の原則

ジョブの遂行に必要な機能だけにユーザーを制限するセキュリティーの原則。Solaris OS では、必要に応じてプログラムに対して特権を有効にすることによってこの原則が適用されます。特権は、特定の目的のためだけに必要に応じて有効になります。

サブジェクト

能動的な実体であり、通常はユーザーまたはプロセスの代理として実行される役割を指します。サブジェクトによって情報がオブジェクト間を移動したり、システムの状態が変更されたりします。

システム管理者

Solaris OS のセキュリティー機能の 1 つ。システム管理者の役割は、ユーザーアカウントのセキュリティーに関係しない部分の設定など、標準のシステム管理作業を実行する1 人以上のユーザーに割り当てられます。セキュリティー管理者も参照してください。

システム認可範囲

サイトで有効なすべてのラベルのセット。この中には、サイトの管理ラベルとセキュリティー管理者が使用できるシステム管理者が含まれます。システム認可範囲は、ラベルエンコーディングファイルに定義されます。

実効 UID、実効 GID

Solaris OS のセキュリティー機能の 1 つ。特定のプログラム、またはプログラムのオプションを実行するために、必要に応じて実際の ID に代わって有効になる ID。特定のユーザーがコマンドやアクションを実行しなければならない場合 (その多くはコマンドを root として実行しなければならない場合) に、セキュリティー管理者が権利プロファイルのコマンドまたはアクションに実効 UID を割り当てます。実効 GID の使用もこれと同様です。ただし、setuid コマンドは特権を必要とするため、従来のUNIX システムのようには機能しないことがあります。

昇格されたラベル

以前のラベルの値よりも優位な値に変更された、オブジェクトのラベル。

承認

Solaris OS のセキュリティー機能の 1 つ。セキュリティーポリシーによって禁止されているアクションを実行するために、ユーザーにアクセス権を与えること。承認は、セキュリティー管理者が権利プロファイルに割り当てます。権利プロファイルはその後、ユーザーアカウントまたは役割アカウントに割り当てられます。コマンドやアクションの中には、ユーザーが必要な承認を持っていないかぎり十分に機能しないものもあります。特権も参照してください。

シングルラベル設定

1 つのラベルだけで操作するように設定されたユーザーアカウント。シングルレベル設定とも呼ばれます。

スプーフィング

システム上の情報に不正にアクセスするために、ソフトウェアプログラムを模倣すること。

セキュリティー管理者

Trusted Extensions が設定されたシステム上で、セキュリティーポリシーを定義して実行する責任を負う 1 人以上のユーザーに割り当てられる役割。セキュリティー管理者は、システム認可範囲内のどのラベルでも作業することができ、場合によってはサイトのすべての情報に対してアクセスできます。すべてのユーザーおよび装置のセキュリティー属性は、セキュリティー管理者によって設定されます。ラベルエンコーディングファイルも参照してください。

セキュリティー属性

Solaris OS のセキュリティー機能の 1 つ。プロセス、ゾーン、ユーザー、デバイスなどの実体の、セキュリティーに関連するプロパティを指します。セキュリティー属性には、ユーザー ID (UID)やグループ ID (GID)などの識別値が含まれます。Trusted Extensions 固有の属性には、ラベルやラベル範囲などがあります。ただし、実体の種類により、それぞれのセキュリティー属性は異なります。

セキュリティーポリシー

情報がだれによってどのようにアクセスされるのかを定義する DAC、MAC、およびラベルの規則のセット。顧客のサイトでは、そのサイトで処理される情報の機密度を定義する一連の規則を指します。ポリシーには、承認されていないアクセスから情報を保護するために使われる手段が含まれます。

セッション

Trusted Extensions ホストにログインしてからログアウトするまでの時間。Trusted Extensions のすべてのセッションにはトラステッドストライプが表示され、模倣されたシステムによってユーザーがスプーフィングされていないことを示します。

セッション認可上限

ログイン時に設定され、Trusted Extensions 認可上限のラベルの上限を定義するセッション。セッション認可上限の設定を許可されているユーザーは、自分のアカウントラベル範囲内であれば任意の値を指定できます。ユーザーのアカウントが強制シングルレベルのセッションに設定されている場合には、セッション認可上限はセキュリティー管理者が指定したデフォルトの値に設定されます。認可上限も参照してください。

セッション範囲

Trusted Extensions セッション中にユーザーが使用できるラベルのセット。セッション範囲は、ユーザーのセッション認可上限によって定義される上限から、最下位ラベルによって定義される下限までとなります。

選択マネージャー

Trusted Extensions のトラステッドアプリケーションの 1 つ。この GUI は、承認されているユーザーが情報を昇格または降格しようとしたときに表示されます。

代替機構

tnrhtp データベースの IP アドレスを指定するためのショートカット手段。IPv4 のアドレスでは、0 がサブネットのワイルドカードとして認識されます。

適格な形式のラベル

ラベルエンコーディングファイルに定義された適用可能なすべての規則によって許可されているため、範囲に追加できるラベル。

デバイス

割り当て可能なデバイスを参照してください。

デバイスの割り当て

Solaris OS のセキュリティー機能の 1 つ。割り当て可能なデバイス上の情報を、そのデバイスを割り当てたユーザー以外がアクセスできないように保護する機構。デバイスの割り当てが解除されると、そのデバイスに別のユーザーがふたたびアクセスできるようになる前に、デバイス上の情報を消去するための clean スクリプトが実行されます。Trusted Extensions では、デバイスの割り当てはデバイス割り当てマネージャーによって処理されます。

デバイス割り当てマネージャー

Trusted Extensions のトラステッドアプリケーションの 1 つ。デバイスの設定、デバイスの割り当てまたは割り当て解除にはこの GUI が使用されます。デバイスの設定には、デバイスへの承認条件の追加などがあります。

特権

Solaris OS のセキュリティー機能の 1 つ。セキュリティー管理者によってプログラムに与えられるアクセス権。特権は、セキュリティーポリシーのいくつかの側面を上書きするために必要となることがあります。承認も参照してください。

特権プロセス

Solaris OS のセキュリティー機能の 1 つ。特権プロセスは、割り当てられたユーザーに特権がある場合に実行されます。

トラステッドアプリケーション

1 つまたは複数の特権が割り当てられたアプリケーション。

トラステッド機能管理

従来の UNIX システムのシステム管理に関連するすべての作業に、分散型システムおよびシステムに格納されたデータのセキュリティー維持に必要なすべての管理作業を追加したもの。

トラステッドコンピューティングベース (TCB)

Trusted Extensions が設定されたシステムの、セキュリティーに影響を与える部分。TCB にはソフトウェア、ハードウェア、ファームウェア、文書、管理手順などが含まれます。セキュリティー関連のファイルにアクセス可能なユーティリティープログラムやアプリケーションプログラムは、いずれもトラステッドコンピューティングベースの一部です。

トラステッドシンボル

トラステッドストライプ領域の左側に表示されるシンボル。ユーザーがトラステッドコンピューティングベース (TCB)のどこかの部分にアクセスしているときに常に表示されます。

トラステッドストライプ

画面の予約領域に表示される、画面幅いっぱいの長方形のグラフィック。トラステッドストライプは Trusted Extensions のすべてのセッションで表示され、有効な Trusted Extensions セッションであることを示します。サイトの設定に応じ、トラステッドストライプには 1 つまたは 2 つの構成要素があります。 1 つ目は必須のトラステッドシンボルで、トラステッドコンピューティングベース (TCB)と対話中であることを示します。2 つ目は任意表示のラベルで、現在のウィンドウやワークスペースのラベルを示します。

トラステッドパス

トラステッドコンピューティングベース (TCB)との対話が許可されているアクションやコマンドにアクセスするための機構。トラステッドパスメニュー、トラステッドシンボル、トラステッドストライプも参照してください。

トラステッドパスメニュー

フロントパネルのスイッチ領域でマウスボタン 3 を押すと表示される Trusted Extensions 操作のメニュー。メニューの選択肢は、3 種類に分類されます。ワークスペース用、役割変更用、およびセキュリティー関連タスク用です。

任意アクセス制御 (DAC)

ファイルやディレクトリの所有者が、ほかのユーザーに対してアクセスを許可または拒否できるようにするアクセス制御機構。所有者は、「所有者」、所有者が属する「ユーザーグループ」、それ以外のすべての特定されないユーザーを指す「その他」と呼ばれる分類に対し、読み取り、書き込み、および実行のアクセス権 (アクセス権ビット)を割り当てます。所有者は、アクセス制御リスト (ACL)も指定できます。ACL を使用すると、所有者は、特定のユーザーやグループにアクセス権を追加で割り当てることができます。必須アクセス制御 (MAC)と対照的に使用する用語です。

認可上限

ラベルの上限を定義するラベル範囲。認可条件には 1 つの格付けと任意の数のコンパートメントという 2 つの構成要素があります。認可上限は適格な形式のラベルである必要はありません。理論上の範囲を定義するものであり、必ずしも実際のラベルでなくてもかまいません。ユーザー認可上限、セッション認可上限、およびラベルエンコーディングファイルも参照してください。

認可範囲

ユーザーまたはリソースのクラスに対して認可されたラベルのセット。システム認可範囲、ユーザー認可範囲、ラベルエンコーディングファイル、およびネットワーク認可範囲も参照してください。

ネットワーク認可範囲

Trusted Extensions ホストがネットワーク上で通信を許可されているラベルのセット。4 つの異なるラベルのリストを使用できます。

必須アクセス制御 (MAC)

システムが強制的に実施するアクセス制御機構で、認可上限とラベルを使用してセキュリティーポリシーが実施されます。認可上限とラベルはセキュリティーレベルです。MAC は、ユーザーが実行するプログラムを、そのユーザーがセッションで作業するために選択したセキュリティーレベルに対応付けてから、それと同等または下位レベルの情報、プログラム、およびデバイスに対してのみアクセスを許可します。さらに、対応付けたレベルよりも下位のファイルにユーザーが書き込むことを禁止します。特別な承認または特権がないかぎり、MAC を無効にすることはできません。任意アクセス制御 (DAC) と対照的に使用する用語です。

秘密チャネル

通信チャネル (経路) の1 つで、通常はデータ通信には使用されません。このチャネルを介することで、プロセスが間接的に情報を転送することになり、結果としてセキュリティーポリシーが守られません。

評価可能な構成

政府のセキュリティー要件が規定された標準を満たすコンピュータシステム。拡張構成も参照してください。

プロセス

実行中のプログラム。Trusted Extensions のプロセスには、ユーザー ID (UID)、グループ ID (GID)、ユーザーの監査 ID (AUID)、特権など、Solaris のセキュリティー属性があります。Trusted Extensions では、すべてのプロセスにラベルが追加されます。

プロファイル

権利プロファイルを参照してください。

プロファイルシェル

Solaris OS のセキュリティー機能の 1 つ。 Bourne シェルの一種で、ユーザーはセキュリティー属性を使ってプログラムを実行できるようになります。

ホスト

ネットワークに接続されたコンピュータ。

ホストタイプ

ホストの格付け。格付けはネットワーク通信に使用されます。ホストタイプの定義は tnrhtp データベースに格納されます。ホストタイプによって、ネットワーク上のほかのホストとの通信に CIPSO ネットワークプロトコルを使用するかどうかが決まります。「ネットワークプロトコル」とは、通信情報をパッケージ化するための規則です。

ホストテンプレート

tnrhtp データベースのレコードの 1 つで、Trusted Extensions ネットワークにアクセスできるホストのクラスのセキュリティー属性の定義に使用されます。

無関係なラベル

優位なラベルを参照してください。

役割

Solaris OS のセキュリティー機能の 1 つ。役割は特別なアカウントであり、役割になったユーザーは、特定の処理を実行するために必要なセキュリティー属性を使用して特定のアプリケーションにアクセスできるようになります。

優位なラベル

2 つのラベルを比較したときに、他方のラベルよりも上位または同等の格付け要素を持ち、他方のラベルのコンパートメント要素をすべて持ち合わせているラベル。これらの要素が同じである場合、2 つのラベルは互いに優位であり「同等」であると言います。片方のラベルが他方のラベルよりも優位であり、かつ、両方のラベルが同等でない場合は、最初のラベルが他方のラベルよりも「完全に優位」であると言います。2 つのラベルが同等でなく、どちらのラベルも優位ではない場合、これらのラベルは「無関係」です。

ユーザー ID (UID)

Solaris OS のセキュリティー機能の 1 つ。任意アクセス制御 (DAC)、必須アクセス制御 (MAC)、監査などを行う目的でユーザーを識別するために使用されます。アクセス権も参照してください。

ユーザー認可上限

セキュリティー管理者が割り当てる認可上限。ユーザーのアカウントラベル範囲の上限を定義します。ユーザーの認可上限により、そのユーザーが作業できる最上位のラベルが決まります。認可上限およびセッション認可上限も参照してください。

ユーザー認可範囲

セキュリティー管理者が特定サイトのユーザーに割り当てる可能性のあるラベルのもっとも広範なセット。ユーザー認可範囲には、管理ラベルおよび管理者だけが使用できるラベルの組み合わせは含まれません。ユーザー認可範囲は、ラベルエンコーディングファイルに定義されます。

ラベル

機密ラベルとも呼ばれます。ラベルは実体のセキュリティーレベルを示します。実体とはファイルやディレクトリ、プロセス、デバイス、ネットワークインタフェースなどを指します。実体のラベルは、特定のトランザクションでアクセスを許可するかどうかの決定に使用されます。ラベルには 2 つの構成要素があります。 1 つはセキュリティーの階層的なレベルを示す格付けであり、もう 1 つは特定の格付けの実体にだれがアクセスできるかを定義するコンパートメントで、コンパートメントがない場合や複数ある場合もあります。ラベルエンコーディングファイルも参照してください。

ラベルエンコーディングファイル

セキュリティー管理者によって管理されるファイル。すべての有効な認可上限およびラベルの定義が格納されています。さらに、システム認可範囲、ユーザー認可範囲、およびサイトでの印刷のセキュリティー情報の定義にも使用されます。

ラベル付きワークスペース

Solaris Trusted Extensions (CDE) または Solaris Trusted Extensions (JDS) ワークスペース。ラベル付きワークスペースでは、ワークスペースから起動したすべてのアクティビティーに、そのワークスペースのラベルが付きます。ユーザーがウィンドウを別のラベルのワークスペースに移動しても、そのウィンドウは元のラベルを保持します。

ラベル範囲

認可上限、つまり最上位ラベルによって上限が、最下位ラベルによって下限が定義され、適格な形式のラベルで構成されたラベルの任意のセット。ラベル範囲は必須アクセス制御 (MAC)の実施に使用されます。ラベルエンコーディングファイル、アカウントラベル範囲、認可範囲、ネットワーク認可範囲、セッション範囲、システム認可範囲、およびユーザー認可範囲も参照してください。

ラベル表示

管理ラベルを表示したり、管理ラベルを機密外の内容に置き換えるセキュリティー機能。たとえば、ADMIN_HIGH と ADMIN_LOW というラベルを公開することがセキュリティーポリシーに違反する場合に、RESTRICTED と PUBLIC というラベルを代わりに表示できます。

ラベルビルダー

Trusted Extensions のトラステッドアプリケーションの 1 つ。ユーザーはこの GUI を使用して、セッション認可上限やセッションラベルを選択できます。認可上限やラベルは、セキュリティー管理者がユーザーに割り当てたアカウントラベル範囲内にある必要があります。

ワークスペース

ラベル付きワークスペースを参照してください。

割り当て解除されたデバイス

Solaris OS のセキュリティー機能の 1 つ。排他的に使用するためのユーザーへの割り当てが解除されたデバイス。デバイスの割り当ても参照してください。

割り当て可能なデバイス

Solaris OS のセキュリティー機能の 1 つ。一度に 1 人のユーザーが使用でき、システムとのデータのインポートやエクスポートが可能なデバイス。どのユーザーにどの割り当て可能なデバイスへのアクセスを承認するかは、セキュリティー管理者が決定します。割り当て可能なデバイスには、テープドライブ、フロッピーディスクドライブ、オーディオデバイス、CD-ROM デバイスなどがあります。デバイスの割り当ても参照してください。

Previous: 第 4 章 Trusted Extensions の構成要素 (リファレンス)