Trusted Extensions による情報のラベル別管理

Trusted Extensions では、次の方法で、情報がラベル別に分類されます。

• ユーザーがシングルレベルセッションまたはマルチレベルセッションを選択する。

• デスクトップでラベル付きワークスペースを提供する。

• ラベルに応じてファイルを個別ゾーンに格納する。

• 電子メールをはじめとするすべてのトランザクションに MAC を実施する。

• オブジェクトを再使用する前に、オブジェクトのデータを消去する。

シングルレベルセッションとマルチレベルセッション

Trusted Extensions のセッションに最初にログインするときは、シングルのラベルで作業するか、複数のラベルで作業するかを指定します。次に、自分の「セッション認可上限」または「セッションラベル」を設定します。この設定が、以降の作業のセキュリティーレベルになります。

シングルラベルセッションでは、設定したセッションラベルと同等のオブジェクトか、セッションラベルの方が優位であるオブジェクトにのみ、アクセスできます。

マルチレベルセッションでは、設定したセッション認可上限とラベルが同等、またはそれよりも下位の情報にアクセスできます。ワークスペースごとに異なるラベルを指定できます。また、同じラベルのワークスペースを複数持つこともできます。

セッションの選択例

表 1–2 は、シングルレベルセッションとマルチレベルセッションとの違いを示す例です。この例では、CONFIDENTIAL: NEED TO KNOW (CNF: NTK) のシングルレベルセッションで作業するよう選択したユーザーと、同じ CNF: NTK を指定してマルチレベルセッションを選択したユーザーとを対比しています。

左側の 3 つの列は、ログイン時に各ユーザーが選択したセッションを示します。シングルレベルセッションのユーザーは「セッションラベル」を設定し、マルチレベルセッションのユーザーは「セッション認可上限」を設定しています。システムにより、選択に応じて適切なラベルビルダーが表示されます。マルチレベルセッションのラベルビルダーを表示する場合は、図 2–2 を参照してください。

右側の 2 つの列は、セッションで使用可能なラベルの値を示しています。「初期ワークスペースラベル」列は、ユーザーがシステムに最初にアクセスしたときのラベルを表します。「使用可能なラベル」列には、セッション中にユーザーが切り替えることができるラベルが一覧表示されています。

表 1–2 使用可能なセッションラベルに対する初期ラベルの選択の影響

ユーザー選択項目			セッションラベルの値
セッションの種類	セッションラベル	セッション認可上限	初期ワークスペースラベル	使用可能なラベル
シングルレベル	CNF: NTK	-	CNF: NTK	CNF: NTK
マルチレベル	-	CNF: NTK	Public	Public CNF: Internal Use Only CNF: NTK

表の 1 行目に示すように、ユーザーは CNF: NTK というセッションラベルのシングルレベルセッションを選択しています。ユーザーの初期ワークスペースラベルは CNF: NTKであり、これはユーザーが操作できる唯一のラベルでもあります。

表の 2 行目に示すように、ユーザーは CNF: NTK というセッション認可上限のマルチレベルセッションを選択しています。ユーザーの初期ワークスペースラベルは Public に設定されます。これは、ユーザーのアカウントラベル範囲の中で Public がもっとも下位にある使用可能なラベルになるからです。ユーザーは Public と CNF: NTK の間の任意のラベルに切り替えることができます。Public が最下位ラベル、CNF: NTK がセッション認可上限です。

ラベル付きワークスペース

Solaris Trusted Extensions (CDE) または Trusted CDE では、Trusted Extensions のワークスペースに、Solaris OS の場合と同様に、フロントパネルの中央にあるボタンを使ってアクセスします。ただし、Trusted Extensions では、ワークスペース全体をシングルのラベルにまとめることができます。この設定は、マルチレベルセッションでの作業中にさまざまなラベルで情報が混乱しないようにする場合に非常に便利です。次の図は、4 つのスイッチがあるワークスペーススイッチ領域を示しています。それぞれのスイッチにより、異なるラベルのワークスペースが開きます。複数のワークスペースを同じラベルに割り当てることもできます。

図 1–7 ワークスペーススイッチ領域

次の図に示すように、Solaris Trusted Extensions (JDS) または Trusted JDS では、下部パネルの右側にあるボタンを使ってワークスペースにアクセスします。各ワークスペースにはラベルがあります。

図 1–8 ラベル付きパネル

複数のワークスペースに同じラベルを割り当てたり、異なるラベルを異なるワークスペースに割り当てることができます。ワークスペース内で起動されたウィンドウには、そのワークスペースのラベルが付きます。ウィンドウが別のラベルのワークスペースに移動されても、ウィンドウは元のラベルを保持します。そのため、ラベルが異なる複数のウィンドウを 1 つのワークスペース内に配置できます。

電子メールトランザクションに MAC を適用する

Trusted Extensions では、電子メールに対して MAC が実施されます。電子メールを現在のラベルで送信したり読んだりできます。アカウント範囲内のラベルの電子メールを受信できます。マルチレベルセッションの場合は、別のラベルのワークスペースに切り替えて、そのラベルの電子メールを読むことができます。その際には、同じログインで、同じメーラーを使用します。システムは、現在のラベルでのみ電子メールを読むことを許可します。

オブジェクトを再使用する前にオブジェクトのデータを消去する

Trusted Extensions では、ユーザーアクセス可能なオブジェクトの再使用前に古い情報を自動的に消去することによって、機密情報の不用意な漏洩を防ぎます。たとえば、メモリーやディスク領域などが、再使用される前にクリアされます。オブジェクトが再使用される前に機密データを消去しないと、不適当なユーザーにデータが漏洩する恐れがあります。Trusted Extensions ではデバイスの割り当てを解除することにより、ユーザーアクセス可能なオブジェクトをすべてクリアしてから、各ドライブをプロセスに割り当てます。ただし、DVD や JAZ ドライブなどのリムーバブルストレージメディアについては、ほかのユーザーによるドライブへのアクセスを許可する前に、ユーザー自身がすべてをクリアしておく必要があります。