システムセキュリティー

システムのセキュリティーに関して、Oracle Solaris OS はプロセス特権を提供します。「プロセス特権」は、特権付きアプリケーションへのアクセス許可を行う際に、スーパーユーザーベースの UNIX 標準モデルに対する代替技術として使用できます。システム管理者は、特権付きアプリケーションへのアクセスを許可する一連のプロセス特権をユーザーに付与します。そうしたユーザーは、スーパーユーザーにならなくても、特権付きアプリケーションを使用できます。

特権を使用すれば、システム管理者は、システムセキュリティーを無視する権限をユーザーに与える際に、完全なスーパーユーザー権限ではなく制限された権限を与えることができます。したがって、新しい特権付きアプリケーションを作成する開発者は、UID が 0 かどうかを検査するのではなく、特定の特権の有無を検査する必要があります。第 2 章特権付きアプリケーションの開発を参照してください。

きわめて強固なシステムセキュリティーが必要な場合には、Oracle Solaris の Trusted Extensions 機能の使用を検討してください。Trusted Extensions 機能を使用すれば、システム管理者は、特定のユーザーだけがアクセスできるアプリケーションやファイルを指定できます。Trusted Extensions 機能はこのドキュメントの対象外です。詳細については、http://www.sun.com/software/solaris/ds/trusted_extensions.jsp を参照してください。

Oracle Solaris OS が提供する公開 Solaris セキュリティーインタフェースは、次のとおりです。

• 暗号化フレームワーク – 暗号化フレームワークは、Oracle Solaris OS の暗号化サービスの土台です。このフレームワークは、暗号化サービスのコンシューマとプロバイダに対し、標準の PKCS #11 インタフェースを提供します。このフレームワークは 2 つの部分から構成されています。 1 つはユーザーレベルアプリケーション用のユーザー暗号化フレームワーク、もう 1 つはカーネルレベルモジュール用のカーネル暗号化フレームワークです。フレームワークに接続するコンシューマは、インストールされている暗号化機構に関する特別な知識を要求されません。フレームワークにプラグインするプロバイダは、さまざまな種類のコンシューマが要求する特別なコードを用意する必要がありません。

  暗号化フレームワークのコンシューマとしては、セキュリティープロトコル、特定の機構、暗号化を必要とするアプリケーションなどが挙げられます。このフレームワークのプロバイダとなるのは、ハードウェアプラグインやソフトウェアプラグイン内の暗号化機構やその他の機構です。暗号化フレームワークの概要については、第 8 章Oracle Solaris 暗号化フレームワークの紹介を参照してください。このフレームワークのサービスを使用するユーザーレベルアプリケーションの記述方法を学ぶには、第 9 章ユーザーレベルの暗号化アプリケーションとプロバイダの記述を参照してください。

  暗号化フレームワークのライブラリは、RSA PKCS#11 v2.11 仕様を実装したものです。コンシューマとプロバイダはどちらも、標準 PKCS #11 呼び出しを使ってユーザーレベル暗号化フレームワークと通信します。

• Java API – Java セキュリティーテクノロジには多数の API やツールのほか、一般的に使用されるセキュリティーアルゴリズム、機構、およびプロトコルの実装が含まれています。Java セキュリティー API は、暗号化や公開鍵インフラストラクチャー、セキュリティー保護された通信、認証、アクセス制御など、広範な領域をカバーします。Java セキュリティーテクノロジは、アプリケーションを記述するための包括的なセキュリティーフレームワークを開発者に提供するとともに、アプリケーションを安全に管理するためのツール群をユーザーや管理者に提供します。http://www.oracle.com/technetwork/java/javase/tech/index-jsp-136007.html を参照してください。