Trusted Extensions では、次の方法で、情報がラベル別に分類されます。
電子メールをはじめとするすべてのトランザクションに MAC を実施する。
ラベルに応じてファイルを個別ゾーンに格納する。
デスクトップでラベル付きワークスペースを提供する。
ユーザーがシングルレベルセッションまたはマルチレベルセッションを選択する。
オブジェクトを再使用する前に、オブジェクトのデータを消去する。
Trusted Extensions のセッションに最初にログインするときは、シングルのラベルで作業するか、複数のラベルで作業するかを指定します。次に、自分の「セッション認可上限」または「セッションラベル」を設定します。この設定が、以降の作業のセキュリティーレベルになります。
シングルレベルセッションでは、自分のセッションラベルと同等のオブジェクトか、セッションラベルの方が優位であるオブジェクトにのみ、アクセスできます。
マルチレベルセッションでは、設定したセッション認可上限とラベルが同等、またはそれよりも下位の情報にアクセスできます。ワークスペースごとに異なるラベルを指定できます。また、同じラベルのワークスペースを複数持つこともできます。
表 2 は、シングルレベルセッションとマルチレベルセッションとの違いを示す例です。この例では、CONFIDENTIAL: NEED TO KNOW (CNF: NTK) のシングルレベルセッションで作業するよう選択したユーザーと、同じ CNF: NTK を指定してマルチレベルセッションを選択したユーザーとを対比しています。
左側の 3 つの列は、ログイン時に各ユーザーが選択したセッションを示します。シングルレベルセッションのユーザーは「セッションラベル」を設定し、マルチレベルセッションのユーザーは「セッション認可上限」を設定しています。システムにより、選択に応じて適切なラベルビルダーが表示されます。マルチレベルセッションのラベルビルダーの例については、図 9 を参照してください。
右側の 2 つの列は、セッションで使用可能なラベルの値を示しています。「初期ワークスペースラベル」列は、ユーザーがシステムに最初にアクセスしたときのラベルを表します。「使用可能なラベル」列には、セッション中にユーザーが切り替えることができるラベルが一覧表示されています。
|
表の 1 行目に示すように、ユーザーは CNF: NTK というセッションラベルのシングルレベルセッションを選択しています。ユーザーの初期ワークスペースラベルは CNF: NTKであり、これはユーザーが操作できる唯一のラベルでもあります。
表の 2 行目に示すように、ユーザーは CNF: NTK というセッション認可上限のマルチレベルセッションを選択しています。ユーザーの初期ワークスペースラベルは Public に設定されます。これは、ユーザーのアカウントラベル範囲の中で Public がもっとも下位にある使用可能なラベルになるからです。ユーザーは Public と CNF: NTK の間の任意のラベルに切り替えることができます。Public が最下位ラベル、CNF: NTK がセッション認可上限です。
Trusted Extensions デスクトップでは、下部パネルの右側のワークスペースパネルを使ってワークスペースにアクセスします。
図 5 パネル上のラベル付きワークスペース
各ワークスペースにはラベルがあります。複数のワークスペースに同じラベルを割り当てたり、異なるラベルを異なるワークスペースに割り当てることができます。ワークスペース内で起動されたウィンドウには、そのワークスペースのラベルが付きます。ウィンドウが別のラベルのワークスペースに移動されても、ウィンドウは元のラベルを保持します。そのため、マルチレベルセッションでは、ラベルが異なる複数のウィンドウを 1 つのワークスペース内に配置できます。
Trusted Extensions では、電子メールに対して MAC が実施されます。電子メールを現在のラベルで送信したり読んだりできます。アカウント範囲内のラベルの電子メールを受信できます。マルチレベルセッションの場合は、別のラベルのワークスペースに切り替えて、そのラベルの電子メールを読むことができます。その際には、同じログインで、同じメーラーを使用します。システムは、現在のラベルでのみ電子メールを読むことを許可します。
Trusted Extensions では、ユーザーアクセス可能なオブジェクトの再使用前に古い情報を自動的に消去することによって、機密情報の不用意な漏洩を防ぎます。たとえば、メモリーやディスク領域などが、再使用される前にクリアされます。オブジェクトが再使用される前に機密データを消去しないと、不適当なユーザーにデータが漏洩する恐れがあります。Trusted Extensions ではデバイスの割り当てを解除することにより、ユーザーアクセス可能なオブジェクトをすべてクリアしてから、各ドライブをプロセスに割り当てます。ただし、DVD や USB デバイスなどのリムーバブルストレージメディアについては、ほかのユーザーによるドライブへのアクセスを許可する前に、ユーザー自身がすべてをクリアしておく必要があります。