情報と情報の利用者との分離が最重要課題の場合は、Trusted Solaris 8 オペレーティングシステムをプラットフォームとしてお勧めします。 Trusted Solaris 8 オペレーティングシステムは、Solaris 8 オペレーティングシステムを拡張させた OS であり、インターネット時代のセキュリティ、信頼性、拡張性を備えた評価の高い OS です。

もちろん、Trusted Solaris 8 ソフトウェアは Solaris 8 オペレーティングシステムとの互換性を備えています。 つまり、Solaris ソフウェアの使用経験がある管理者なら、Trusted Solaris のほとんどの管理ツールに使い慣れているはずです。

セキュリティの拡張機能

この 20 〜 30 年の間に、コンピュータシステムは全社規模のリソースとなり、日常業務には不可欠のものとなりました。 新製品情報、従業員の給与データ、健康記録、マーケティングやセールスの計画情報など、さまざまな機密を要する情報が、多くの場合、コンピュータシステムに保管されています。 このような環境下では、敵意を持った人々や未承認ユーザーによるデータへのアクセス (利用) によって、少なからぬ経費、損傷、データ消失が発生することがあります。

外部からのアクセスを制御する方法としては、ファイアウォールなどによるアクセス制御がゲートキーパーとしてよく使用されます。 Trusted Solaris 8 オペレーティングシステムでは、管理者は次のような対策を実行して、侵入者や誤用に対して組織内部を幅広く保護することができます。

• システムデータやリソースへのアクセスを制限する: プログラム、ファイル、ユーティリティなどとのすべてのやり取りを、ユーザーごとに制御できます。
• スーパーユーザーを使用しない: スーパーユーザー機能を複数の役割に分割し、侵入をさらに困難にします。
• 独立した評価機関: セキュリティ機能が正常に働いていることを検証するために、独立したサードパーティによる OS 評価を実施しています。
• ウィンドウ環境での「盗聴」を防ぐ: 従来の UNIX 環境では、ウィンドウ内のキー入力が侵入プログラムによって外部からキャプチャされる可能性があります。 Trusted Solaris ソフトウェアには、入力されたデータを保護するトラステッドパスがあります。 これは、パスワードの保護には特に有効です (パスワードの保護にはパスワードの変更要求やランダムなパスワードの生成も有効)。
• セキュリティ検査を補強する: セキュリティや機密ファイルに影響を与えるアクションを監視できます。 不審なアクションを検出するため、管理者はユーザー、ファイル、データ、時間別の利用状況レポートを作成できます。
• スプーフィング (なりすまし) プログラムを防ぐ: パスワードなどの機密データを傍受するトロイの木馬のようなプログラムを、GUI とプロトコルによって防止します。 予約領域に表示される画像 (トラステッドグラフィック) により、セッションの整合性を視覚的に継続して確認できます。
• ローカルデバイスを未承認ユーザーから保護する: 承認されたユーザーは、ローカルデバイスへのアクセスを制御できます。

多くの場合、セキュリティ違反は承認されたユーザーの誤用が主な原因となって発生します。 Trusted Solaris ソフトウェアを利用すると、管理者は情報へのアクセスと処理を制御するセキュリティポリシー (システム管理ツール、オペレーションツール、監視ツールなど) を実装してこのような違反を防止できます。

先頭に戻る

セキュリティ機能

組織の情報は、少なくとも 2 つのレベルに分かれています。 1 つは、誰でも利用できるレベルの情報であり、もう 1 つは承認されたユーザーだけが利用できる情報です。 MAC のラベルアクセス制御機能を利用すると、情報を複数の機密度で処理できます。

コンパートメントとして階層的に区分された MAC のラベルは、(情報が単一システムに保管されている場合でも) 区別して保持しなければならない情報の機密度に対応します。 情報のラベル付けは自動的に行われるため、MAC は必須です。 システム管理者が特別な権限を与えないかぎり、普通のユーザーはラベルを変更できません。 実際のところ、ラベルのコンパートメントが異なるユーザーは情報を共有することはできません。

セキュリティメカニズムの向上と拡張により、Trusted Solaris 8 ソフトウェアでは、機密上重要な情報を処理するサーバやデスクトップシステムの保護をこれまで以上に強化できるようになりました。

公開配布する情報には PUBLIC というラベルを、組織のイントラネット内だけで配布する情報には PRIVATE というラベルを設定できます。 PRIVATE-ENGINEERING のようなコンパートメント指定のラベルは、組織内の特定のメンバー (エンジニアリングチームなど) だけが利用できる情報に使用することができます。

Trusted Solaris 8 には、機密と認可上限という 2 種類のラベルがあります。 機密ラベルは、ユーザーによってアクセスされるあらゆるシステムオブジェクト (ファイル、デバイス、ウィンドウ、ホスト、ネットワークなど) に割り当てられます。 認可上限は、ユーザーが作業できる機密度の上限と下限を設定します。 システム管理者は、認可上限を割り当てることによって、システムにアクセスするユーザーに必要な信頼性レベルまたは仕事上の責任レベルを示します。 また、ウィンドウ上部のバナーにウィンドウラベルを表示するように、ユーザーアカウントを設定することもできます。 各ラベルは、識別しやすいように固有の色で表示されます。

任意アクセス制御 (DAC) は、ファイルアクセス権とオプションのアクセス制御リスト (ACL:Access Control List) を使用し、ユーザーの識別情報またはグループメンバーシップに基づいて情報へのアクセスを制限します。 アクセス権はファイルの所有者によって変更される可能性があるため、DAC の設定は任意です。 Solaris ソフトウェアとは異なり、ROOT (スーパーユーザー) にも適用されます。 DAC は、MAC と併用してシステムファイルへのあらゆるアクセスを制御するために使用されます。

先頭に戻る

特権

Trusted Solaris 8 ソフトウェアは、「最小特権」というセキュリティ原則を採用しています。 これは、ROOT として動作するプログラムが持つ無限の権限を、緻密に制御できる多数の個別特権として分散し、ROOT プログラムがあらゆるポリシー制御から除外された場合に標準 OS 内で発生するリスクを軽減します。

特権を使用すると、管理者は必要以上の権限をプログラムに持たせることなく、セキュリティポリシーの一部だけ (DAC 制限など) を回避する能力を与えることができます。 また、特権を適切に利用することが信頼できるユーザーだけに、特権プログラムの使用を限定することも可能です。

システム管理には、役割ベースのアクセス制御 (RBAC) という、「最小特権」の別の側面が適用されます。 Trusted Solaris 8 ソフトウェアは、管理作業を、必要十分な権限だけを与えるよう機能的に制限された多数の役割に分割します。 管理者は、まず標準のユーザーとしてログインと認証をすませ、その後 2 度目の認証プロセスを通して特定の役割を取得する必要があります。 このため、管理アクティビティをすべて検査でき、アクティビティを実行した特定の認証済みユーザーまで追跡することができます。

「最小特権」の最後の機能は、ユーザー承認です。 プログラムに特権が設定されるように、ユーザーには承認が設定されます。 承認は、柔軟性を高めるために階層的に表現され、アクセス制限時にトラステッドアプリケーションによってチェックされます。

Trusted Solaris 8 ソフトウェアには、「権限プロファイル」と呼ばれる、機能的に関連する手続きを集めたデータベースがあります。 各プロファイルには、これらの権限の使用に必要な承認、特定の Solaris ソフトウェアコマンド、およびコマンドに必要なセキュリティ属性 (グラフィカル CDE アクションなど) が列挙されています。 狭い範囲を対象とする権限から強力な権限を構築するには、権限プロファイルを階層的に組み合わせます。 ユーザーまたは管理役割への権限階層の割り当てには、User and Administrative Roles Manager ツールを使用します。

コマンドとアクションに関連付けられるセキュリティ属性は汎用的なものではなく、認証されたユーザーと役割にだけ適用されます。 Solaris 8 ソフトウェアの場合、サポートする属性は実行時に適用される実効ユーザー ID と実効グループ ID です。 Trusted Solaris 8 ソフトウェアは、コマンドまたはアクションが実行されるごとに特定の特権、ラベル、および認可上限を含むように、これらの属性を拡張します。

複数ユーザーによる実行を必要とするタスクを処理する場合は、Rights Manager ツールを使用して既存のプロファイルを変更するか、あるいは新しいプロファイルを作成できます。 プロファイルのデフォルト設定を変更すれば、必要なだけの管理者およびユーザーに責任を割り当て直すことができます。 権限を使用することにより、ジョブの実行に実際に必要な権限以上の権限を与えないで、セキュリティポリシーの一部を回避する権限をユーザーに与えることもできます。

先頭に戻る

共通デスクトップ環境 (CDE)

Trusted Solaris 8 ソフトウェアのユーザーと管理者は、信頼性の高い X11 ウィンドウ環境で作業します。 X11 ウィンドウ環境は、直感的な方法で、データを複数の機密度に透過的に分割できるように標準の CDE 環境を拡張したものです。 トラステッドパスのメニューとともに、ユーザーアカウントまたは役割アカウントに割り当てられたアクションにフロントパネルからアクセスできます。 役割を他のアプリケーションによる干渉から保護するには、MAC ポリシー、DAC ポリシー、およびトラステッドパスポリシーの強制適用することによって保護された特殊な CDE ワークスペースが使用されます。

承認されたユーザーは、ウィンドウ間でテキスト、バイナリデータ、およびグラフィックデータのカット & ペーストまたはドラッグ & ドロップが行えます。 カット & ペーストで選択されたデータは、転送を確認する前にトラステッド選択確認ツールによって確認できます。 承認されたユーザーは、転送時にラベルの昇格または降格を行えます。 Trusted Solaris のウィンドウシステムは、承認されない転送を防止し、正常に終了した転送および失敗した転送の検査を有効にします。

Trusted Solaris 8 ソフトウェアを使用しているホストは、すべての通信についてアクセス制御を行いながら、他のトラステッド OS や標準 OS を使用しているホストと情報を共有できます。 情報を共有するには、管理者はホストおよびネットワークごとにセキュリティ属性を指定する必要があります。 Trusted Solaris 8 のネットワークシステムは、セキュリティポリシーを適用する際にも指定された属性を使用します。 セキュリティポリシーが通用しない、またはこれらの属性をサポートしないホストおよびネットワークでは、デフォルトのセキュリティ対策を利用できます。

Trusted Solaris 8 ソフトウェアを利用すると、Sun の分散ネットワークファイルシステムである NFS を使用してリモートファイルに透過的にアクセスしながら、システムの必須アクセス制御 (MAC) 機能や任意アクセス制御 (DAC) 機能を十分に適用できます。 また、ディスクレスクライアントもサポートされています。

管理者は、個々のプリンタに送信する情報の機密度を制限できます。 MAC は、ジョブの機密ラベルをプリンタのラベル範囲と比較します。 印刷待ち行列の表示は制限されるため、MAC のチェックをパスした場合、ユーザーが確認できるのは自分自身の印刷ジョブだけです 。 プリンタ出力では、ラベル情報と取り扱い方法を示すバナーページとトレーラページが必ず印刷されます。

トラステッドパスは、ユーザーが悪意のあるプログラムのトリックにかかって、システムへの侵入に利用されかねない情報を提供することがないようにするための機能です。 セキュリティが必要な機密作業 (パスワードや作業ラベルの変更など) は、トラステッドパスメニューを通して行います。管理役割を実行するときは、承認されたユーザーは自己の認証を行う必要があります。

トラステッドパスを使用して通信しているかどうかは、画面の下部に表示されるストライプで確認できます。 この画面ストライプには、現在のアクティブウィンドウのラベルとキーボードからの入力データも継続的に表示されます。

先頭に戻る

デバイスの割り当て

承認されたユーザーは、割り当て可能なメディアデバイスを使用して情報のインポートまたはエクスポートを行えます。 デバイスに特定の機密ラベルが割り当てられている場合、そのデバイスの情報にアクセスできるのは所有者だけです。

Trusted Solaris 8 ソフトウェアでは、プラグ可能な認証モジュール (PAM:Pluggable Authentication Module) を使用して、ログインに失敗したアカウントのロック、トラステッドパスのチェック、マシンによるパスワード生成などが行えます。 また、共有ライブラリによって、独自のパスワード暗号化/生成アルゴリズムが実装されます。 これは、標準の Trusted Solaris 8 ソフトウェアアルゴリズムに代わるものであり、コード変更の必要はありません。

ネームサービスとして、NIS と NIS+ がサポートされます。 データベースは、Solaris 8 ソフトウェアの分散データベースのほかに、トラステッドネットワーキングデータベースが提供されます。 すべてのサービスに対してリモート管理が可能です。

ユーザーは、フロントパネル上の Mail サブパネルを通して着信メールの通知を受けます。 受信者がメールアイコンをクリックすると、現在のワークスペースの機密ラベルに関係なく、着信メッセージの機密ラベルでメールリーダーが表示されます。

アカウントがメールを受信できるのは、メールがそのアカウントの認可上限の範囲内の場合に限られます。 ホストにメールを送信できるのは、メールがそのホストの機密ラベルの範囲内の場合に限られます。

Solaris オペレーティングシステム向けに設計されている市販アプリケーションのほとんどは、手を加えることなく Trsuted Solaris 8 環境で動作します。 さまざまなセキュリティ機能を有効または無効にすることで、多種多様なセキュリティポリシーに合わせてオペレーティングシステムを構成できます。

トラステッドシステムの評価では、各製品機能が一定の基準を満たしていることを要求されます。 長年、サンの製品は政府が後援する多数の評価プログラムに合格してきました。 Trusted Solaris 8 ソフトウェアは、現在 Labeled Security Protection Profile (LSPP: Orange Book (TCSEC) B1 クラスに相当) による Common Criteria EAL4 レベルの審査を受けている段階です。

先頭に戻る

標準

Trusted Solaris 8 ソフトウェアは、以下の政府標準および業界標準に適合しています。

Trusted Solaris 8 ソフトウェアの詳細については、Sun の Web サイト http://sun.co.jp/software/solaris/trustedsolaris/ をご覧ください。

Solaris オペレーティングシステムの詳細については、http://sun.co.jp/software/solaris をご覧ください。

先頭に戻る