［米国］
IBM、セキュアなマッシュアップ技術「SMash」を開発――リンクするソースの安全性を検証

普及促進に向けAjax団体に寄贈

（2008年03月14日）

　米国IBMは3月13日、マッシュアップのセキュリティ確保を目指す新技術「SMash」を発表した。SMashはSecure Mashup（安全なマッシュアップ）の略。同社は併せて、相互運用可能なAjax（Asynchronous JavaScript and XML）技術の標準策定に取り組んでいるベンダー団体、OpenAjax Allianceに同技術を寄贈したことも明らかにした。

　マッシュアップは、Web上の複数のソースから提供される情報やサービスをリンクするWebアプリケーションで、ITにあまり詳しくないビジネス・ユーザーにとっても作成の敷居が低い。一般には、他サイトから提供される既製のコンテンツや、あるユーザー・コミュニティのデザイン・テンプレート、別のユーザー・コミュニティのランタイム・プラットフォームといったものを自在に組み合わせることを指す。

　IBMの説明によると、SMashは、異なるソースからのサービスをリンクし、セキュリティを確保したうえで相互に情報をやり取りできるようにする技術。これらのサービスの独立性を保ちながら、あるソースに悪意あるコードが含まれていても、それが企業システムに入り込まないようにブロックする。

　IBMのフェロー兼副社長、ロッド・スミス（Rod Smith）氏は、情報を自分流にアレンジして活用するマッシュアップが一般的になるにつれて、そのセキュリティ確保が重要になっていると指摘する。

　「ガジェットやウィジェットを組み合わせ、独自のダッシュボードを作るといった試みが盛んになっている。これはすばらしいことだ。しかし、ウィジェットが提示するソースに悪意あるコードが含まれていて、それがユーザーのWebブラウザから、あるいはサーバとの通信の過程で情報を盗み出す可能性もある」（Smith氏）

　Smith氏は、SMashを「Ajax環境で動作する小さなランタイム」と表現する。ガジェットによってコンポーネントが提供されると、SMashはそれらが信頼できるかどうかを予防的にチェックする。こうした部品が情報のやり取りを行う前に、SMashがそれらの認証を行うわけだ。

　SMashの主目的はマッシュアップを介した攻撃を防止することだが、そうした攻撃は今のところ一般的ではない。しかし、マッシュアップの作成という形で多くのビジネス・ユーザーがアプリケーション開発に携わるようになれば、潜在的なセキュリティ・リスクは当然増大する。

　米国の調査会社Gartnerは、2月に発表した調査リポート「The Creative and Insecure World of Web 2.0」の中で、自己流のビジネス・ルールやビジネス・プラクティスを用いたアプリケーションの増加は企業にとってリスキーだと述べている。

　「こうしたアプリケーションの作成は、通常はRAD（Rapid Application Development）スタイルで行われる。しかしこのスタイルは、ろくに考えずにプログラミングを始めるといったやり方に陥りがちだ。アプリケーション開発の知識や経験が足りない人が作成するアプリケーションは、脆弱なものになってしまうだろう」（Gartnerの調査リポートより）

(Heather Havenstein／Computerworld オンライン米国版)