［世界］
既存の規格だけでは不十分──Webサービスのセキュリティ確保で専門家らが指摘

（2006年11月27日）

　Webサービスのセキュリティ規格に満足するのはまだ早い──多くのセキュリティ専門家は、こう口をそろえる。Webサービスに関する既存のセキュリティ規格はSOAPメッセージの安全性確保には役立つものの、バックエンド・システムへの攻撃などに対する防衛手段としてはあまり有効ではないからだ。

　「WS-Security」や「SAML（Security Assertion Markup Language）」といった規格名だけを見れば、これらがWebサービスのセキュリティを確保する枠組みを提供してくれると考えるのも無理はない。だが、セキュリティの専門家によると、こうした規格を採用すればWebサービスのセキュリティを十分に確保できると考えるのは間違いだという。

　「これらの規格は攻撃発生の防止には対応していない。セキュリティ・ポリシーの策定方法を規格化したものにすぎないのだ」と、米国の調査会社オンストラテジーズのセキュリティ担当責任者、トニー・ベア氏は指摘する。

　WS-Securityは、数あるWebサービス・セキュリティ規格の中で最も成熟していると言われる仕様だ。これは、メッセージの送受信に先立って行うべき暗号化と認証の種類（SAMLトークン、PKI、Kerberosなど）を仕様化したもので、標準化団体OASISによって策定された。WS-Securityを用いれば、送信されてきたSOAPメッセージが信頼の置ける相手のものかどうかの判断材料を得ることができる。

　だが、多くのセキュリティ専門家は、WS-Security（あるいはその同類の「WS-Trust」や「WS-SecurityPolicy」など）だけでWebサービスのセキュリティを確保できるとは考えていない。開発者がセキュアでないコードを書き続ける可能性を加味すれば、より多くの規格が必要になるというのが彼らの一致した意見だ。

　米国ウォッチファイアのセキュリティ調査担当ディレクター、ダニー・アラン氏は、Webサービス関連規格の現状について、こう語る。

　「Webサービスの難題は、対応規格の策定が追いつかないほど急速に複雑化していることだ。発車してしまった列車の後を追い続けるかぎり、セキュリティを完全に確保することは永遠に不可能だ」

(ダン・グッディン／InfoWorld オンライン米国版)