運用管理ソフト大手の米CAは,Webサービスを使ったシステム間連携を安全に実行するためのミドルウエア「SOA Security Manager」(旧TransactionMinder)を,2008年内に日本国内で出荷する。SSO(シングル・サインオン)ソフトの「SiteMinder Web Access Manager」(旧SiteMinder)やLDAPディレクトリ製品と合わせ,アイデンティティ/アクセス管理のための製品群「IAM」(Identity & Access Management)を構成するものだ。米CAでIAM製品群のマーケティングを担当するMatthew Gardiner氏に,Webセキュリティの動向を聞いた。

(聞き手は日川 佳三=ITpro



米CAでセキュリティ・マネジメント担当シニア・プロダクト・マーケティング・マネージャを務めるMatthew Gardiner氏
[画像のクリックで拡大表示]

Webアクセス制御の動向を教えて欲しい。

 SiteMinderのような,SSOを中核としたWebアクセス管理は,市場が成熟している。現在では,先進的な企業だけでなく,保守的な企業もSSOソフトを取り入れ始めている。アナリストによれば,市場成長率は年率15~20%といったところだ。確立された市場と言ってよい。

 一方,SOA Security Managerのような,Webサービスのセキュリティを確保する機能は,まだメインストリームとは言えないものの,ここ1~2年でかなり広がってきた。同ソフトは,Webサービス連携に用いられるXMLメッセージを,電子署名などを用いて認証するほか,XMLメッセージに含まれる不正アクセスの脅威を軽減(Threat Mitigation)する。

SOA Security Managerについて詳細に教えてほしい。

 3つのコンポーネントで構成する。

 (1)「SOA Agent」は,Webサービスとなる個々のWebアプリケーション・サーバーに組み込むモジュールだ。既存のWebサービス環境にセキュリティ機能を追加する。XMLメッセージに電子署名を施したり,XMLメッセージのヘッダーに含まれる電子署名を検証できるようになる。ここで重要なのは,Webサービスのアプリケーションに手を入れることなく,こうしたセキュリティ機能を追加できる点だ。

 (2)「SOA Gateway」は,今回の新バージョンで追加した新機能だ。Webサービスのアクセスを仲介するゲートウエイ・ソフトである。SOA Agentが備える署名の検証機能などに加え,XMLメッセージの中身を解釈し,SQLインジェクションなどの不正アクセスからWebサービスを守るファイアウォールとなる。競合する製品/技術には,米IBMが買収した米DataPower Technologyや,米Cisco Systemsが買収した米Reactivityの製品がある。

 (3)「Policy Server」は,Webサービスのセキュリティ管理全体のポリシーを一元管理する。システム全体の頭脳と考えてよい。

SOA AgentとSOA Gatewayはどう使い分けるのか。

 個々のWebサービスに導入するSOA Agentと,Webサービスに代理アクセスするSOA Gatewayの両方を同時に使えば,SOA Gatewayがフロント・ドアの役割を,SOA Agentがローカル・ドアの役割を演じることになる。だが,SOA Gatewayだけでも使えるし,SOA Agentだけでも使える。

 典型的なユーザーは,まず最初はSOA Gatewayだけを導入する。なぜなら,Webサービスを提供しているWebアプリケーション・サーバーに手を加える必要がないからだ。ただし,この場合,リバース・プロキシのように,Webサービスのリクエストは,すべてSOA Gatewayを経由させなければならなくなる。

 一方,SOA AgentをWebサービスに導入することで,個々のWebサービスがWebサービスのリクエストを直接受けることができるようになる。ただし,SOA Agentの稼働プラットフォームとなるWebサーバーは,現在ではMicrosoftや各種Javaアプリケーション・サーバー,Apacheなどに限られている。あらゆる環境での動作を保障しているわけではない。

SOA Gatewayが提供しているWebサービス向けの脅威対策と,SiteMinderが提供しているWebアクセスのアクセス制御を統合しないのか。

 SOA GatewayはXMLメッセージのためのセキュリティ機能だが,技術的には,Webアクセス管理製品であるSiteMinderの仕組みの上に構築している。SOA AgentはSiteMinderのWeb Agentに相当し,SOA GatewayはSiteMinderのWeb Proxyに相当する。ここで,一般的なWebアクセスの制御はSiteMinderが,Webサービスのアクセス制御はSOA Security Managerが,それぞれ担う。

 SiteMinderやSOA Security Managerを同時に使う典型的なユーザー事例として,銀行のポータル・サイトを想定してみよう。(1)ユーザー認証を経たWebアクセスのリクエストを,まずは受ける。(2)次に,このHTTPリクエストを基にXML/SOAPリクエストを生成し,社内LANのバックエンド側にあるクレジットカード処理のWebサービスに投げる。(3)次に,クレジットカード処理のWebサービスは,インターネットを介して,クレジットカードをチェックする第三者機関のWebサービスを利用する。(4)結果をユーザーに返す。この一連の処理に,SiteMinderやSOA Security Managerが使われる。

社内LAN上でのWebサービスだけでなく,インターネットなどを介した社外とのWebサービス連携の例は増えてきているのか。

 その通りだ。SiteMinderのユーザー数は1300社ほど。このうちの125社ほどがSOA Security Managerのユーザーである。まだ全体の10%に過ぎないが,普及には勢いがある。そして,SOA Security Managerのユーザーはほとんど,社外との間でWebサービスのXML/SOAPメッセージをやり取りしている。