米Microsoft社,米IBM社,米VeriSign社が米国時間4月11日に, Webサービス向けの新しいセキュリティ仕様「WS-Security」とWebセキュリティのロードマップ「Security in a Web Services World」を発表した。企業による,安全で相互運用性を持つWebサービス・アプリケーション構築の支援が目的。3社は共同でこの新しい仕様を開発し,適切な標準化団体に提出する予定。

 「WS-Security」は,Webサービス・セキュリティ構造の基盤である。3社は,同仕様を標準団体に提出し,複数のベンダーに採用されることを期待している。企業は,Webサービス・セキュリティのモデル,仕様,標準プロセスにより,安全で相互運用性があるWWWサービスの開発が可能になるとともに,既存のWebサービス・アプリケーションのセキュリティを迅速かつ経済効率良く増強できるという。

 同仕様は,いくつかの定評があるセキュリティ・モデル,メカニズム,技術のサポートと統合を実現する。Webサービス・アクセス用のプロトコル「SOAP」の拡張子,メッセージ・ヘッダの標準セットを定義しており,これはWWWサービス・アプリケーションでの整合性と秘密保持を実装するために使われる。SOAPは,XMLをベースとしており,言語に依存しない方法でWebサービスにアクセスするためのプロトコル。同仕様は,Webサービス環境でセキュアで署名付きのメッセージを交換するメカニズムを提供する。

 「Security in a Web Services World」と題するロードマップは,両社が主要顧客,業界パートナ,標準化団体とともに開発を予定しているWebサービス・セキュリティの仕様がまとめられている。

 Webサービスのセキュリティ増強のために提案されているその他の仕様は以下の通り

・「WS-Policy」,「WS-Trust」,「WS-Privacy」
「WS-Policy」は,機能とセキュリティ・ポリシーの制約の表現方法を定義する。「WS-Trust」は,信頼関係を確立するためのモデルを記述。「WS-Privacy」は,Webサービスでのプライバシ実装方法を定義する。

・「WS-Secure Conversation」,「WS-Federation」,「WS-Authorization」
「WS-Secure Conversation」は,交換されるメッセージの管理と認証方法を記述。「WS-Federationは」,異種環境における信頼関係の管理と仲介方法を記述。「WS-Authorization」は,Webサービスが認証データをポリシーを管理する方法を定義。

 Webサービス・セキュリティは,IT環境がさまざまなシステムにより構成されているため,モジュール方式のアプローチが必要となる。企業は,必要なセキュリティ・レベルに応じて,また必要な部分から徐々にセキュリティを増強できる。異なるセキュリティのアプローチを取る企業間におけるコラボレーションでWebサービスの利用が増加しているため,このセキュリティ・モデルは,企業が信頼できる方法で相互接続できる柔軟なフレームワークを提供する。

 「WS-Security」仕様とロードマップ「Security in a Web Services World」は,次のサイトに掲載されている: IBM developerWorksサイト Microsoft MSDNサイト VeriSignサイト

◎関連記事
米ベリサインが認証サービス導入の枠組みを発表
米ベリサインと米IBMが手を組みインターネット・セキュリティ・サービス提供へ
「.NETのセキュリティが不安だって?」,米MSと米ベリサインが提携拡大

発表資料へ