Webサービスの普及促進を図る業界団体Web Services Interoperability Organization（WS-I）は，Webサービス向けセキュリティ・ガイドライン「Security Scenarios」の「Working Group Draft」の公開レビューを開始した。WS-Iが米国時間2月25日に明らかにしたもの。同ガイドラインは，WS-IのBasic Security Profile Working Group（BSPWG）が策定した文書。相互接続性のあるWebサービスを構築する際に生ずるセキュリティ上の課題を指摘し，対策について記述している。同ガイドラインは，WS-IのWWWサイトで入手可能。

　Webサービスのセキュリティについて，米Gartner情報セキュリティ戦略部門調査ディレクタのRay Wagner氏は，「きちんと練ったセキュリティ戦略を持たずにWebサービスを導入する企業は，サイバー攻撃に対し無防備になってしまう」と述べる。「Webサービス・セキュリティに関する意思決定は複雑で，相互接続性という難問もある。Security Scenariosや将来公開される予定の『Basic Security Profile』といったWS-Iのガイドラインは，企業がWebサービス・セキュリティに対する取り組みを成功させる際の重要な要素となるだろう」（同氏）

　Security Scenariosの主な内容は以下の通り。

・課題：
　データ保全性／機密性，メッセージ唯一性の保証など，セキュリティ上の課題を指摘

・脅威：
　メッセージの変更／偽造／再生，サービス拒否（DoS）攻撃などの課題に対する10種類の脅威を概説

・対策：
　HTTPSやOASIS Web Services Securityなどの技術の使用方法や，各種脅威に対するSOAP Message Security 1.0活用の可能性を紹介

・利用シナリオ／ソリューション：
　紹介した技術を，WS-IのBasic Profile 1.0 Sample Applicationsなどで使われているMessage Exchange Patterns（MEPs）と組み合わせる方法を解説

　さらにWS-Iは，相互接続性プロファイル，Basic Security Profileの策定を進めており，メッセージ転送の安全性，SOAPメッセージングのセキュリティ，Basic Profile 1.0におけるその他セキュリティ上の注意事項などを取り上げる。同プロファイルのWorking Group Draftは，2004年第2四半期に公開する予定。

◎関連記事
■WS-I，Webサービスのセキュリティ仕様を検討するワーキング・グループを設立
■Webアプリのセキュリティ標準を確立するコンソーシアム「WASC」が発足
■OASISが策定するWebセキュリティの脆弱性記述言語「AVDL」，主要ベンダーがサポートを表明
■OASIS，Webセキュリティの脆弱性の分類，記述技術に向けた委員会を発足
■「Webサービスを悪用したセキュリティの脅威が拡大中」，米調査
■「銀行にとって，Webサービスは相互接続性と安全性がまだ不十分」，FSTCの調査
■米IBM，米マイクロソフト，米ベリサインが「WS-Security」をOASISに提出
■Webサービス普及のカギはセキュリティ，Webサービス向けセキュリティ市場は2006年に44億ドル規模

[発表資料へ]