Webサービスの普及促進を図る業界団体Web Services Interoperability Organization(WS-I)は,Webサービス向けセキュリティ仕様「WS-I Basic Security Profile」の「Working Group Draft」を公開した。WS-Iが米国時間5月18日に明らかにしたもの。
Basic Security Profileは相互接続性プロファイルであり,データ転送やSOAPメッセージ交換の安全性,WS-I Basic Profile 1.0といったそのほかの仕様におけるセキュリティ上の問題について,注意事項などを記載している。WS-Iのほかのプロファイルと組み合わせられるほか,OASISのWeb Services Security(WSS)といった既存のWebサービスセキュリティ仕様との連携も可能で,「各仕様間の相互接続性を向上するための解説とガイドラインを提供する」(WS-I)。
WS-Iによると,Basic Security Profileは中心テーマとして,HTTP接続時にセキュリティを確保するHTTP over TLSと,SOAPメッセージを保護するWeb Services Security:SOAP Message Securityという2つの技術の相互接続性を扱った。さらに,Web Services Security:Username Token Profileと同:X.509 Certificate Token Profileも盛り込んでいる。
Basic Security Profileの検討を担当するWS-IのBasic Security Profile Working Group(BSPWG)は,今後Web Services SecurityのKerberos Token Profile,SAML Token Profile,XRML Token Profileへの対応も行う。
WS-I Basic Security Profile Working Group Draftは,WS-IのWebサイトで入手可能。コメントは電子メール(secprofile_comment@ws-i.org)で受け付ける。
米メディアの報道(InfoWorld)によると,同仕様の最終版は2004年の晩夏から初秋に公開する予定という。
◎関連記事
■WS-I,Webサービス向けセキュリティ指針の公開レビューを開始
■WS-I,Webサービス向けガイドライン「WS-I Basic Profile Version 1.0」の最終版を公開
■WS-I,Webサービスのセキュリティ仕様を検討するワーキング・グループを設立
■OASIS,Webサービスのセキュリティ仕様「WSS」を承認,IBMなど主要ベンダーがサポートを表明
■OASISが策定するWebセキュリティの脆弱性記述言語「AVDL」,主要ベンダーがサポートを表明
■「Webサービスを悪用したセキュリティの脅威が拡大中」,米調査
■Webサービス普及のカギはセキュリティ,Webサービス向けセキュリティ市場は2006年に44億ドル規模
■OMGなど標準化団体3組織がWS-Iの準メンバーに,「目的は違うがWebサービスの将来展望は共有」
[発表資料へ]
