Webサービス/XMLセキュリティの団体Advanced XML Security Laboratories(AXSL)は,XML Webサービスのぜい弱性に関する研究成果をまとめたモデル「XML Web Services Vulnerability Model」を公開した。AXSLが米国時間2月18日に明らかにしたもの。同モデルを参考にすると,Webサービスにかかわる危険を低減するソリューション導入が容易になるという。
AXSLは,情報セキュリティや防衛問題を研究する米国の非営利/非政府系シンク・タンクCenter for Advanced Defense Studies(CADS)と,XMLネットワーキング製品を手がける米Sarvegaが設立した組織。WebサービスのセキュリティやXMLのぜい弱性,安全な情報交換といった分野について,研究を行っている。
Webサービスの脅威について,AXSLは「通常のネットワークによる脅威と根本的に異なる」と説明する。ネットワーク・プロトコルのアプリケーション層とアプリケーション・スタックを狙う新しいタイプの脅威であり,アプリケーションごとに千差万別という。「こうした相違を明確に理解せず,一般的な脅威モデルや対応戦略を適用すると,思いもよらないぜい弱性が生じたり,“Webサービス・アプリケーションは安全”と誤解したりする」(AXSL)
CADS設立者兼会長のNewton Howard氏は,「我々の調査によると,ネットワーク・セキュリティ管理者とWebサービス・アーキテクトのほとんどが,Webサービスを悪用した侵入阻止を,優先度の高いアプリケーション・セキュリティ検討事項としている」と述べる。「ところが,“XMLの脅威やWebサービス・アプリケーションに対する影響について限られた情報しか得られない”と答えるセキュリティ管理者が多かった」(同氏)
AXSLは,XMLにかかわる脅威を“Vertical Threat(垂直脅威)”と“Horizontal Threat(水平脅威)”に分類してモデル化した。Webサービスのトラフィックは階層化した状態で変更/処理/保護するので,垂直脅威で扱う。水平脅威は,XMLのエンコーディング,構造,文法検証などの処理にかかわる。
これらのセキュリティ・モデルは,Webサイトでダウンロードできる。
◎関連記事
■企業幹部の4分の3以上がセキュリティを重視,「コスト管理よりも重要」
■2008年のWebサービス・ソフト市場は2003年の10倍の110億ドル規模へ
■WS-I,Webサービス向けセキュリティ仕様のドラフト版を公
■OASIS,Webサービスのセキュリティ仕様「WSS」を承認,IBMなど主要ベンダーがサポートを表明
■「Webサービスを悪用したセキュリティの脅威が拡大中」,米調査
■「銀行にとって,Webサービスは相互接続性と安全性がまだ不十分」,FSTCの調査
■「Webサービスがデジタル写真プリント・サービスに大きな成功をもたらす」,米Gartner
■Webサービス普及のカギはセキュリティ,Webサービス向けセキュリティ市場は2006年に44億ドル規模
[発表資料へ]
