米チェック・ポイント・ソフトウエア・テクノロジーズは米国時間で8月27日,トラフィックに含まれるXML(拡張可能マークアップ言語)データの内容に基づいて,フィルタリングしたり優先制御したりする機能を同社のファイアウォール製品に搭載すると発表した。この機能を使うと,例えば,社内のコンピュータからインターネット上のWebサービスを呼び出せないようにする,特定のWebサービスとの通信を優先的に通過させる--などの設定が可能になる。
クライアントからWebサービスを呼び出す場合には,XMLデータをSOAPという制御用プロトコルでやりとりする。SOAPは,HTTPやSMTP(簡易メール転送プロトコル)といった一般的な転送プロトコル上で利用するケースが多く,従来のファイアウォールでは動作を捕そく/制御しにくい。特にWebサービスの場合には,バイナリをXMLデータに変換して送受信できる。つまり,プログラムなどを簡単に送り込める,アプリケーションから呼び出して自動処理できる--などの特徴から,潜在的な危険性が高いといえる。例えば,XMLデータ化したプログラムをWebサービスから受け取って自動実行するようなアプリケーションの場合,クラッカが他社のWebサービスになりすましたサービスからトロイの木馬を受け取って実行してしまう危険もある。
そこでチェック・ポイントは,同社のファイアウォール構築ソフト「FireWall-1」やVPN(仮想プライベート・ネットワーク)構築ソフト「VPN-1」に搭載されているトラフィックの遮断/制御機能を強化した。具体的には,XMLデータの内容や,SOAPヘッダーの内容に基づいて,パケットの通過/遮断を制御可能にする。SOAP/XMLの内容に基づき,通過させるパケットの優先順位を設定することも可能である。また,Webサービスの呼び出し時にHTTPでベーシック認証を利用する場合や,SOAPヘッダーに認証情報が含まれている場合には,その情報に基づくトラフィックの通過/遮断を実現する。こうした一連のトラフィック制御は,「SmartCenter」という管理ツールで一元管理できるようにした。
これらの拡張機能は,VPN-1やFireWall-1用の機能拡張ソフト「Next Generation Feature Pack 3」に搭載する予定。同ソフトは,2002年9月に製品のユーザー向けに無償提供する。(H.J.)
