MSとIBM、Webサービスセキュリティ仕様を標準化へ

MicrosoftとIBMは共同開発したWebサービスセキュリティ仕様WS-Trust、WS-SecureConversation、WS-SecurityPolicyを標準化のためOASISに提出する。（IDG）

[IDG Japan]

　IBMとMicrosoftは、パートナー間で信頼を確立し、データを交換するために開発した一連のWebサービスセキュリティ仕様を標準化団体に引き渡す予定だ。

　両社は9月にWS-Trust、WS-SecureConversation、WS-SecurityPolicyをOASIS（Organization for the Advancement of Structured Information Standards）に提出する。OASISはこれら仕様を標準にするための技術委員会を設置する予定だ。両社は7月14日、Burton Group Catalystカンファレンスで正式発表を行った。

　3つの仕様の中で最も重要なのがWS-Trustだ。これはパートナー間でセキュリティ情報とあらゆる種類のセキュリティトークン（Kerberos、X.509、Security Assertion Markup Language（SAML）など）を移動するためのシングルパスを確立する。

　「これは相互運用性の大きな前進だ」とBurton Groupのジェイミー・ルイス社長は語る。「WS-Trustは汎用トークン交換プロトコルであり、あらゆる種類のセキュリティ情報を交換する相互運用可能なインフラの重要なピースだ」

　ルイス氏は、WS-Trustは認証、フェデレーションの宣言を交換するために使うことができ、プロビジョニングシステムで使われる可能性もあると語った。

　またこの仕様は、Microsoftが5月に発表した「Identity Metasystem」と呼ばれる標準ベースの分散型IDインフラモデルの重要な要素でもあり、同社がLonghornに組み込むユーザーID管理システム「InfoCard」の要でもある。

　これら仕様は、MicrosoftとIBMが2002年に開発を始めたWS-SecurityあるいはいわゆるWS-*（「WSスター」と読む）プロトコルファミリーの一部だ。これらのプロトコルは緩やかなペースでOASISやW3Cなどの標準化団体に提出されてきた。

　WS-FederationとWS-Policyという2つの重要なプロトコルはまだ提出されていない。

　MicrosoftとIBMは、これらプロトコルを提出する予定はあるとしているが、時期は明らかにしていない。両社はエンドユーザーと業界専門家から、Webサービスをセキュアにするインフラの標準化を早めるために、残りの仕様を提出するよう大きな圧力をかけられてきた。

　次に提出されるプロトコルはWS-Policyのようだ。両社は昨年10月、W3Cに向けてこの仕様についてのワークショップを行った。だがその主な理由は、MicrosoftがInfoCard技術でWS-Policyに頼っていることにある。

　MicrosoftがInfoCardは標準ベースのシステムだと説く一方で、WS-Policyは今なお標準化団体に提出されていない唯一の重要プロトコルのままだ。InfoCardは今年の秋に初のβ版がリリースされる。

　「WS-Policyは年内に標準化団体に提出されるだろう」とBurton Groupの調査ディレクター、トーマス・メインズ氏。Microsoft関係者はこの仕様の計画に関するコメントを控えた。

　一方、OASISに引き渡される3つの仕様は、Webサービスセキュリティインフラを完成させる上で役立つだろう。

　「これらの仕様はよくできている。今後必要な作業はあまり多くないと思う」とWS-Trustの作成者の1人で、IBMのチーフセキュリティアーキテクトのトニー・ナダリン氏。だが同氏は、OASISの標準化プロセスを経るということは、これらの仕様が標準として完成するまでに18カ月以上かかる可能性が高いと指摘している。

　WS-Trustは、パートナー間で信頼を確立するためのセキュリティトークンの要求・発行をサポートする。WS-SecureConversationは、複数のWebサービスメッセージにまたがる通信のセキュリティを確保する拡張機能をWS-TrustとWS-Securityに提供する。WS-SecurityPolicyはWS-Policyと連係し、SOAP（Simple Object Access Protocol）メッセージ、WS-TrustとWS-SecureConversationなどほかのWS-Securityプロトコルに適用される全般的なセキュリティポリシー宣言を定義する。

　IBMとMicrosoftはRSA Security、VeriSignとともにWS-SecurityPolicyを共同で作成した。WS-TrustとWS-SecureConversationの作成には、Actional、BEA Systems、Computer Associates、Layer 7 Technology、OpenNetwork Technologies/BMC、Oracle、Ping Identity、Reactivity、RSA Security、VeriSignが参加した。