ガートナーが語る「SOAのセキュリティ」：動き出したSOAのいま（3/4 ページ）

[谷川耕一，ITmedia]

WebサービスとSOAのセキュリティ

　SOAのセキュリティについては、仕組みや技術面からいえば、Webサービスのものを流用することで対応可能な場合が多い。状況として異なるのは、日本版SOX法（金融商品取引法）などによる内部統制実現のための新たなセキュリティ要件が加わっていることである。

　一方、実際の運用面について考えると、SOAの場合は通常、企業内のシステムコンポーネントが対象となる。そのため、外部に公開しているWebサービスのようにDoS（サービス妨害）攻撃への対処や高いレベルでのデータ経路の暗号化などは必要ないであろう。また、ある程度の問題であれば、新たなシステム投資を実施せずとも、人的な運用の工夫で安全性を確保できることもある。

　ここ最近、SOAが現実のものとなってきた一因に、XMLの処理性能が向上したことが挙げられる。一方で、セキュリティ強化を考えた際には、XMLをカプセル化、暗号化する必要が出てくるかもしれない。単に暗号化するだけでなく、暗号鍵の受け渡しや認証などの処理も発生するので、セキュリティ対策が新たなオーバーヘッドとなる可能性がある。これが原因で処理速度が低下したり、ユーザーの利便性が損なわれたりすることにより、SOA本来のサービス指向の考え方が崩れてしまうようでは意味がない。

　仮にここで扱うデータが社外からのアクセスにさらされる可能性が極めて低いのであれば、適切なアクセスコントロールとログ管理だけの対策に限定して、暗号化は実施しないという判断もあるだろう。