ガートナーが語る「SOAのセキュリティ」：動き出したSOAのいま（4/4 ページ）

[谷川耕一，ITmedia]

相反する利便性とセキュリティ

　SOAのセキュリティを考えた際に、石橋氏は「SOAは利便性を追求するコンセプトである点で、セキュリティと相反する部分がある」と指摘する。SOAにおいてセキュリティは重要な要素ではあるが、そのために利便性やサービス性が損なわれるようでは、正しい運用ができない可能性も出てきてしまう。安全性のバッファを取って、次々と新しいセキュリティ対策を施すのでなく、適材適所に展開していく必要がありそうだ。

　また、情報漏えい対策、内部統制の実現を考えるときに、避けて通れないのが、権限を有したユーザーしか該当するデータを扱えないように設定するアクセスコントロールだ。個々のコンポーネントでいくらアクセスコントロールを行っても、次のコンポーネントに渡された際に、そのコントロールが継承されていなければ意味はない。むしろ、その状態で、外部の企業システムとの連携が発生するような場合には、情報漏えいの危険性が一気に高まるかもしれない。

　これに対応する1つの手段として、バラバラに存在する各コンポーネントのデータベースを1つに統一して、データとユーザーを一元管理する方法がある。とはいえ、これはシステムを大幅に改変する必要もあり、コストもリソースも多大に消費する可能性がある。実際には、SAML（Security Assertion Markup Language）などを活用して、コンポーネントやドメイン間をまたがるシングルサインオン環境を実現する方法が、現実的な解決策になるかもしれない。

　どちらの方策をとるにしても、SOA全体のシステムアーキテクチャーをきちんと定義し、全体の中での永続的なアクセスコントロール実現の青写真をきちんと設定しておく必要がある。

　「スモールスタートで大きく育てる」というのが、いまのSOA自体の現実的なアプローチだ。それに対応するセキュリティ対策も、いきなり何でもかんでも導入するのではなく、必要に応じて徐々に拡大していくことになる。

　セキュリティ対策製品の導入やアプリケーションの作り込みですべてを解決しようとするのではなく、運用でカバーできるのであれば運用管理面の強化と従業員の教育などで安全性を確保できるかもしれない。とはいえ、SOA本体もその上のセキュリティも、初期の段階でしっかりとしたグラウンドデザインを確立しておくことが、将来的な成功には不可欠である。