Webサービスの基礎知識：Beginner's Guide（4/7 ページ）

[Shawn-Hermans，Open Tech Press]

セキュリティ

　Webサービスの使用例では、組織のネットワーク境界の外側やオープンネットワークにメッセージが送信されることが多い。ほとんどの場合、外部の組織はWebサービスの利用者である。Webサービスの所有者は、認証および認可が正しく行われたエンドユーザーだけがサービスにアクセス可能にする必要がある。Webサービスメッセージの保護、認証情報の引き渡し、セキュリティポリシーの記述など、セキュリティ関連の問題に対処するWS-*のセキュリティ規格には、さまざまなものがある。

　WS-Securityは、SOAPメッセージへのセキュリティの適用に必要な基本事項を定めたものだ。一般用語としてのWS-Securityは、返ってきたメッセージが所定の受信者からのものであることの確認、認証を受けていない者によって送信中のメッセージが変更されないことの保証、対象としていない受信者によるメッセージ参照の防止、身元の証明に必要な情報の引き渡し、といった手段を提供するものを指す。一方、技術用語としてのWS- Securityは、SOAPメッセージに暗号化およびデジタル署名を標準化された形で適用する方法やセキュリティトークンの引き渡し方法を定めたものである。WS-Securityは、XML暗号化、XMLデジタル署名、SAML（Security Assertion Markup Language）といった従来の規格の上に成り立っている。また、Kerberos、PKI（Public-Key Infrastructure）、SSL（Secure Sockets Layer）など、XML以外のセキュリティモデルも組み込まれている。

　WS-Securityが提供する標準規格はメッセージにセキュリティを適用する方法に関するものだが、適用すべきセキュリティ基準は定められていない。一方、WS-Policy言語を使用するWS-SecurityPolicyでは、サービス所有者によるセキュリティポリシーの記述が可能だ。サービス所有者は、許容できる暗号化アルゴリズム、セキュリティトークンのフォーマットなど、セキュリティ適用の方法とタイミングに関する情報を指定できる。

　WS-Securityは個々のSOAPメッセージは保護できるが、相互に関連する一連のSOAPメッセージの保護には対応していない。通常のWebサービスでは、インタラクションの途中で一連のメッセージを利用者と交換することがよくある。WS-SecureConversationは、WS-Trust、WS-SecurityPolicy、WS-Securityに基づいて構築されており、同じセキュリティコンテキストに含まれる一連のメッセージを保護できる。

　WS-Federationは、種類の異なるセキュリティドメイン間で信頼関係の仲介を行うための言語と手続き群を提供する。企業はこの仕様を使うことで、社外パートナー組織の社員に対する認証および認可情報の管理を必要とせず、そうした組織と情報をやり取りできる。極端にいえば、Webサービス向けのシングルサインオンソリューションのようなものだ。WS-Federationを使えば、新たなWebサービスの利用者がそのサービスプロバイダーのアカウントを作成しなくても、適切な認証情報の自動的な引き渡しが可能になる。