Letters from the World
ウェブサービスのデータ安全性
2002/01/28 15:37
週刊BCN 2002年01月28日vol.926掲載
市場で熱い注目を集めているウェブサービスだが、そのデータ安全性に関する議論が米国で急速に高まっている。ウェブサービスは、IT市場におけるひとつの大きな柱として今後の急速な拡大と発展が期待されているが、現在は脆弱なデータ安全性を今後どのように担保して行くかが、重要な課題として関係者の間で急速に浮上している。
XMLデータをシステムの基盤に据えているウェブサービスは、「XMLはテキストベースなので、その暗号化や圧縮化は、XMLから切り離した独立仕様として考えるべきである」というXMLの思想をそのまま無条件に受け継いでしまった。そのために、データの安全性に対してあまりにも無防備なままに、その基本設計が進められてしまった。
また、ウェブサービスの仕様は、いとも簡単に実装できてしまう。そのために、セキュリティに意識の低い担当者が安易にウェブサービスをホスティング公開し、本来堅牢だったはずのシステムに風穴が開いてしまうという懸念も指摘されている。
更に、ウェブサービス自体は、XMLプロトコル上のSOAP(Simple Object Access Protocol)、UDDI(Universal Description Discovery and Integration)、WSDL(Web Services Description Language)などの新しいプロトコルの統合環境下で実装されるため、それぞれの新プロトコル層の存在が、新たな侵入行為の余地を攻撃者に与えることにもなる。
ウェブサービスの実現により、インターネット上に広大に分散配置されることになる各オブジェクト自身、およびそれらオブジェクト間通信の安全性をどのように担保して行くかに関しては、いまだその道筋さえ明らかになっていない。ITバブルの勢いに乗って成長してきたXMLと電子商取引仕様のほつれが、ウェブサービス市場の実現と共に図らずも露見したと言えそうだ。(米サンノゼ発)
XMLデータをシステムの基盤に据えているウェブサービスは、「XMLはテキストベースなので、その暗号化や圧縮化は、XMLから切り離した独立仕様として考えるべきである」というXMLの思想をそのまま無条件に受け継いでしまった。そのために、データの安全性に対してあまりにも無防備なままに、その基本設計が進められてしまった。
また、ウェブサービスの仕様は、いとも簡単に実装できてしまう。そのために、セキュリティに意識の低い担当者が安易にウェブサービスをホスティング公開し、本来堅牢だったはずのシステムに風穴が開いてしまうという懸念も指摘されている。
更に、ウェブサービス自体は、XMLプロトコル上のSOAP(Simple Object Access Protocol)、UDDI(Universal Description Discovery and Integration)、WSDL(Web Services Description Language)などの新しいプロトコルの統合環境下で実装されるため、それぞれの新プロトコル層の存在が、新たな侵入行為の余地を攻撃者に与えることにもなる。
ウェブサービスの実現により、インターネット上に広大に分散配置されることになる各オブジェクト自身、およびそれらオブジェクト間通信の安全性をどのように担保して行くかに関しては、いまだその道筋さえ明らかになっていない。ITバブルの勢いに乗って成長してきたXMLと電子商取引仕様のほつれが、ウェブサービス市場の実現と共に図らずも露見したと言えそうだ。(米サンノゼ発)
- 1
