お客様が developerWorks に初めてサインインすると、プロフィールが作成されます。プロフィールで選択した情報は公開されますが、いつでもその情報を編集できます。お客様の姓名（非表示設定にしていない限り）とディスプレイ・ネームは、投稿するコンテンツと一緒に表示されます。

送信されたすべての情報は安全です。

developerWorks に初めてサインインするとプロフィールが作成されますので、その際にディスプレイ・ネームを選択する必要があります。ディスプレイ・ネームは、お客様が developerWorks に投稿するコンテンツと一緒に表示されます。

ディスプレイ・ネームは、3文字から31文字の範囲で指定し、かつ developerWorks コミュニティーでユニークである必要があります。また、プライバシー上の理由でお客様の電子メール・アドレスは使用しないでください。

送信されたすべての情報は安全です。

My developerWorks：

通知：

サイン・アウト

言語を選択する：

Web サービスのセキュリティ: アーキテクチャとロードマップの提案

IBM Corporation と Microsoft Corporation 共著によるホワイトペーパー

加藤健二, マイクロソフト株式会社

加藤健二：マイクロソフト株式会社

野村一行, マイクロソフト株式会社

野村一行：マイクロソフト株式会社

羽田知史, 日本アイ・ビー・エム株式会社

羽田知史：日本アイ・ビー・エム株式会社

丸山宏, 日本アイ・ビー・エム株式会社

丸山宏：日本アイ・ビー・エム株式会社

概要： このドキュメントでは、Web サービス環境内でセキュリティに取り組むために提案する方策を説明します。ここでは包括的な Web サービスセキュリティモデルを定義します。この Web サービスセキュリティモデルは、さまざまなシステムがプラットフォーム中立および言語中立の手法で安全に相互運用できる方法で、いくつか普及しているセキュリティモデル、メカニズム、およびテクノロジ (対称鍵の技術や公開鍵の技術の両方を含む) をサポート、統合、および統一します。また、一連の仕様について説明し、これらの仕様を組み合わせて使用する方法を示すシナリオについて説明します。

タグを付ける!

日付: 2002年 5月 23日 (公開: 2002年 4月 07日)
レベル: 上級
この記事の原文: 英語
アクティビティー： 1380 ビュー
お気軽にご意見・ご感想をお寄せください：

要点

IT 業界はほぼ 2 年間をかけて Web サービスについて話し合ってきました。パイロットプログラムや大規模な実稼働環境で Web サービスが使用されるようになると、組織内、企業間、およびインターネット経由でアプリケーションをリンクする疎結合で、言語中立の、プラットフォームに依存しない方法を持つことの利点が、ますます明白になってきます。ユーザ、業界アナリスト、および報道機関は、この先 Web サービスが主流になってくるときに取り組む必要のある重要な分野はセキュリティであると認識しています。このドキュメントはこのセキュリティについての技術方策とロードマップを提案します。業界はこの提案を使って、標準ベースのアーキテクチャを作成し、実装できます。標準ベースのアーキテクチャは包括的で、かつ Web サービスのセキュリティに対する実際のビジネスのニーズを十分満たす柔軟性を備えたものです。

新たな Web サービスアーキテクチャの主な利点は、統合された、相互運用可能なソリューションを提供する能力です。包括的なセキュリティモデルを備えたアプリケーションを使って Web サービスの完全性、秘匿性、およびセキュリティを確実することが、組織にとっても、組織のユーザにとっても重要になります。

IBM と Microsoft はユーザと業界の両方から表明された懸念に応えて、ここで提案する Web サービスセキュリティプランとロードマップに共同で取り組みました。IBM と Microsoft はここで提案する Web サービスセキュリティプランとロードマップに従って、Web サービス環境でのメッセージ交換の保護を提供する方法に対処する Web サービスセキュリティ仕様のセットを開発します。

まず初めに、公開鍵インフラストラクチャ (PKI) や Kerberos など、以前は互換性がなかったセキュリティテクノロジを 1 つにまとめたセキュリティモデルを作成しました。簡単に言えば、これは理想的なフレームワークではありませんが、現在ユーザが利用しているさまざまな種類の IT 分野でセキュアな Web サービスを構築できる実用的なフレームワークです。

このドキュメントでは、広範なアプリケーショントポロジやビジネストポロジにまたがった認証、認可、プライバシー、信頼、完全性、秘匿性、セキュアな通信チャネル、連合、委任、監査などのセキュリティテクノロジをカバーする幅広い仕様のセットを提示しています。これらの仕様は、拡張性があり、柔軟で、セキュリティインフラストラクチャへのこれまでの投資を最大限に活かすフレームワークを提供します。これらの仕様は、IBM と Microsoft が以前に提案した同様の仕様 (つまり、SOAP-Security、WS-Security や WS-License 仕様) で表明した考えを包含し、拡張したものです。

仕様は、Web サービスモデルの中核となる自然な拡張性を応用することにより、SOAP、WSDL、XML デジタル署名、XML 暗号化、SSL/TLS などの基本的なテクノロジを基礎として構築されます。この結果、Web サービスプロバイダや要求者は、アプリケーションの個別のセキュリティの必要条件を満たすソリューションを開発できます。

IBM と Microsoft は、このセキュリティモデルを段階的アプローチで進化、改善するために、ユーザ、パートナー、および標準化団体と共同で作業するつもりです。この作業はWS-Security 仕様にまとめられています。WS-Security は、メッセージの整合性や機密性を保護する中核となる機能や、メッセージにセキュリティ関係の確認を関連付けるメカニズムを定義します。WS-Security がこの作業の基礎になりますが、この作業は始まったばかりで、今後業界と共同で、ポリシー、信頼、プライバシーの問題を扱う新たな仕様を作成していく予定です。

このドキュメントで説明している問題点やソリューションをできる限り具体的にするために、Web サービスの現在のアプリケーションおよび予想されるアプリケーションを反映するいくつかのシナリオを説明します。これらのシナリオには、ファイアウォール処理、プライバシー、ブラウザやモバイルクライアントの使用、アクセス制御、委任、および監査などがあります。

さまざまな提案仕様の相互運用性や一貫性のある実装を保証するために、何が行えるのかという懸念を予測しています。IBM と Microsoft はこの懸念を解消するために、標準化組織、開発者コミュニティ、WS-I.org などの業界組織と密接に連係して、ツールベンダにガイダンスを提供する相互運用性のプロファイルやテストを開発するつもりです。

このドキュメントは、包括的なモジュール構造のソリューションを概説しています。このソリューションを実装すると、ユーザはセキュリティインフラストラクチャへのこれまでの投資を利用、拡張する、相互運用可能な、セキュアな Web サービスを構築でき、同時に Web サービステクノロジが提供する必要のある統合と相互運用性の利点を完全に利用できます。

上に戻る

概要と動機

Web サービスのセキュリティ機能やコンポーネントの包括的なモデルを提供することにより、今後のアプリケーションで進化するセキュリティの必要条件と、現在利用できるプロセスやテクノロジの統合が必要になります。これは統一した概念を要求します。また、テクノロジ (セキュアなメッセージ処理) の問題点とビジネスプロセス (ポリシー、リスク、信頼) の問題点の両方に対するソリューションを必要とします。最後に、プラットフォームベンダ、アプリケーション開発者、ネットワークプロバイダやインフラストラクチャプロバイダ、およびユーザの連合した作業が必要になります。

利用できるさまざまなセキュリティテクノロジを統一することは、採用する特定のメカニズムからアプリケーションセキュリティの機能的な必要条件を取り出す必要があることを意味します。たとえば、オンラインで商品を購入するユーザは、各デバイスが適切な ID を安全に表明している限り、携帯電話を使用しているか、ラップトップコンピュータを使用しているかによって、影響を受けるべきではありません。

目標は、ユーザが異種システムを使った相互運用可能なソリューションを容易に構築できるようにすることです。たとえば、このドキュメントの後半で提案するセキュアなメッセージングモデルは、より一般的な機能の特定の具体的表現として、PKI メカニズムと Kerberos ID メカニズムの両方をサポートします。さらに、このメッセージングモデルを別のセキュリティメカニズムをサポートするように拡張できます。単一のセキュリティモデルの抽象概念を通じた統合により、異なるテクノロジを使用している複数の組織と通信しているときに、複数の組織がそれぞれセキュリティテクノロジへの既存の投資を使用することを可能にします。

さらに、異なる ID メカニズムを使用している複数の組織が Web サービスを使用して共同作業するときに、セキュリティ信頼モデルが柔軟なフレームワークを提供し、複数の組織は適切な認可が構成されているときはそのフレームワーク内で相互接続できます。

同時に、すべてのユーザやすべての Web サービスは特定のビジネスニーズや運用環境に基づいて、独自の一意なセキュリティの必要条件を持ちます。たとえば、ワークグループ設定内では単純さと操作の容易さが一番の関心事項ですが、パブリックインターネットアプリケーションでは、組織的なサービス拒否攻撃に耐えうる能力の優先順位が高くなります。これらの必要条件が多くの方法で組み合わせられる可能性があり、異なるレベルの特定性で表される可能性があるので、Web サービスセキュリティへのアプローチが成功するには、ポリシーや構成を使ってさまざまなセキュアなソリューションを可能にする柔軟で、相互運用可能なセキュリティプリミティブのセットが必要になります。

このドキュメントでは、これらの課題に取り組むために、以前の異なるテクノロジを統一するセキュリティの抽象概念のセットに基づく、セキュアで、相互運用可能な Web サービスを作成する進化していくアプローチを提案しています。これは、フレームワーク全体から特定の顧客の必要条件を限定することを可能にする一方で、時間の経過と共にテクノロジが進化し、導入が増加していくことを同時に可能にします。

この進化していくアプローチの一例として、セキュアなメッセージングモデルを既存のトランスポートレベルのセキュリティソリューションに追加できます。ユーザは、たとえば Secure Sockets Layer (SSL/TLS) 経由で送信されるメッセージを持つ既存の Web サービスに、メッセージレベルの完全性または永続的な秘匿性 (メッセージ要素の暗号化) を追加できます。そのメッセージは、トランスポート層を超えて保持される完全性 (または秘匿性) を持つことになります。

新たに提案するモデルや仕様は、複数のベンダから広範に利用でき、適切な標準化組織によって検討されるであろうと予測しています。モデル、仕様、および標準化プロセスが一体となることにより、ビジネスは既存のアプリケーションのセキュリティをすばやく、費用効率よく向上でき、新しい相互運用可能でセキュアな Web サービスを確信を持って開発できます。

このようなモデルのビジネス上の利点は明白です。ますますビジネスプロセスが Web サービスに作り直されていくようになるにつれ、組織やユーザは Web サービスの包括的なセキュリティアーキテクチャを組み立てることによって、これまでの投資や資産が保護されることをより確実にできます。

Web サービスセキュリティモデルの専門用語

テクノロジによって専門用語が変化するので、このドキュメントでは異なるセキュリティ形式やメカニズムに一貫性を持って適用されるいくつかの用語を定義します。その結果、ここで使用される専門用語は他の仕様書とは異なる可能性があります。また、読者が好みの用語に置き換えることができるように定義されています。

Web サービス-- 用語 "Web サービス" は、さまざまなネットワークベースのアプリケーショントポロジに幅広く適用できます。このドキュメントでは用語 "Web サービス" を使用して、XML、SOAP、WSDL、HTTP などの既存および新規の Web テクノロジ標準のアプリケーションを使用する可能性のあるユーザに公開される機能やインターフェイスを持つアプリケーションコンポーネントを説明しています。Web サイト、ブラウザベースの対話、またはプラットフォームに依存するテクノロジとは対照的に、Web サービスは定義済みのフォーマットやプロトコルを使用して、プラットフォームに依存しない、言語中立の手法で、コンピュータ対コンピュータに提供されるサービスです。
セキュリティトークン-- セキュリティ関連の情報 (例、X.509 証明書、Kerberos チケットや認証システム、SIM カードからのモバイルデバイスセキュリティトークン、ユーザ名など) の表現としてセキュリティトークンを定義します。
次の図にいくつかの異なる種類のセキュリティトークンを示します。
署名付きセキュリティトークン-- 発行者が暗号的に保証し、関連する申告 (アサーション) のセットを保持するセキュリティトークンとして、"署名付きセキュリティトークン" を定義します。署名付きセキュリティトークンの例には、X.509 証明書や Kerberos チケットなどがあります。
申告 (Claims)-- 申告は、主体、または、主体を申告に関連付ける信頼される機関の、いずれかによる主体に関する記述です。ここで重要な点は、この仕様では行える申告の種類を制限しないだけでなく、これらの申告を表現する方法も制限しないことです。申告を、メッセージの署名や暗号化に使用する可能性のある鍵に関係するものにできます。申告を、セキュリティトークンが搬送するステートメントにできます。たとえば、送信者の ID や認可された役割をアサートするために申告を使用することもできます。
主体-- セキュリティトークンの主体は、セキュリティトークンで表現される申告が適用される実体 (例、人、アプリケーション、またはビジネスエンティティ) です。特に、主体はセキュリティトークンの所有者として、セキュリティトークンの所有権を証明するために必要な情報を所有します。
所有の証明( Proof-of-Possession )-- セキュリティトークンまたは申告のセットの所有権を証明するプロセスで使用する情報を "所有の証明" と定義します。たとえば、所有の証明が、公開鍵を含むセキュリティトークンに関連付けられる秘密鍵になることもあります。
Web サービスエンドポイントポリシー-- Web サービスは、メッセージを処理するために必要な申告の指定に完全な柔軟性を持ちます。このような必要な申告や関連情報を総称して "Web サービスエンドポイントポリシー" と呼びます。エンドポイントは XML で表記されることがあり、エンドポイントを使って、認証 (例、ユーザ ID またはグループ ID の証明)、認可 (例、特定の実行権限の証明)、またはその他のカスタム要件に関連する必要条件を示すことができます。
申告要件-- 申告要件を、メッセージ全体やメッセージの要素、指定した種類のすべての操作、または特定の状況下だけの操作に結び付けることができます。たとえば、サービスはサービスの要求者に、規定した制限を超える量を購入する権限を証明することを要求する場合があります。
中間ノード-- SOAP メッセージが最初の送信者からサービスに送信されるとき、メッセージのルーティングやメッセージの変更などの操作を実行する中間ノードによってそのメッセージが操作される可能性があります。たとえば、中間ノードがヘッダの追加、メッセージの一部の暗号化や復号化、または別のセキュリティトークンの追加を行う可能性があります。このような状況では、完全性を無効にしたり、信頼モデルに違反したり、アカウンタビリティを破壊したりすることのないように注意が必要です。
アクタ-- "アクタ" とは、URI もしくは、SOAP メッセージのプロセスにより識別される中間ノードもしくは終端 (SOAP 仕様書で定義されている) です。ユーザもクライアントソフトウェア (例、ブラウザ) もアクタではないことに注意してください。

Web サービスセキュリティモデルの原理

SOAP メッセージを URI で識別されるサービスのエンドポイントに送信し、特定の操作を要求し、SOAP メッセージ応答 (失敗応答も含む) を受信することによって、Web サービスにアクセスできます。このコンテキスト内で、Web サービスをセキュリティで保護するという幅広い目標は、メッセージの完全性と秘匿性を保護するための機能を提供するという目標と、ポリシーによって要求される申告を表すメッセージの要求だけをサービスが操作することを保証する機能を提供するという目標に分けられます。

今日では、Web サービスアプリケーションにトランスポートレベルのセキュリティを提供するために、業界標準の Transport Layer Security (TLS) と共に Secure Socket Layer (SSL) が使用されています。SSL/TLS は、認証、データ完全性、データ秘匿性など、いくつかのセキュリティ機能を提供します。SSL/TLS はセキュアなポイントツーポイントセッションを可能にします。

IPSec は、Web サービスで重要になる可能性があるトランスポートセキュリティの別のネットワーク層標準です。SSL/TLS と同様に、IPSec もホスト認証、データの完全性、およびデータ秘匿性を使ってセキュアなセッションを提供します。

今日の Web サービスアプリケーショントポロジには、モバイルデバイス、ゲートウェイ、プロキシ、負荷分散、非武装地帯 (DMZ)、アウトソースされたデータセンター、グローバルに分散され動的に構成されるシステムなどが含まれます。これらすべてのシステムは、メッセージを転送するメッセージ処理をする中間ノードの能力に依存します。特に、SOAP メッセージモデルは物理ネットワークやアプリケーションインフラストラクチャを抽象化する論理エンドポイントで動作します。そのため、中間アクタを備えたマルチホップトポロジを組み込むことがよくあります。

トランスポート層を超えてデータが中間ノードによって受信、転送されるとき、データの完全性とすべてのセキュリティ情報の両方が失われる可能性があります。これは、以前の中間ノードによって行われたセキュリティの評価に依存し、かつその中間ノードのメッセージのコンテンツの処理を完全に信頼することを、すべての上流のメッセージプロセッサに強制します。包括的な Web サービスセキュリティアーキテクチャに必要なものは、エンドツーエンドセキュリティを提供するメカニズムです。成功する Web サービスセキュリティソリューションは、セキュリティ権限の包括的なセットを提供するために、トランスポート層セキュリティメカニズムとアプリケーション層セキュリティメカニズムの両方を利用できるでしょう。

ポイントツーポイント構成

エンドツーエンド構成

ここで説明する Web サービスセキュリティモデルは、以下のプロセスによってこれらの目標を実現できます。

Web サービスは、着信するメッセージが "申告" のセット (例、名前、鍵、許可、権限など) を証明することを要求できます。必要な申告を持たずにメッセージが着信した場合は、サービスはこのメッセージを無視するか、破棄できます。必要な申告のセットとその関連情報を "ポリシー" と呼びます。
要求者は、"セキュリティトークン" をメッセージに関連付けることにより、必要な申告の証明と共にメッセージを送信できます。そのため、メッセージは特定の操作を要求することと、メッセージの送信者がその操作を要求するための申告を持っているのを証明することの両方を行います。
要求者が必要な申告を持っていない場合、その要求者または代わりの誰かが他の Web サービスにコンタクトすることによって、必要な申告の取得を試みることができます。このような他の Web サービスを "セキュリティトークンサービス" と呼び、これは申告の独自のセットを順次要求する可能性があります。セキュリティトークンサービス仲介者は、セキュリティトークンを発行することにより、異なる信頼ドメイン間を信頼します。

このモデルを以下の図で説明します。任意の要求者がサービスの場合もあり、セキュリティトークンサービスが、ポリシーの表明やセキュリティトークンの要求を含む完全な Web サービスの場合もあります。

申告、ポリシー、およびセキュリティトークンを使用するこの一般的なメッセージングモデルは、ID ベースのセキュリティ、アクセス制御リスト、権限ベースのセキュリティなど、より特定のモデルをいくつか包含し、サポートします。このモデルは、X.509 公開鍵証明書、Kerberos 共有秘密チケット、パスワードダイジェストなどの既存のテクノロジの使用を許します。後半で説明するように、システムが異なるセキュリティテクノロジ間にブリッジを構築できるようにする統合抽象概念も提供します。一般的なモデルは、高度な鍵交換、認証、認可、監査、および信頼メカニズムを構築するには、十分です。

上に戻る

Web サービスセキュリティの仕様

ここで示しているセキュリティの方策と、以下で紹介するWS-Security 仕様は、提案する Web サービスセキュリティモデルの戦略的目標と根本理念を提供します。

これから先も、Web サービスセキュリティ仕様の初期セットを開発するために、ユーザ、パートナー、および標準化組織と共同で行う作業プロセスを続けていきます。

図5: Web Services Security Specifications

この初期セットには、他のセキュリティ仕様の基礎を提供するメッセージセキュリティモデル (WS-Security) を含むことになるでしょう。このモデルは層を形成しており、Web サービスエンドポイントポリシーを含むポリシー層 (WS-Policy)、信頼モデル (WS-Trust)、およびプライバシーモデル (WS-Privacy) を持っています。これらの初期仕様がまとまって、信頼関係のあるドメイン間にまたがったセキュアな、相互運用可能な Web サービスを実現するために作業できる基礎を提供します。

引き続きユーザ、パートナー、および標準化団体と共同で作業を行い、これらの初期仕様を基礎に構築していくことにより、セキュアな対話 (WS-SecureConversation)、信頼の連合 (WS-Federation) および、認可 (WS-Authorization) などを、セキュリティの連合ための追加仕様として提供します。

これらのセキュリティ仕様の組み合わせは、今日のより基本的なセキュリティメカニズムでは実装が困難な多くのシナリオ (シナリオの一部はこのドキュメントの後半で説明します) を可能にします。

この作業と並行して、監査、管理、およびプライバシーに関連する仕様と共に、Web サービスセキュリティフレームワークを強化する関連活動を提案し、推し進めていくでしょう。

さらに、IBM と Microsoft は相互運用性プロファイルでの WS-I のような組織と共同で作業することに全力を傾けます。

ユーザはセキュリティ仕様の組み合わせ、関連活動、および相互運用性プロファイルを使って、相互運用可能なセキュアな Web サービスを容易に構築できます。

提案する各仕様を以下にまとめます。

初期仕様

WS-Security: SOAP メッセージに署名ヘッダおよび暗号化ヘッダを添付する方法を記述します。それに加え、X.509 証明書や Kerberos チケットなどのバイナリセキュリティトークンを含むセキュリティトークンをメッセージに添付する方法を記述します。
WS-Policy: 中間ノードやエンドポイントでのセキュリティポリシー (およびその他のビジネスポリシー) の権限や制約を記述する予定です (例、必要なセキュリティトークン、サポートする暗号化アルゴリズム、プライバシーの規則)。
WS-Trust: Web サービスが安全に相互運用できるようにする信頼モデルのフレームワークを記述する予定です。
WS-Privacy: Web サービスや要求者が、主体のプライバシーの設定や組織的なプライバシー実践ステートメントを提示する方法のモデルを記述する予定です。

後続の仕様

WS-SecureConversation: セキュリティコンテキストの交換、セッション鍵確立と派生などを含めて、団体間のメッセージ交換を管理、認証する方法を記述する予定です。
WS-Federation: アイデンティティの連合のサポートを含めた、異種での連合された環境における信頼関係の管理と仲介の方法について、記述する予定です。
WS-Authorization: 認可データや認可ポリシーを管理する方法を記述する予定です。

WS-Security にセキュリティを提供することは、多くの機能分野での記述、仕様、およびプロファイルの作成に不断の努力が必要になります。ユーザのニーズと Web 開発コミュニティのニーズを比較検討するプロセスや、仕様を決定するプロセスを行っているときの独自の教育プロセスを通じて、これらのドキュメントは変化し、進化していくことになるでしょう。

WS-Security

WS-Security は、メッセージの完全性やメッセージの秘匿性を使って "保護品質（quality of protection）" を提供するための SOAP メッセージ処理の強化を記述します。さらに、この仕様は SOAP メッセージ内にセキュリティトークンを添付および含める方法を定義します。最後に、バイナリエンコードされたセキュリティトークン (例、X.509 証明書) を指定するためのメカニズムを提供します。さまざまなセキュリティモデルや暗号化テクノロジを調整するために、これらのメカニズムを単独または組み合わせて使用できます。

WS-Security は、セキュリティトークンをメッセージに関連付ける汎用のメカニズムを提供します。WS-Security が特定の種類のセキュリティトークンを必要とすることはありません。これは拡張可能 (例、複数のセキュリティトークン形式のサポート) になるようにデザインされています。たとえば、要求者は ID の証明や特定のビジネス証明書を持っていることの証明を提供するかもしれません。

メッセージが変更されずに送信されることを保証するために、XML 署名をセキュリティトークン (鍵データを含むか暗示するかもしれません) とともに使用することによりメッセージの完全性を提供します。完全性メカニズムは、複数のアクタによる複数の署名をサポートするように、さらに他の署名形式のサポートを拡張できるようにデザインされています。署名はセキュリティトークンを参照する (すなわち、示す) ことができます。

同様に、SOAP メッセージのある部分や複数の部分の機密を保持するために、XML 暗号化をセキュリティトークンとともに使用することによりメッセージの秘匿性を提供します。暗号化メカニズムは、複数のアクタによる別の暗号化テクノロジ、プロセス、および操作をサポートするようにデザインされています。暗号化もまたセキュリティトークンを参照することができます。

最後に、WS-Security はバイナリセキュリティトークンを符号化するためのメカニズムを記述します。特に、仕様では X.509 証明書や Kerberos チケットをエンコードする方法だけでなく、構造の不明な暗号化された鍵を含める方法も記述しています。また、メッセージに含まれるセキュリティトークンの特性を詳しく記述するために使用できる拡張性メカニズムを含んでいます。

WS-Policy

WS-Policy は、送信者や受信者が必要条件や権限を指定できる方法を記述する予定です。

WS-Policy は完全な拡張性を持ち、記述される可能性のある必要条件や権限の種類に制限を設けないでしょう。ただし、仕様は、おそらく、プライバシー属性、符号化形式、セキュリティトークンの必要条件、サポートされるアルゴリズムなどを含む、いくつかの基本的なサービスの属性を識別することになるでしょう。

この仕様では汎用の SOAP ポリシー形式を定義するでしょう。このポリシー形式は単なるセキュリティポリシー以上のものをサポートできます。また、この仕様ではサービスポリシーを SOAP メッセージに添付または関連付けるメカニズムも定義するでしょう。

WS-Trust

WS-Trust は、直接信頼関係および仲介された信頼関係 (サードパーティや中間ノードを含む) の両方を確立するためのモデルを記述する予定です。

この仕様では、セキュリティトークン発行サービスの作成を通じて仲介される信頼の基礎として、既存の直接信頼関係がどのように使用されるかを記述するでしょう。これらのセキュリティトークン発行サービスは、必須のセキュリティトークンの完全性と秘匿性を保証する方法でこれらのセキュリティトークンを転送するために、WS-Security を基礎にします。

さらに、この信頼モデルと共にいくつかの既存の信頼メカニズムがどのように使用できるかも記述するでしょう。

最後に、信頼モデルはプリンシパルによる委任や偽装を明示的に許可するでしょう。ただし、これは必須ではありません。委任と偽装には一貫性がありますが、追跡可能性の新たなレベルを提供することに注意してください。

WS-Privacy

Web サービスを作成、管理、使用する組織は、組織のプライバシーポリシーを提示し、送信者がこれらのポリシーに準拠していることの申告を行うことを着信要求に求める必要がある場合がよくあります。

WS-Policy、WS-Security、および WS-Trust を組み合わせて使用することにより、提示したプライバシーポリシーに準拠していることを、組織が表明および示唆できます。この仕様では、プライバシー言語を WS-Policy 記述に埋め込む方法、およびプライバシーの申告をメッセージに関連付けるためにWS-Security を使用する方法についてのモデルを記述する予定です。最後に、この仕様では、ユーザからの設定および組織的な実施申告の両方に対してこれらのプライバシー申告を評価するために、WS-Trust メカニズムを使用する方法を記述するでしょう。

WS-SecureConversation

WS-SecureConversation は、Web サービスが要求者のメッセージを認証する方法、要求者がサービスを認証する方法、および相互に認証されたセキュリティコンテキストを確立する方法を記述する予定です。

この仕様では、セッション鍵、派生鍵、およびメッセージ単位の鍵を確立する方法を記述するでしょう。

最後に、この仕様ではサービスが安全にコンテキスト (セキュリティ属性や関連データについての申告のコレクション) を交換する方法を記述することになるでしょう。仕様ではこれを実現するために、セキュリティトークン発行の概念やWS-Security と WS-Trust で定義された交換メカニズムを記述し、構築することになるでしょう。たとえば、サービスはこれらのメカニズムを使用することにより、弱い対称鍵テクノロジを使用してセキュリティトークンをサポートするだけでなく、非共有 (非対称) 鍵を使用してより強いセキュリティトークンを発行できます。

WS-SecureConversation は、メッセージがさまざまなトランスポートや中間ノードを経由して転送されるように、SOAP メッセージ層で操作するようにデザインされます。これはメッセージングフレームワーク内での使用を除外しません。システムのセキュリティをさらに上げるために、トランスポートレベルセキュリティを、選択したリンクにまたがってWS-Security と WS-SecureConversation の両方とともに使用してもよいでしょう。

WS-Federation

この仕様では、WS-Security、WS-Policy、WS-Trust、および WS-SecureConversation の各仕様を使って、信頼の連合シナリオを構築する方法を定義する予定です。たとえば、Kerberos インフラストラクチャと PKI インフラストラクチャを連合させる方法を記述するでしょう (以下のシナリオで説明します)。

さらに、仲介されている信頼の種類を示唆、制約、識別するために信頼ポリシーを導入します。

また、この仕様では信頼関係を管理するメカニズムも定義するでしょう。

WS-Authorization

この仕様では、Web サービスのアクセスポリシーを指定および管理する方法を定義する予定です。特に、セキュリティトークン内で申告を指定する方法、およびこれらの申告をエンドポイントで解釈する方法を記述するでしょう。

この仕様は、認証形式と認証言語の両方に関して柔軟性と拡張性を持つようにデザインされるでしょう。これは広範なシナリオを可能にし、セキュリティフレームワークの長期間の存続を保証します。

上に戻る

Web サービスセキュリティと現在のセキュリティモデルの関係

この Web サービスセキュリティモデルは、現在一般的に使用されている認証、データ完全性、およびデータ秘匿性に関して、既存のセキュリティモデルと互換性があります。その結果、Web サービスベースのソリューションを、以下のような既存のセキュリティモデルに統合できます。

"トランスポートセキュリティ"—セキュアソケット (SSL/TLS) などの既存のテクノロジは、メッセージに簡単なポイントツーポイントの完全性や秘匿性を提供できます。Web サービスセキュリティモデルは、特に複数のトランスポート、中間ノード、および伝送プロトコルを経由するエンドツーエンドの完全性や秘匿性を提供するために、既存のセキュアなトランスポートメカニズムをWS-Security (およびその他の仕様) と組み合わせて使用することをサポートします。
"PKI"—PKI モデルは、公開非対称鍵と鍵の所有権以外のプロパティをアサートする機関 (たとえば、属性の機関) を持つ認証機関に高いレベルで関係しています。このような証明書の所有者は、ID などのさまざまな申告を表すために、関連付けられた鍵を使用する可能性があります。Web サービスセキュリティモデルは、公開非対称鍵を使ってセキュリティトークンを発行するセキュリティトークンサービスをサポートします。ここでは PKI を広い意味で使用しており、特定の階層やモデルを想定していません。
"Kerberos"—Kerberos モデルは、両者に暗号化された対称鍵を発行し、その対称鍵を他方に "導入する" ことによって両者間で信頼を仲介するために、鍵配布センター ( KDC ) との通信に依存します。Web サービスモデルは、暗号化された対称鍵と暗号化された信用書を持つセキュリティトークンを発行することにより、信頼を仲介するセキュリティトークンを備えた中核となるモデルを基礎にします。

このモデルは互換性を持ちながら、相互運用性を保証するために、署名や暗号のアダプタや共通のアルゴリズムが一致するか、開発される必要があることに注意してください。

連合、認証 (委任を含む)、プライバシー、および信頼に関する既存のモデルは、共通性が少なく、よりアドホックなものです。これらのセキュリティプロパティに取り組む仕様は、この方策の後半の段階で示されます。

多くの場合、既存の信頼モデルはビジネス契約に基づいています。この一例が UDDI Web サービスです。UDDI では、API のセットをサポートするための合意を通じてユニバーサルビジネスレジストリ (Universal Business Registry) を提供する参加者がいくつか存在します。UDDI の "信頼モデル" は、特定の認証メカニズムの必要条件を使って "信頼" の単一モデルを定義するのではなく、情報の管理人であるノードに認証の役割を与えます。つまり、UDDI Web サービスの各実装は独自の認証メカニズムを持ち、独自のアクセス制御ポリシーを設定します。"信頼" は、オペレータ間および要求者と情報の管理人であるオペレータ間のものです。

上に戻る

シナリオ

以下に、提案する Web サービスセキュリティ仕様がどのように使用されるかを例示する多くのシナリオを示します。これらのシナリオは、セキュリティ方策全体の能力を示すために、意図的に技術的な詳細に注目しています。詳細なビジネス使用例を提供する関連ドキュメントも存在するでしょう。

ここで使用している会社、組織、製品、ドメイン名、電子メールアドレス、ロゴ、人物、場所、イベントなどの名称は架空のものです。実在する会社、組織、製品、ドメイン名、電子メールアドレス、ロゴ、人物、場所、イベントなどとは一切関係ありません。

以下のリストは、提案する初期仕様や関連提供物がサポートできるいくつかのシナリオを簡単に紹介しています。

ユーザー名/パスワードを使った直接信頼とトランスポートレベルセキュリティ-- このシナリオは、トランスポートセキュリティでユーザ名とパスワードを使った認証を説明します。
セキュリティトークンを使った直接信頼-- このシナリオは、X.509 証明書と Kerberos サービスチケット (ST) を使った直接信頼を説明します。
セキュリティトークンの取得-- このシナリオは、メッセージとは独立して格納されるセキュリティトークンを使用する認証を説明します。
ファイアウォール処理-- このシナリオは、ファイアウォールが高度な制御にこのセキュリティモデルを利用する方法を説明します。
発行済みセキュリティトークン-- このシナリオは基本的な認証を説明します。
ビジネスポリシーの執行-- このシナリオは、ビジネスプロセスを体系化するためにセキュリティトークンの発行を使用する方法を説明します。
プライバシー-- このシナリオは、クライアントやサービスがプライバシーポリシーを通信する方法を説明します。
Web クライアント-- このシナリオは、クライアントとしての Web ブラウザの使用を説明します。
モバイルクライアント-- このシナリオは、モバイルクライアントが安全に Web サービスと相互作用する方法を説明します。

シナリオの 2 番目のセットは、より洗練されたものです。これらのシナリオは現在の提供物でも構築できますが、シームレスに相互運用するには後続の仕様 (WS-SecureConversation など) が必要になります。

連合の有効化-- このセクションでは、連合される信頼に関係するいくつかの異なるシナリオを説明します。
検証サービス-- メッセージのセキュリティ (例、署名) を検証するサービスの使用法を説明します。
委任のサポート-- これは委任に対するセキュリティトークンの使用法を説明します。
アクセス制御-- これは、Web サービスが従来のアクセス制御リストベースのセキュリティをサポートする方法を説明します。
監査-- これはセキュリティ関連の動作やイベントを監視するための監査の使用を説明します。

以下の説明で、要求者という用語は Web サービスのさまざまな可能性のあるユーザを説明するために使用しており、要求者の特性を制限する意図はないことに注意してください。要求者は、B2B 環境内でサービスと相互作用するビジネスエンティティや、ブラウザやモバイルデバイスからサービスにアクセスする個人を含む可能性があります。

ユーザ名/パスワードを使った直接信頼とトランスポートレベルセキュリティ

ここでは、Web サービスセキュリティを既存のトランスポートセキュリティメカニズムと共に使用する方法の非常に基本的な例を示します。

要求者はセキュアなトランスポート (例、SSL/TLS) を使用して Web サービスへの接続を開きます。要求者は要求を送信し、ユーザ名とパスワードを保持するセキュリティトークンを含めます。サービスがその情報を認証し、要求を処理し、結果を返します。

このシナリオでは、メッセージの秘匿性と完全性は既存のトランスポートセキュリティメカニズムを使用して処理されます。

このシナリオは、2者が機密情報、つまり要求者のパスワードを共有するために、あるメカニズムを既に使用していることを想定しています。これらの両者間の組織上の関係については何も想定していません。

セキュリティトークンを使った直接信頼

このシナリオでは、Web サービスが直接信頼するセキュリティトークンの使用を説明します。ここで直接信頼とは、要求者のセキュリティトークン (または署名機関) が既知で、Web サービスにより信頼されていることを意味します。このシナリオは、その２者がセキュリティトークンを使用するための信頼関係を確立するあるメカニズムを使用していることを想定しています。この信頼は、アプリケーションを構成することによって、または交換鍵に対してセキュアなトランスポートを使用することによって手作業で確立できます。鍵のセキュアなトランスポートにより、信頼される機関が、受信者に対して鍵またはセキュリティトークンの検証をアサートする方法として、SSL (またはその他のメカニズムやプロセス) などのトランスポートを使用することを意味します。これらの両者間の組織上の関係については何も想定していません。

要求者はサービスにメッセージを送信し、署名付きのセキュリティトークンを含め、たとえば、署名を使用してセキュリティトークンの所有の証明を提供します。サービスがこの証明を検証し、セキュリティトークンを評価します。セキュリティトークンの署名が有効であれば、サービスにより直接信頼されます。サービスが要求を処理し、結果を返します。

直接信頼は、プライバシーのポリシーが参加者によって十分理解されることを想定します。

セキュリティトークンの取得

場合によっては、使用されるセキュリティトークンがメッセージの一部として渡されないことがあります。代わりに、トークンの所在を示し、取得するために使用できるセキュリティトークン参照が提供されます。

要求者はサービスに要求を発行し、セキュリティトークンへの参照を含め、所有の証明（proof-of-possession）を提供します。Web サービスは提供された情報を使用して、トークンストアサービスからセキュリティトークンを取得し、証明を検証します。Web サービスがそのセキュリティトークンを信頼する (信頼はメッセージセマンティクスの外部で確立されることに注意してください) と、要求が処理され、応答が返されます。

ファイアウォール処理

ファイアウォールは、依然として Web サービスセキュリティアーキテクチャでも重要なコンポーネントです。ファイアウォールは引き続き境界処理のための規則を設定できる必要があります。

以下に示すように、ファイアウォールは着信する SOAP メッセージを調べ、"認可された" 要求者からのメッセージだけがファイアウォールを通過することを許可します。

このシナリオでは、ファイアウォールの内側の Web サービスにメッセージを送信する 2 つの要求者がいます。ファイアウォールはメッセージを調べて、要求者がファイアウォールの内側の指定した Web サービスにメッセージを送信することを "認可されている" かどうかを判断します。

このシナリオでは、ファイアウォールはメッセージの署名に使用したセキュリティトークンを調べることによってこの判断を行います。もし、署名が有効で、ファイアウォール内にメッセージを送り込むことを認可するためにセキュリティトークンの署名機関が信頼され、トークンがファイアウォール内にメッセージを送り込むことを認可することを示しているならば、メッセージが許可されます。それ以外の場合は拒否されます。場合によっては、署名がファイアウォールを SOAP アクタとして特別に参照することもあります。

その他のシナリオでは、ファイアウォールがセキュリティトークン発行機関として動作し、そのファイアウォールが発行したセキュリティトークンの所有の証明を含むメッセージだけを許可します。

発行済みセキュリティトークン

ここでの例は、Web サービスセキュリティが信頼された機関による簡単な認証をサポートする方法を示します。

最初の 2 つのステップで、要求者は認証機関と通信し、セキュリティトークン、特に要求者の ID を証明するアサーションの署名付きステートメントを取得します。

Web サービスが適切な種類のセキュリティトークンが必要であること (この場合は ID の証明) を要求するポリシーを持っているので、要求者はセキュリティトークンを取得します。

次に要求者はメッセージに添付されるセキュリティトークンと所有の証明 (認証子または署名付きチャレンジ) と共にメッセージを Web サービスに送信し、応答を受信します。

上記の説明では、ID 証明サービスの動作について詳しく説明されていないことに注意してください。要求者は ID セキュリティトークンを取得するために、既存のセキュリティプロトコルまたは Web サービスセキュリティ仕様を利用できます。

要求者が Web サービスセキュリティ仕様を使用していると仮定すると、システムは次のように動作するでしょう。ID サービスがポリシーに必要条件を記述します。その後、要求者はその ID の証明と共にセキュリティトークンを要求できます。

ID サービスは単なるセキュリティトークンサービスであることに注意してください。その上、Web サービスの対称性により、任意の Web サービスがセキュリティトークンサービスをカプセル化することもできます。

最後に、Web サービスが要求者の代わりに (セキュリティトークンサービスから) セキュリティトークンを取得でき、その後のメッセージで使用するためにそのセキュリティトークンを要求者に返すことができることに注意してください。

ビジネスポリシーの設定

多くのビジネスプロセスでは、設定する必要のある特定のポリシーが存在します。たとえば、顧客が特定の監査企業での一定の評価または身分を持つことをサービスが要求する場合があります。Web サービスではプロセス全体を単純化して、これら多くのポリシーを自動的に体系化および検証できます。

次の例を考えてみましょう。

Nicholas' Dealership は、部品供給業者との対話に使用する Web サービスを持っています。ただし、Nicholas' Dealership は製造業者が保証する部品を持つ供給業者だけと付き合いたいと思っています。

部品会社である Joshua's Parts は製造業者に出向き、(たとえば、上記で説明したセキュリティトークンサービスからの) ID セキュリティトークンを提示 (および証明) し、Joshua's Parts が証明済みの部品ディーラーであることを示す製造業者からのセキュリティトークンを要求します (Joshua's Parts が証明され、健全な状態であると仮定しています)。その後、Joshua's Parts は Nicholas' Dealership にコンタクトし、両方のセキュリティトークンを提示 (および証明) します。

Nicholas' Dealership がビジネスポリシーをサービスポリシーに体系化している場合は、ポリシー準拠の負荷を部品会社 (すなわち、Joshua's Parts) に負わせることができます。

また、サービスポリシーは、プライバシーポリシーに準拠していることを保証するために、製造業者がどのような情報を格納できるかについての制約を指定できます。

プライバシー

プライバシーは関連事項の広範なセットを含み、この方策から明らかになる各仕様で考慮される必要があるでしょう。

基本的なプライバシーの問題は、サービスポリシー内でプライバシーの声明を提供することで解決されるでしょう。委任や認証に関連する、より洗練されたシナリオは、これらのシナリオ固有の仕様でカバーする予定です。

一例として、個人は "プライバシー設定" のセットを表明します。プライバシー設定は、アプリケーションが個人の情報を使って行い、個人のために作用することのうち、何を許可し、何を許可しないかを記述します。個人のために作用するカレンダー設定アプリケーションは、個人的な情報を使用および開示することについての声明と決定を行うために、"プライバシー設定規則" のセットを使用するカレンダー設定サービスにアクセスできるようになります。カレンダーサービスは、提案する使用または開示が許可可能かどうかを判断するために、プライバシー設定規則とプライバシー設定を組み合わせることにより、その判断を行います。

Web クライアント

中間層の Web アプリケーションと通信する Web クライアントを持ち、次にその中間層 Web アプリケーションが別のドメインの Web サービスと (安全に) 対話する例を考えてみましょう。中間層の Web アプリケーションは Web サービス対応で、Web クライアントのセキュリティトークンの取得を必要とするとします。

さらにこのシナリオでは、セキュリティトークンにより、中間層アプリケーションがサービスと対話するときに、クライアントの代理として振舞うことができると仮定します。

このシナリオを可能にするために、Web クライアントのブラウザが中間層アプリケーションにアクセスし、関連付けられた ID サービスにリダイレクトされます。要求が (たとえば、HTML フォームと https を使って) 認証された後、その要求が中間層アプリケーションにリダイレクトして戻されます。ID サービスが、(ID や委任をアサートする) セキュリティトークンを、(たとえば、HTTPS 経由で送信されるクエリ文字列を使って) 元の中間層アプリケーション Web サーバに提供します。その結果、Web サーバがこれらのセキュリティトークンを使用できるようになり、Web サーバ独自の ID から Web サービスに要求を発行できるようになります。Web サービスがその要求を処理し、結果を Web サーバに返します。Web サーバが結果の体裁を整え、ブラウザに返します。

モバイルクライアント

このドキュメントでここまで説明してきた仕様は、モバイルセキュリティ固有のデザイン課題の取り組みに大きな柔軟性を提供します。Web サービスアプローチの柔軟性により、コンピュータ処理能力やストレージ能力が制限されているデバイスで、堅牢かつパフォーマンスの高い暗号的な保護を提供する複数の暗号テクノロジをサポートできます。同様に、この柔軟性はモバイルクライアントのために作用するために、ネットワークオペレータがネットワークゲートウェイなどのセキュリティプロキシを提供することを可能にします。

以下はこれらの考え方を組み合わせる例です。ネットワークオペレータが (Web サービスセキュリティ仕様を使って) モバイルクライアントをサポートするとき、要求をネットワークオペレータのゲートウェイを経由して送信するようにクライアントを構成できます。このシナリオでは、ゲートウェイはメッセージの流れ全体に積極的に参加する SOAP の中間ノードです。特に、ネットワークオペレータがモバイルデバイス用にデザインされた付加価値のある暗号化アルゴリズムを提供しています。ゲートウェイはセキュリティトークンとメッセージの保護レベルを補強または変更できます。この Web サービスセキュリティモデルに本来備わっている柔軟性は、デバイスが外部ネットワークでローミングされるときでさえ、このソリューションを可能にします。

このことを以下の例で示します。

連合の有効化

Web サービスセキュリティモデルは連合をサポートするようにデザインされています。以下は、アイデンティティの連合の簡単な例です。

Adventure456 に所属する Alice は、Business456 にある通貨 Web サービスを使用したいと考えています。この通貨サービスは Business456 が発行したセキュリティトークンを持つ要求だけを処理します。Alice は Adventure456 が発行した ID 申告を持つセキュリティトークン (つまり、ID セキュリティトークン) だけを所持しています。

このシナリオでは、Business456 が Adventure456 とのセキュリティの連合を自発的に受け入れるつもりがある場合のみ、Alice は通貨サービスにアクセスできるでしょう。

以下のセクションでは、セキュリティの連合に対するいくつかのアプローチを説明します。

セキュリティトークンの交換を使った連合

このシナリオでは、通貨サービスのポリシーは Business456 が発行したセキュリティトークンだけを受け入れることを表明しています。ポリシーが必要なセキュリティトークンを入手する場所を示しているので、Alice は Adventure456 セキュリティトークンを Business456 セキュリティトークンサービスに提示 (および証明) し、Business456 セキュリティトークンを受け取ります。その後、要求内で受け取ったセキュリティトークンを通貨サービスに提示 (および証明) します。これを以下の図に示します。

このアプローチでは、Business456 セキュリティトークンサービスは、Adventure456 が発行した ID 申告を持つセキュリティトークンを受け入れるように構成されます。

この例は、ビジネスポリシーの設定シナリオの例と非常によく似ていることに注意してください。このことは、Web サービスセキュリティモデルの柔軟性を例示しています。

信頼チェインを使った連合

このアプローチでは、通貨サービスは任意のセキュリティトークンを持つ要求を受け入れますが、指定したセキュリティトークン (および証明) に基づく Business456 セキュリティトークンを取得できない場合は、その要求は処理されません。

これを行うために、通貨サービスは元の要求を Business456 セキュリティトークンサービスに転送し、Business456 セキュリティトークンサービスが初期セキュリティトークンを評価します。このセキュリティトークンが有効な場合は、その要求は保証され、Alice がその後の要求で使用するために Business456 セキュリティトークンを含めることができます。これを以下の図に示します。

セキュリティトークン交換を使った連合 (PKI → Kerberos)

このアプローチでは、Adventure456 は Alice に公開鍵セキュリティトークンを発行し、通貨サービスのポリシーは KDC からの Kerberos セキュリティトークンだけを受け入れることを示します。

通貨サービスポリシーの指示で、Alice は自分の公開鍵セキュリティトークンを、Business456 のセキュリティトークンサービスに提示 (および証明) します。セキュリティトークンサービスが Business456 の KDC をカプセル化します。その結果、Alice の公開鍵セキュリティトークンを評価できるので、通貨サービスに対して Kerberos セキュリティトークンを発行します。これを以下の図に示します。

このアプローチでは、Business456 セキュリティトークンサービスが、Adventure456 が発行した ID 申告を持つ公開鍵セキュリティトークンを受け入れるように構成されます。

セキュリティトークンを使った連合 (Kerberos → Security トークンサービス)

このアプローチでは、Adventure456 が Alice に Kerberos セキュリティトークンを発行するので、通貨サービスのポリシーは独自のセキュリティトークンサービスが発行したセキュリティトークンだけを受け入れることを示します。

ここでは、Adventure456 および Business456 の管理者がセキュリティの連合をさせるために、公開鍵証明書を交換することを想定します。さらに、Alice が対称鍵テクノロジだけをサポートすることを想定します。

Alice は通貨 Web サービスポリシーに基づいて、Business456 のセキュリティトークンサービスにアクセスするために使用できるセキュリティトークンを獲得する必要があります。Alice は対称鍵セキュリティトークンを使用しているので、まず、Business456 セキュリティトークンサービスで使用することを目的とするセキュリティトークンを獲得するために、自分のセキュリティトークンサービスにコンタクトします。このセキュリティトークンは、Business456 セキュリティトークンサービスの公開鍵でエンコードされる対称鍵 Sab を保持することになるでしょう。

Alice は、Business456 セキュリティトークンサービスで使用することを目的とするセキュリティトークンを使って、通貨サービスのセキュリティトークンを要求します。Business456 セキュリティトークンサービスは Alice に、対称鍵 Sac と共に通貨サービスのセキュリティトークンを提供します。

Alice は、通貨サービスで使用することを目的とするセキュリティトークンと関連付けられた対称鍵を使って、通貨サービスに要求を行います。

クレデンシャル交換を使った連合 (Kerberos → Kerberos)

このアプローチでは、Adventure456 が Alice に Kerberos セキュリティトークンと通貨サービスのポリシーを発行します。通貨サービスのポリシーは、KDC をカプセル化するそれ自身のセキュリティトークンサービスが発行した Kerberos セキュリティトークンだけを受け入れることを示します。

ここでは、Adventure456 と Business456 の管理者は領域（realm）をまたがって信頼が遷移することは希望しませんが、セキュリティの連合をさせるために公開鍵証明書を交換するのを希望することを想定します。さらに、Alice と通貨サービスの両方が対称鍵テクノロジだけをサポートすることを想定します。

以前の例と同様に、セキュリティトークンサービスは信頼ドメイン内のサービスに対称鍵セキュリティトークンを提供する能力を持ちます。結果的に、上記で説明したアプローチがこのシナリオで機能します。

検証サービス

この Web サービスセキュリティモデルは、メッセージの処理とセキュリティトークンの検証を要求者が "アウトソース" するシナリオもサポートします。このようなサービスは使い方を間違えるとスケーラビリティの問題が生じる可能性があることに注意する必要があります。つまり、実装によっては、検証サービスを実行するサービスの負荷が高くなったり、低くなったりします。Web サービスセキュリティモデルはいずれかのアプローチをサポートし、その結果このシナリオを可能にします。

このシナリオでは、検証サービスをセキュリティトークンサービスから切り離します。検証サービスとセキュリティトークンサービスを組み合わせたり、両者が直接信頼関係を持つ (そのため WS-Federation を必要としない) ような他のシナリオもあります。

このシナリオでは、要求者はセキュリティトークンサービスからセキュリティトークンを取得します。その後、Web サービスにメッセージを送信し、所有の証明 (すなわち、署名) を含めます。Web サービスは検証サービスに、署名ブロック、セキュリティトークン、および署名されたダイジェストの評価を送信します。その後、Web サービスが信頼する検証サービスが有効か無効かの決定を発行します。

検証サービスが、適切な申告をアサートする要求者に代わってセキュリティトークンを発行することにより、その決定を示すことに注意する必要があります。

委任のサポート

Web サービスセキュリティは委任をサポートします。以下は、このアプローチの柔軟性を示すためにデザインされた洗練された委任のシナリオです。Alice は calendar456 を使用してスケジュールを管理します。Alice は Bob が Alice との会議を火曜日に設定することを許可したいと思っています。ただし、Bob はこのスケジュール設定を直接行いません。その代わりに、Bob はサービス schedule456 を利用して、Alice の予定表に会議を設定する必要があります。

Alice は Bob が会議の予定を設定する方法を知りませんが、Alice の予定表を参照できるサービスのセットを制限したいと思っています。

Alice は、Bob が Alice の予定表に会議のスケジュールを設定できるようにするセキュリティトークンを Bob に提供します。このセキュリティトークンは、Bob の能力を火曜日に会議のスケジュールを設定することに制限する申告を保持します。さらに、このセキュリティトークンは、主体がサードパーティのサービス TrustUs456 からのプライバシー証明書を持っていることを証明できる限り、Bob がその後のセキュリティトークンを発行することを可能にします。

サービス Schedule456 は TrustUs456 によって監査されるので、これらはプライバシー証明書をアサートするセキュリティトークンを持つことになります。

スケジュールサービスが Calendar456 の Alice の予定表にアクセスするとき、Alice から Bob を経由してスケジュールサービスに渡されるセキュリティトークンに基づいて会議にアクセスし、スケジュールを設定するために、プライバシーの証明書と申告に関する所有の証明を証明できます。

アクセス制御

Alice と Bob が共同で作業を行っている間は、互いに頻繁に会議の予定を設定することがわかるので、あるレベルの信頼を開発することになります。その結果、Alice は Bob が毎回委任を行わないで会議の予定を設定できるようにしたいと考えます。Alice は委任セキュリティトークンの有効期限を延長できますが、Alice が会議予定を設定する Bob の能力を無効にしたいと考える場合、セキュリティトークンを再発行する必要があり、これが問題になることがあるでしょう。

Alice は (自分を認証して) カレンダーサービスと通信し、認可リストを取得します。Alice はこの認可リストを更新し、Bob が Alice の空き時間情報データを参照し、会議の予定を設定し、それをサービスに送信することを許可します。この結果、Bob がこれらの操作のために Alice のカレンダーサービスにアクセスするときに、Alice からの委任セキュリティトークンが必要ではなくなります。

監査

上記の委任のシナリオでは、悪意を持つ人が委任セキュリティトークンを使わずに会議の予定を設定したり、有効期限の切れたセキュリティトークンを使って会議の予定を設定することが可能になります。このような場合、悪意を持つ人は必要な申告を証明できないので、要求は失敗するでしょう。

この種の利用状況を監視するために、サービスは監査機能を提供できます。つまり、認証などのセキュリティ関連のイベント、証明されていない申告、または不適切な署名が発生すると、ログに記録されます。管理者はこのログに安全にアクセスし、セキュリティ関連のイベントの調査や、ログの管理を行えます。

たとえば、悪意を持つ人が Bob になりすまそうとしています。セキュリティ管理者である Carol は、監視/管理ツールを使って、監査ログを調査し、Alice の予定表に多くのセキュリティの障害があることを申告します。Carol はそのデータの調査で、Bob の署名がメッセージと一致しないか、メッセージが古い (再送されている) ので Bob の要求がときどき失敗していることを申告します。その結果、Carol は悪意のある人を突き止めるために使用する監査レコードを収集します。

上に戻る

まとめ

Web サービスがより広範に適用されるようになるにつれ、アプリケーショントポロジがファイアウォール、負荷分散、メッセージングハブなどの中間ノードをサポートするために進化し続けるにつれ、さらに組織が直面する脅威に対する認識がより適切に理解されるようになるにつれ、Web サービスの新たなセキュリティ仕様の必要性がますます明白になります。このドキュメントでは、統合 Web サービスセキュリティモデルと、そのモデルを実現するための仕様のセットを提案しています。これらの新しい仕様は、既存のセキュリティテクノロジや資産を (置き換えるのではなく) 拡張および応用することにより、ユーザや組織がセキュアで、相互運用可能な Web サービスをより迅速に開発することを可能にするでしょう。

IBM と Microsoft は、これが包括的 Web サービスセキュリティの方策を定義する最初の手順になると確信しています。このドキュメントはこれまでに認識された課題やソリューションを反映しています。IBM と Microsoft は、セキュアな Web サービスにするためにユーザ、パートナー、および標準化組織との共同作業を続けていくと同時に、この方策を完全なものにするために必要な新たな考え方や仕様が出てくることを期待しています。

上に戻る

寄稿者

このドキュメントは IBM と Microsoft の共同で執筆されました。

主な寄稿者は次のとおりです (アルファベット順)Giovanni Della-Libera (Microsoft)、Brendan Dixon (Microsoft)、Joel Farrell (IBM)、Praerit Garg (Microsoft)、Maryann Hondo (IBM)、Chris Kaler (Microsoft)、Butler Lampson (Microsoft)、Kelvin Lawrence (IBM)、Andrew Layman (Microsoft)、Paul Leach (Microsoft)、John Manferdelli (Microsoft)、Hiroshi Maruyama (IBM)、Anthony Nadalin (IBM)、Nataraj Nagaratnam (IBM)、Rick Rashid (Microsoft)、John Shewchuk (Microsoft)、Dan Simon (Microsoft)、Ajamu Wesley (IBM)

参考文献

[Kerberos]: J. Kohl and C. Neuman, "The Kerberos Network Authentication Service (V5),"RFC 1510, September 1993,http://www.ietf.org/rfc/rfc1510.txt.
[SOAP]: W3C Note, "SOAP: Simple Object Access Protocol 1.1," 08 May 2000.
[URI]: T. Berners-Lee, R. Fielding, L. Masinter, "Uniform Resource Identifiers (URI): Generic Syntax,"RFC 2396, MIT/LCS, U.C. Irvine, Xerox Corporation, August 1998.
[XML-C14N]: W3C Recommendation, "Canonical XML Version 1.0," 15 March 2001.
[XML-Encrypt]: W3C Working Draft, "XML Encryption Syntax and Processing," 04 March 2002.
[XML-ns]: W3C Recommendation, "Namespaces in XML," 14 January 1999.
[XML-Schema1]: W3C Recommendation, "XML Schema Part 1: Structures," 2 May 2001.
[XML-Schema2]: W3C Recommendation, "XML Schema Part 2: Datatypes," 2 May 2001.
[XML Signature]: W3C Proposed Recommendation, "XML Signature Syntax and Processing," 20 August 2001.
[WS-Routing]: H. Nielsen, S. Thatte, "Web Services Routing Protocol ," Microsoft Corporation, October 2001.
[X509]: S. Santesson, et al, "Internet X.509 Public Key Infrastructure Qualified Certificates Profile,"http://www.itu.int/rec/recommendation.asp?type=items&lang=e&parent=T-REC-X.509-200003-I.