OASIS、ウェブアプリのセキュリティ標準化へ

 XML関連の標準化団体OASIS(Organization for the Advancement of Structured Information Standards)は米国時間5月28日、ウェブアプリケーションのセキュリティ問題に関するデータ形式などを検討する技術委員会、Web Application Security Technical Committee(WAS TC)の設置を発表した。

 WAS TCは、米NetContinuum、米Qualys、米Sanctum、米SPI Dynamicsなどのセキュリティ関連企業が参加し、潜在的なネットワークセキュリティの問題について情報を共有するための標準化を行なう。具体的には、脆弱性が発見された場合、そのリスクを分類・ランク付けするための情報をXML文書で伝達する。WAS TCではそのデータ形式を検討する。

 WAS TCの委員長、Mark Curpheyは、「現在、セキュリティ報告書はばらばらの形式で発行されているため、異なる組織間で情報伝達がスムーズに行われていない」と語る。企業をはじめ、政府機関・法執行機関は、クラッキングや侵入行為の被害に遭いやすい、脆弱性のあるネットワークにパッチをあてるため、セキュリティ情報への素早いアクセスを望んでいる。

 「技術委員会の標準化作業により、脆弱性の情報を一定の方式で公開・受信することができるようになる。その結果、企業や政府機関において、使用する技術・ツールにかかわらず、リスクが広く受け入れられることになる」(Curphey)

 米ZapThinkのアナリスト、Ron Schmelzerは、「特にWebサービスなどが定着するにつれて、セキュリティリスクの適切なデータ共有方法を定めることが重要になっている」と語る。「Webサービスではアプリケーション間のデータ共有が簡単に行えるため、多くのセキュリティ問題が生じる可能性が高いからだ」(Schmelzer)

 このため、同氏はWebサービスのアプリケーションについて、「利用者はセキュリティ上の脆弱性について絶えず目を光らせ、利用者同士で連携をとりながら安全なシステム同士がつながったネットワークを提供する必要がある」と語っている。

 予定されているWAS仕様は、潜在的な脆弱性を記述するための言語、AVDL(Application Vulnerability Description Language)など、他のOASIS標準とも連携するという。「WASとAVDLを組み合わせることで、企業はネットワークのセキュリティ問題を追跡できると同時に、脆弱性の重要度を理解するための共通形式を持つことになる」(OASIS)

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]