WS-I、Webサービスセキュリティへの取り組み

　Webサービスソフトウェアの互換性保証に取り組んでいる団体が、これまで最大の課題となっていたセキュリティ問題に立ち向かおうとしている。

　Web Services Interoperability organization（WS-I)は昨年、米IBMや米Microsoftなどの要請で結成された団体で、さまざまな企業のWebサービス製品に互換性を持たせるよう取り組んでいる。同団体の会員数は現在約160で、そのうち約20社は情報技術会社ではない。

　企業各社は、異なるシステム間の橋渡しの方法としてWebサービスアプリケーションに進出しているが、一部互換性の無さが表面化している。WS-Iの目標は、さまざまなIT企業が提供するツールに互換性を持たせ、顧客をWebサービスの不具合から解放する手助けをすることだ、と同団体は表明している。WS-Iはこれまでに、基本Webサービスプロトコルの仕様草案を発表しており、この草案は第2四半期に最終承認される予定だ。

　しかしWS-Iは今のところ、技術的なリーダーとしてよりもさまざまな政治的争いで名が知られているようだ。WS-Iへの注目が一番高かったのは、米Sun MicrosystemsとWS-I創立メンバーとの間の派手な論争だった。Sunは当初、IBMやMicrosoft、米BEA Systemsなどの創立メンバーにWS-Iへの参加を拒否されたが、その後同団体に加盟している。

　WS-Iは今、もっと意味のある形で注目されようと努力している。

　同団体は3月に、Webサービスセキュリティという難問に正式に取り組みはじめる。セキュリティは未だにWebサービス技術を採用する上で大きな障害だとアナリストらは指摘している。WS-Iは技術ワーキンググループをいくつか作り、複数のWebサービスセキュリティ方策の中から、さまざまな事業シナリオに合わせて最適なものを選ぶ方法をアドバイスしていく。

　「業界はわれわれがやっていることに多大な関心を寄せている。標準化だけでは、互換性は保証されない」とWS-I会長でIBMのWebサービス標準プログラムマネジャーTom Gloverは述べている。

　WS-Iの目標は立派だが、同団体は影響力のあるWebサービス標準制定機関としての地位を確立しようとする中で、技術的にも政治的にも問題に直面している。米United Airlinesや米Merrill Lynch、米DaimlerChryslerなどの企業は、WS-Iが表明している「メーカー中立」の立場から昨年同団体に加盟した。Webサービスは利用したいものの、標準化されているはずの製品に互換性がなく、デバッグしなくてはならない状況では困る。WS-Iが目標達成に失敗すると、Webサービス標準化が立ち往生し、ITベンダーやその顧客が混乱に陥る恐れがある、とアナリストらは警告している。

　「標準化のどの段階においても、皆が仕様に忠実に準拠しなければ、互換性はほとんどなくなってしまう」と米RedMonkのアナリスト、Stephen O'Gradyは言う。

　たとえば、ある企業が提携企業とのデータ交換にWebサービスを利用する場合、ソフトウェアに互換性がないことでやり取りが不能にならないよう保証しなければならない、とO'Gradyは述べている。

無縁とは行かない政治的争い

　これまでWS-Iの技術的業績は主に、ガイドラインとなるBasic Profileとサンプルアプリケーション、そして製品互換性テストツールに的を絞っていた。Basic Profileは昨秋に草案となり、今年第2四半期に最終決定される予定だ。この初草案では、XML文書定義やSOAP（Simple Object Access Protocol）、WSDL（Web services Description Language）、UDDI（Universal Description, Discovery and Integration of Web services）などのWebサービス標準について解説されている。

　WS-Iは、セキュリティという最重要課題に取り組むにあたり、手一杯の仕事を抱えている。膨大な数の利用シナリオに対し、大量で重複しているセキュリティ基準の提案から最適なものを選んでいくのは、複雑で困難な作業だ。

　たとえば、金融機関同士がインターネット経由で顧客アカウントの機密情報をやり取りするWebサービスでは厳重なセキュリティが要求される。しかし顧客情報に内部からアクセスするWebサービスならば、そこまでのセキュリティは必要ないだろう。WS-Iは、さまざまな状況下でWebサービスのセキュリティを効果的に活用する方法を企業に手引きし、セキュリティ仕様の曖昧な部分を明確にしようと考えている。

　WS-Iは、Webサービス製品の基準レベルの仕様は設計しないため、通常の標準制定組織ではない。しかし過去の経緯から分かるように、複数の企業が関連する計画のほとんどに見られる政治的争いとは、明らかに無縁ではない。WS-Iメンバーらは既に、Webサービスの将来の方向性に対する影響力を高めようと、WS-I役員会参加のための選挙活動を始めている。

　新興のWebサービス企業、Cape Clear Softwareは先週、透明性とアカウンタビリティ（説明責任）を高めるため、3月に実施されるWS-I役員選挙に立候補すると発表した。WS-I会員企業160社の大半は中小Webサービス企業だが、役員会の中で最も小さな企業でも年間売上が10億ドル近い、とCape Clearは指摘している。

　Cape Clearは、WS-Iの大企業が、自社で確立した事業や製品に都合良くなるようにWebサービス標準化の方向性を操る傾向があると懸念している。

　「小規模企業は標準化計画にほとんど入っておらず、他企業に対して標準化に従うよう説得する力もない。われわれは（WS-Iが）カルテルとなって、技術が一部の大企業だけに都合良くなってしまうのを阻止したいのだ」とCape Clear最高経営責任者（CEO）Annrai O'Tooleは話している。

　中規模の統合ソフトメーカー、WebMethodsも、役員選挙に立候補する予定だ。

大企業の言いなりではない

　WS-IのGloverは、WS-Iは大企業メンバーの命令を単に言われるがままに承認しているわけではない、と反論する。Gloverは、複数の大手メーカーが自社製WebサービスソフトウェアをWS-IのBasic Profileに遵守させるため、作業をやり直して発売を延期しなければならなかったことを指摘した。

　たとえばSunは、同社のJ2EEの重要アップデート版であるバージョン1.4を、WS-IのBasic Profileに準拠させるため改訂しなければならなかった。SunはWebサービス対応のJava仕様を、3ヵ月遅れの今年第2四半期にリリースする予定だ。

　このような不便さと売上減の恐れがあるにも関わらず、WS-Iの最初の「成果物」には業界で期待通りの支持が得られた。しかしWS-Iは今後仕様推奨のペースを上げていく中で、この仕様を遵守させるという悩ましい課題に直面している。ボランティア組織のメンバーである参加企業は、法的にはWS-Iの指導に従う義務はないのだ。

　「率直なところ、役員らが取り組んでいるのはこの問題だ」とWS-IのGloverは認めている。「目下われわれは、コミュニティーが自己管理してくれることを期待している」

　WS-Iは今、ロゴプログラムのアイディアで盛り上がっている。モデルとなるのは自己証明プログラムだ。IT企業がWS-Iの実装ガイドラインに準拠し適切なテストを実行したあと、自らがそれにパスしたことを証明し、製品にWS-Iロゴを添えて公に主張できるようにするというものだ。

　またWS-Iは、セキュリティを越えた未来を構想し、信頼性とビジネスワークフローに関するWebサービス標準検討のための委員会創設を議論している。業界観測筋は、WS-Iが実際の実装問題に対処し、Webサービス標準を必要以上に複雑にしないよう確認していくことが重要だとしている。

　WS-Iがより複雑な技術仕様に取り組んでいくのに伴い、知的所有権という困難な問題にも立ち向かう必要が出てくる。たとえばMicrosoftは、「コレオグラフィー」と呼ばれるビジネスワークフローの自動連携方法として同社が提出した標準案が利用料無料なのかどうかまだ明言していない。

　WS-Iが他の標準制定団体と一線を画すためには、知的所有権を自由に共有する必要がある、とSunの開発ツールおよびJavaソフトウェア担当バイスプレジデントのRich Greenは言う。

　「誰もがWS-Iに参加している。しかしWS-Iが知的所有権を共有しないのならば、WS-Iには何の意味があるのか？」とGreen。「本当にオープンな知的所有権（規則）がなければ、このシステムは勢いを失うだろう」

　今後のIT業界の成長が相互運用性のある安全なWebサービスの成功に左右される中、WS-Iは大事な実験期間にある。WS-Iが立派な標準統合の試みとして人々に記憶されるか、それともよくある期待外れの標準化計画の一つに成り下がるかは、来年結論が出るだろう。

　「WS-Iがセキュリティやメッセージング、信頼性、決済といったものの中身に取り組み始めれば、あとはメーカーからのサポートが得られ、準拠のための枠組みが用意できるかどうかだ」とZapThinkのアナリスト、Ron Schmelzerは言う。「結果はまだわからない。政治的プロセスがあっては、WS-Iはうまく機能しないだろう」

原文へ