Webサービスのセキュリティ標準が確定--WS-Security発表

　Organization for the Advancement of Structured Information Standards（OASIS）のWeb Services Security（WS-Security）技術委員会は米国時間7日、OASISが複数のセキュリティ関連の技術仕様を業界標準として承認したことを明らかにした。これにより、ソフトウェアメーカーやセキュリティ関連企業はこれらの仕様をサポートする機能を商用製品に組み込めるようになる。

　Webサービスで受け渡しされるデータはすべてXMLの形式で表現されるため、アプリケーション間のデータ交換が容易になっている。WS-Security仕様は、異なるセキュリティシステム間の相互運用性を高めることを目指しており、そのためにXMLベースのプロトコルを利用している。

　Webサービスのセキュリティに関する仕様の策定は、IBMとMicrosoftが約2年前に「ロードマップ」に共同で作成したことから始まった。その後、2002年6月には両社がこの仕様をOASISに提出し、OASISが策定を進めることになった。OASIS以外では、W3C（World Wide Web Consortium）やLiberty Allianceでも、システム間の相互運用性改善を目指すセキュリティ関連の仕様策定を進めている。

　WS-Securityの定義に従って開発された業務アプリケーションは、他のウェブアプリケーションとネットワークアクセス情報を共有できる。たとえば、ユーザが一度認証を受けるだけで複数のネットワークにアクセスできたり、2つのアプリケーション間で安全にデータを送受信できたりするようになる。

　WS-Securityは、XML対応ファイアウォール製品、Webサービス管理ソフトウェア、そしてネットワークアクセスセキュリティ製品など、幅広い製品への採用が見込まれている。

　WS-Securityの策定に携わったある企業によると、WS-Securityの仕様が標準として承認されたことで、どのセキュリティ標準がベンダーからの支持を集めるかが見極めやすくなるという。

　NetegrityのプロダクトマネージャーMarc Chanliauは、声明のなかで、「Webサービスのセキュリティ仕様が数多く登場して市場を混乱させてきた。だが、WS-SecurityやSAML（Security Assertion Markup Language）などの業界標準が定着し、実用性や安全性が証明されれば、企業各社は安心してWebサービスを導入することができる」と述べている。