SOAがセキュリティリスクを深刻化？　影響を受ける3つの脆弱性とは

　SOA自体が新たなセキュリティリスクになることはないが、SOAが現在のリスクを肥大化させ、企業セキュリティに影響をおよぼすレベルにまで引き上げてしまうことは十分に考えられる。

　SOAが助長する企業のセキュリティ脆弱性は、主なところで3つある。GartnerのRay Wagner氏は、「ComputerWorld」誌の最新記事でこれらの脆弱性について論じ、その対処法を提案した。

弱点その1

　SOAはファイアウォールを越えて外部のサービスを使用する。ウェブベースのサードパーティサービスに依存する性質は、セキュリティ的に見て明らかに問題がある。そこでセキュリティソフトウェアは、ハッシュ化やデジタル署名などの暗号化技術をサービスの安全性確認に用いるようになった。しかしながら、「こうした作業を行う1時間当たりの回数が数百倍になり、コンピュータ処理の負荷もまた激増した」と、Wagner氏は指摘する。もっともこれは「程度が変化した」だけのことであり、質が変わったわけではないという。

解決法

　技術の力を借りることもできるが、最善の解決法は、アクセスする外部サービスの種類について従業員に教え込むことだと、Wagner氏は話している。

弱点その2

　Wagner氏はXMLファイルに関して、「基本的にXMLにはあらゆる実行ファイルおよびデータを仕込むことができ、その中には悪質なものも含まれうる」と言う。SOAではXML通信が行われる頻度が高くなるので、必然的に脆弱性の深刻度も大きくなる。マルウェアがXML通信に紛れ込むおそれもあると、同氏は警告した。

解決法

　XML通信を受信して処理する、サードパーティの製品を導入する。Wagner氏はそうした製品のベンダーとして、共同でファイアウォールベースソリューションを提供しているCrossbeam SystemsおよびForum Systemsを例に挙げた。現在はIBM傘下に入ったDatapowerのSOAベースアプライアンスなども、主要サービスを阻害せずに不正なXMLメッセージをブロックできると思われる。

弱点その3

　SOAは複雑すぎて、ID管理がきわめて難しい。単純なトランザクションでは、セッション開始時に認証したユーザーIDが同セッションを通して通用する。一方SOAでは、ユーザーがトランザクションを開始し、サーバとの接続が切れても、そのトランザクションは複数のバックエンドサービスで実行されている。「トランザクションを始めたユーザーばかりでなく、それを承認し処理したのはだれか（自動プロセスが動いている場合は「何か」）ということも確認する必要がある」（Wagner氏）

解決法

　Wagner氏によれば、こうした接続切断問題を解消する「最も有望なアプローチ」は、「Security Assertion Markup Language」を利用して「トランザクションと関連づけられる明確なアイデンティティを生成する」ことだという。

（Joe McKendrick）