XMLコンソーシアムをご存知でしょうか。XMLコンソーシアムは,日本の主要なXML関連のICT(情報通信技術)ベンダーとユーザー企業で構成している,非営利会員制のコンソーシアムです(XMLコンソーシアムのWebサイト)。XMLを活用したオープン・スタンダード並びにビジネス・ソリューションの日本で唯一の推進団体です。XML関連オープン・スタンダードの推進啓発のみならず,自らも他業界標準化団体と組んで,名刺上の個人情報をXML化した「ContactXML」や旅行代理店業界における手配メッセージのXML仕様「TravelXML」といった,すぐに使える最新のXMLボキャブラリを標準化し,一般に公開しています。
さて,XMLコンソーシアムは7月,OASISで標準化作業を進めている「WS-Security」関連のオープン・スタンダード仕様(日本語版)を開発し一般公開しました(関連Webページ)。これは,XMLコンソーシアムのWebサービス推進啓発活動の一部として実施されたものです。
これらの翻訳は,OASISの翻訳ポリシーや著作権明記に関する取り決めに正式に従った成果物で,OASISにおいても公式な日本語翻訳文書として承認されており,OASISホームページにもそのリンクが掲載されています。XMLコンソーシアムでは,既に2005年3月に,WS-Securityの本体仕様*1であるWS-Security 2004の翻訳を完了し,OASIS及びXMLコンソーシアムのWebサイトで公開しています(PDFファイル)。これらは,OASIS標準の英語以外の翻訳の取り組みとして,最も優れたものであると言えます。XMLコンソーシアムの関係者の皆さんに感謝します。
*1 正式には,Web Services Security: SOAP Message Security 1.0 (WS-Security 2004)と呼ばれるWebサービス・セキュリティのコア仕様。SOAPメッセージのヘッダー部分を拡張して,セキュリティ情報を交換する仕組みを定義している。
新たに翻訳された仕様と文書
今回XMLコンソーシアムによって追加翻訳されたのは,以下の5つの仕様及び文書です。少々専門的になりますが,各仕様及び文書の内容を簡単に説明しておきます。1から3は,いずれもOASIS標準に制定されています。
1. Web Services Security: Username Token Profile 1.0
Webサービスの利用者が Webサービス作成者へ自らの身元を認証させる方法を定めている標準で,利用者が,「ユーザ名(= ユーザ名トークン)」(オプションとして,パスワードも可)を使って,サービスの要求者を識別する方法について記述しています。
2. Web Services Security: X.509 Token Profile 1.0
インターネットでのメッセージのセキュリティ確保では,公開鍵暗号方式(PKI)は必須の技術です。この方式では,暗号化と署名の検証などを行うために前もって正しい公開鍵が配布されるのですが,第3者機関が発行した公開鍵の正当性を保証する公開鍵証明書の規格にITU及びISOが標準化しているのがX.509認証フレームワークです。このWSS標準は,WS-Security仕様におけるこのX.509認証フレームワークの利用について説明しています。
3. Web Services Security: SAML Token Profile 1.0
SAML(Security Assertion Markup Language)は,OASISによって標準化されたXMLベースのオープン・スタンダードで,IDやパスワードなどの認証情報を安全に交換し,一度の認証で複数のWebサイトやサービスが利用できるシングル・サインオンを実現する仕様です。このWSS標準は,WS-Security仕様で定義されている SOAPメッセージのヘッダー部で,このSAMLをセキュリティ・トークンとして使用する方法を定義しています。
4. Errata for Web Services Security: SOAP Message Security 1.0
WS-Security 2004の正誤表で,OASIS WSS技術委員会の委員会草案文書です。
5. Errata for Web Services Security: Username Token Profile 1.0
Web Services Security: Username Token Profile 1.0の正誤表で,OASIS WSS技術委員会の委員会草案文書です。
Webサービス・セキュリティの重要性
Webサービス提供者とWebサービス利用者の間で,インターネット経由で金銭の授受や権利関係に関連するビジネス・トランザクションを交換する場合,その通信内容の完全性や秘匿性を保証するためのオープンで堅牢な仕組みが必要になります。Webサービス向けに定義されたこの仕組みを「Webサービス・セキュリティ(WSS)機能」と呼びます。
インターネット・セキュリティの確保のためにこれまで開発されてきたさまざまな技術や標準仕様をどう組み合わせてこのWSS機能を実現するかが課題となっています。Webサービスの利用側と提供側で同じ技術や標準仕様を利用しないと,Webサービスによる相互作用を安全・確実なものにはできないからです。
そこで,OASISでは,既存のセキュリティ技術を利用してこのWSS機能を実現する標準仕様を,関係各社が集まって開発するWSS技術委員会を設置して標準化作業を進めてきました。そして,2004年3月に前述したWS-Security 2004がOASIS標準として制定され,さらにユーザ名,X.509,SAMLといった様々なセキュリティ確保の仕掛けを取り入れた仕様拡張が行われたのです。それらが今回翻訳された仕様群です。本体仕様であるWS-Security 2004は,既に一部のWebサービスで利用が始まっています。
Webサービス・セキュリティをさらに確実にする取り組み
さらに,「WS-I(Web Services Interoperability Organization)」では,上記のOASISで制定された仕様をどのように組み合わせて最適なセキュリティを確保するかを定義した「Webサービス・ベーシック・セキュリティ・プロファイル」を開発しています。各標準の使い方を定義することで, Webサービス・セキュリティにおける相互運用性を確保するのが狙いです。
WS-Iでは,そのWebサイトでセキュリティ関連の成果物を公開しています(関連Webページ)。WS-Iでの標準化の進展に合わせて, Webサービス・ベーシック・セキュリティ・プロファイルの日本語翻訳もXMLコンソーシアムで引き続き行われることを期待しています。
