メインコンテンツまでスキップ

WS-Securityとは、SOAPメッセージの内容を保護するため、SOAPメッセージにメッセージ多層防御を追加し、標準化された場所と構文を定義して、セキュリティトークン(X.509証明書やKerberosチケットなど)をSOAPヘッダー内で伝送する提案です。

WS-Securityでは既存のXMLデジタル署名、XML 暗号化の両仕様を使用して、それぞれXML構文での署名と暗号化の操作結果をキャプチャします。 WS-Securityは主としてXML署名とXML暗号化のデータブロックがSOAPメッセージ内で伝送される場所を標準化します。

必要な理由は?

TLS(Transport Layer Security)のようなセキュリティ機構は、Webサービスを保護するには不十分です。 TLSはメッセージが流れる安全なチャネルを作成する仕組みであるため、メッセージの特定のコンポーネントに特化した暗号化や署名など、保護の詳細は差別化できません。 メッセージの機密性の低い部分に対し中間アクターによるアクセスや変更が必要な場合には、この制限が重要な意味を帯びてきます。 さらに、SOAPメッセージが複数のアクターを通過し得るシナリオの場合、TLSでは個々の「ホップ」を保護するにとどまり、エンドツーエンドの保護は提供できません。その結果、中間アクターでセキュリティギャップが生じます。

状態

2002年8月には、WS-Security提案の標準化を監督するために、新しいOASIS技術委員会が設立されました。

Entrustの関与

Entrustはこの新設され、WS-Securityに取り組んでいるOASIS技術委員会でメンバーとして積極的に活動しています。 EntrustはすでにEntrust Authority™ Security Toolkit for JavaでXML署名とXML暗号化をサポートしており、これらはWS-Securityの基本的な技術要素となっています。 仕様の策定が進んだら、Entrustはこの既存のサポートに基づき、WS-Securityの仕様そのものを直接サポートすることになっています。