SpringSourceのBen Alex氏が語るアプリケーションセキュリティの新たな標準

作者 Srini Penchikala , 翻訳者 金森 諭 投稿日 2008年6月15日

セクション

デベロップメント,

設計/アーキテクチャ

トピック

Java ,

セキュリティ

タグ

JavaOne 2008

JavaOne 2008カンファレンスでSpringSourceのBen Alex氏がエンタープライズアプリケーションにおける新たなセキュリティ要件と標準、そしてその標準を実装したオープンソースのフレームワークについてスピーチをおこなった。この技術的セッション(source)で彼はServlet Security、Java Authentication and Authorization Service （JAAS）(source)、CAPTCHA（主に画像で人間だと判別する方法）(サイト・英語)、シングルサインオン（SSO）(サイト・英語)、OpenID(サイト・英語)を使った連携型サインオン（Federated Identity）について触れた。

彼はServletとJAAS APIの概要とServlet 3.0仕様（JSR-315）(source)での新しいセキュリティ機能（ログイン/ログアウト機能やSelf Registration（自己登録）など）についてのプレゼンテーションから始めた。彼はウェブアプリケーションをデザインする上で考慮すべきセキュリティ事項を次のようにリストアップした。

• 認証（Authentication）
• 権限管理（Authorization）
• アクセス情報収集（Accounting）
• 監視（Auditing）

ウェブ開発がコンポーネントベースのフレームワーク（JSF(source)やSpring Web Flow(source)）やJBoss Seam(source)など）の方向に向かっていくにつれ、コンポーネント、状態、遷移でのセキュリティがより重要になっていっている。Spring Web FlowはJSFプラットフォームモデルを持ち、Stetes、Flows、Transitionsの権限付与機能が提供されている。このフレームワークでは認証と権限管理のためにSpring Security(サイト・英語)が使われている。Spring Security 2はJavaのServlet SecurityとJAASソフトウェアを統合したもので、最新版では新しいSecurity Namespacesと「Rmember Me（私を思い出して）機能(source)」をサポートしている。

Completely Automated Public Test to tell Computers and Humans Apart （CAPTCHA：コンピュータと人間を区別する完全に自動化された公開チューリングテスト）はDoS（サービス停止をする攻撃）やIP侵害といったセキュリティ脆弱を軽減するために使われている。CAPTCHAを実装したフレームワークにはJCaptcha(サイト･英語)やreCAPTCHA(サイト・英語)などがある。Java向けのreCAPTCHAライブラリがGoogle Code上のプロジェクト(source)から入手できる（MITライセンス）。

SSOの分野では、Spring Securityが（SambaのJCIFS(サイト・英語)を利用して）Microsoft Windows LAN向けのSSOとJA-SIGのCentral Authentication Servic（CAS）(サイト・英語)をサポートしている。連携型サインオンの別のポピュラーな技術としてはOpenIDがあり、これは現在多くの主要企業（Sun、IBM、 Microsoft、Google、Yahoo、Flickr、LiveDoor、LiveJournal、Orange、Bloggerなど）でサポートされている。Spring SecurityではOpenID4Java(サイト・英語)フレームワークを使ってOpenIDをサポートしている。

またAlex氏は、メソッドレベルでの権限管理、メソッドのセキュリティメタデータを定めるJSR-250(source)、 Spring Securityのメソッドメタデータ、ドメインアクセスコントロールといった新たなウェブセキュリティ要件についても語った。JSR-250 （Common Annotations for Java platform）ではメソッドレベルの権限管理のための@RunAs(role)や@RolesAllowed(role)、 @permitAll()、@DenyAll()、、@DeclareRoles(role)といったアノテーションを定義している。これらのアノテーションはメソッドの引数にも適用することが可能だ。 

Alex氏のプレゼンテーションではウェブサービスのセキュア化（WS-Security）、リモートクライアントおよび Web 2.0アプリケーションに対するRFC Basic（RFC 1945）およびRFC Digest（RFC 2617）認証機構も言及された。WSS(source)標準（旧WS-Security）をベースにしたウェブサービスのセキュア化ではSOAPメッセージでのセキュリティ対策がおこなわれる。XWSS（Metro(サイト・英語)プロジェクトの一部）(サイト・英語)はWSSのJava実装で、version 3.0ではOASIS WSS Specificatiion 1.1(PDF・英語)を実装している。

Alex氏はウェブアプリケーションでJMSメッセージングを使う際の送信先の権限管理についても語った。JMS 1.1(source) APIはメッセージの完全性やプライバシーの対策が行われておらずJMSプロバイダがこれらの機能を提供することが想定されている。ActiveMQ(サイト・英語)メッセージングフレームワークではこの権限管理(source)のために3つのメソッド（read、write、admin）が用意されている。彼はJava EEアプリケーションでEnterprise Service Bus（ESB：ミドルウェア連携基盤）を使った際のメッセージエンドポイントやチャネル権限管理やセキュリティ仲介サービスの要件についても論じた。 ESBのセキュリティパターンについての記事(source)ではESBコンテナを実装する上で考慮すべき様々なデザインパターンが取り上げられている。

このプレゼンテーションでは、ウェブのログインフォームのシンプルなセキュリティ要件からSpring Securityフレームワークを使ってGoogle Web Toolkit（GWT）(サイト・英語)でアプリケーションセキュリティを実装するまでに渡るデモンストレーションも行われた。

原文はこちらです：http://www.infoq.com/news/2008/06/javaone-app-security

• 次へ >