InfoQ

InfoQ

InfoQ

En | 中文 | 日本語 | Br

News

マイブックマーク

ブックマークするためにログイン または 会員登録 する

ブックマークされました!

ブックマークがエラーになりました。もう一度お願いします。

RESTサービスのセキュリティに対処する

作者 Boris Lublinsky , 翻訳者 笹井 崇司 投稿日 2010年3月22日

セクション
デベロップメント,
エンタープライズ・アーキテクチャ,
設計/アーキテクチャ
トピック
SOA ,
Webフレームワーク ,
セキュリティ ,
REST

原文(投稿日:2010/03/17)へのリンク

セキュリティがSOAの実装原則のひとつになり、RESTが急速に一般的なSOAの実装方法のひとつになるにつれ、RESTセキュリティは非常にタイムリーな話題になっているようだ。Chris Comerford氏とPete Soderling氏によると、RESTによる開発はセキュリティをうまく解決してはいないそうだ。

  • RESTには所定のセキュリティ手法がないため、開発者が自前で定義してます。
  • そして、急いでサービスを立ち上げようとしている開発者は、Webアプリケーションを扱うときほど真面目にはやっていないことが多いのです。

Comerford氏とSoderling氏はこう説明を続ける。RESTはHTTPをベースとしており、RESTサービスは標準的なWebアプリケーションと同じ脆弱性を持つ傾向にある。そうした脆弱性には、不適切な認証、インジェクション攻撃、クロスサイトスクリプティング、クロスサイトリクエストフォージェリなどが含まれる。これらに加えて、RESTサービスに特有のセキュリティ脆弱性もある。例えば、以下のようなものだ。

  • マッシュアップに関連した問題:
    ... 複数のAPIからデータを引っ張ってくるマッシュアップでは、ユーザ名とパスワードが必要になることがあります。このとき、エンドユーザのアクセスクレデンシャルを認証するのは、マッシュアッププロバイダ任せになります。エンドユーザは、マッシュアッププロバイダがクレデンシャルを盗まないこと(あるいは、うっかり漏らさないこと)を信用しなくてはなりません。そして、APIプロバイダは、マッシュアッププロバイダがハッカーや悪意のあるユーザではなく、そのアカウントの正当なユーザを認証していることを信用しなくてはなりません。
  • 未熟な草の根プロトコル:
    OAuth 1.0にはセッション固定攻撃の脆弱性があり、APIを利用するエンドユーザのアイデンティティが攻撃者により盗まれるおそれがありました。

幸運なことに、RESTサービスをセキュアにするには、多くのHTTPセキュリティプラクティスがうまく適用できる。Comerford氏とSoderling氏は以下のようなルールを推奨している。

  • あなたの組織で運用しているWebアプリケーションと同じセキュリティの仕組みを、あなたのAPIでも利用しましょう。例えば、WebフロントエンドにおいてXSSフィルタリングをしているなら、あなたのAPIでもそうしなければなりません。できれば同じツールを使うのがよいでしょう。
  • 独自のセキュリティをやろうとしてはいけません。ピアレビューされ、テストされているフレームワークや既存のライブラリを使いましょう。
  • あなたのAPIがフリーの読み出し専用の公開APIである場合を除いて、単一鍵ベースの認証を使ってはいけません。それでは不十分です。パスワード要求を追加しましょう。
  • 暗号化していない固定鍵を渡してはいけません。もしHTTP Basic認証を使って鍵をネットワーク上で送るのなら、鍵を暗号化しておきましょう。
  • 理想的には、HMAC(ハッシュベースメッセージ認証コード)を使いましょう。これがいちばんセキュアです。

RESTセキュリティの状況について、K. Scott Morrison氏はさらに次のように説明している。

RESTには明確に表現されたセキュリティモデルが欠けています... その成り立ちが草の根であったためでしょう。誰の世話にもならず、ただのWebのようにやるというセキュリティへの無頓着に悩まされます... RESTスタイルに非常に人気があるのは、実装がシンプルですばやいためです。気の滅入るような複雑さとWS-*スタックのツール要求に直面しているときには、なおさらです。アプリケーションを動かすというゴールに到達するため夢中になってダッシュしているうちに、セキュリティは都合よく軽視されるか、完全に忘れ去られると考えてもよいでしょう。

Morrison氏はまた、RESTサービスをセキュアにするのは可能だと明言している。そして、SecureSpan Gatewayを使って、サービスへのアクセスにSSLとグループメンバシップに基づいたアクセス認可が必要になるようポリシーを設定することで、Comerford氏とSoderling氏が推奨するルールのいくつかを実現する方法を紹介している。さらに、SecureSpanはクロスサイトのPHPやシェルのインジェクション攻撃をスキャンするよう設定することもできるそうだ。

WS*がプロトコル非依存でWebサービス向けに厳密に構築された明確なセキュリティモデルを規定しているとのとは異なり、(現在のところ)RESTには独自のセキュリティモデルというものが存在しない。その代わりに、現在のRESTセキュリティのベストプラクティスは、既存のHTTPセキュリティの実装アプローチを活用することだ。果たして、それで十分なのだろうか? 時がたてばわかるだろう。

関連情報

【豆蔵】Android、MeeGo、Qt開発者募集

【豆蔵】「オブジェクト指向を現場で活かすリファクタリング入門」新規講座キャンペーン中

【豆蔵】大好評のため、Jenkins講座を追加開催致します!Jenkins作者の川口氏が講師です。

【ネクストスケープ】.NET、C#のアプリケーション開発者募集

世界の先進エンジニアが集結 - QCon TOKYO 2012 早期割引実施中!

No comments

スレッド表示 返信

特集コンテンツ一覧

GAE開発の落とし穴

Googleのクラウド環境をつかったGoogle App Engineによる開発するにあたり、初めての試みで苦悩する開発者達の経験をもとに、各開発フェーズにあわせて問題点やどう解決したかをご紹介します

イベントレポート:「Coqチュートリアル#1」

去る1月12日、定理証明支援系ツールCoqの初心者向けチュートリアルが開催さ れた(http://kokucheese.com/event/index/23667/)。今後も2月2日 (http://kokucheese.com/event/index/23744/)、2月9日、2月16日と引き続き開 催されていく予定である。本記事では、開催の様子をレポートする。

Javaの未来についてのNeal Gafter氏とのディスカッション

Choosing Options

Neal Gafter氏はOracleによるJava買収の影響に関する議論、Javaにセグメンテッドスタックやメタオブジェクトプロトコルを追加することについての主張、そしてJavaとC#との比較について話をしてくれた。

Google Dartのエッセンス:アプリケーションの構築、スナップショット、Isolate

GoogleはVMをともなう新しい言語であり、JSコンパイラでもあるDartをプレビューした。 InfoQはDartのアプリの構築に貢献する文法の裏側を探った:スナップショット、Isolate、モジュール方式

CSPベースのモデル検査ツール「Process Analysis Toolkit」

本記事ではCSPベースの「マルチドメイン・モデル検査ツール」である、PAT(Process Analysis Toolkit)について紹介する。モデル検査は、形式手法(Formal Method)という方法論を基礎とする技術であり、複雑さが増大しながらも安全性を求められる、現在のソフトウェア開発の状況に対する処方箋の1つとして注目されている手法である。

Jenkinsによる継続的インテグレーションのススメ(4) ~CloudBeesでJenkinsをサービスとして使う~

前回まで、Jenkinsの幾つかの側面に注目して解説をしてきました。シリーズ最後の今回は、Jenkinsをサービスとして使う方法を紹介します。

書籍『抽象によるソフトウェア設計-Alloyではじめる形式手法-』の紹介

Alloyは、MITにて開発された仕様記述言語であり、ツールによる自動解析を使い、インクリメンタルに形式仕様が書けることが特長である。筆者らはAlloy開発者による、Alloyを使った形式手法入門書を翻訳、今夏にオーム社より刊行した。本記事では、Alloyの簡単な概要と、翻訳書『抽象によるソフトウェア設計』(「Alloy本」)を紹介する。

Windows デバイスで開発するタッチユーザーインターフェイス

スマートフォンを中心としたマルチデバイスにおけるタッチユーザーインターフェイスへの対応は、既に必須の項目となりつつある。本記事では、Windows デバイスにおける UX のベースとなっている「メトロ」というデザイン言語を掘り下げながら、既存環境を意識しつつもどのようにタッチユーザーインターフェイス開発に取り組んでいくべきであるかについて解説していく。