Microsoftのパターン・アンド・プラクティスグループ(リンク)が、WCFセキュリティガイドを発表した。 この689ページに及ぶ概要には、Webサービス・セキュリティ・ファンダメンタルの全般的な紹介と、いくつかのセキュリティ・スレッドに関する詳細な知識、および適切な対策が記されている。
「Webサービスのセキュリティ強化: WCFのシナリオと実装の手引き」(リンク)には様々なセキュリティに関するアドバイスが記されており、HTMLおよびダウンロード可能なPDFで入手可能である。
このガイドは4つのパートと参考資料から成っている。
- パートI – Webサービス・セキュリティ・ファンダメンタル
第1章にはサービス指向アーキテクチャ(SOA)の主な側面についての優れた概要を提供する。セキュリティに対する脅威、脆弱性、および攻撃について、SOAとの関連において説明がなされ、Webセキュリティの標準、原則、パターン、および必要な策定作業について触れている。
第2章と第3章ではWebサービスのセキュリティに対する脅威と対策、Webサービスの設計ガイドラインについてカバーしている。 - パートII – WCF セキュリティ・ファンダメンタル
このパートでは、WCFサービス・セキュリティの全機能およびオプションについて紹介している。このガイドでは、単にすべてのオプションとサンプルコードを列挙するのではなく、すべてのオプションについてセキュリティ問題に絡めた評価を行い、使わないほうが良いオプションや、完全に回避すべきオプションについても説明している。 - パートIII – イントラネット用実装シナリオ
続く2つのパートは、サービスの設計およびウェブサーバ、アプリケーションサーバ、データベースサーバの設定のベストプラクティスについてシナリオに基づいた形で述べている。パートIIIでは、イントラネットを範囲としたシナリオが用いられている。 - パートIV – インターネット用実装シナリオ
パートIVでは、イントラネットを範囲としたシナリオが用いられている
上記の4つのパートで個別にカバーされているトピックはすべて、ある単一の組織化フレームに関連している。パターン・アンド・プラクティスグループの主席プログラム・マネージャーであるJ.D. Meier氏(リンク)は、Webサービスのセキュリティフレーム(リンク)について自身のブログで次のように述べている。
原則やパターン、あるいはプラクティスの効果を高める鍵となるのは、組織化フレームです。 [中略] フレームの強みは耐久性があり、改善可能な点―言い換えれば、目的に合わせて形成可能であるということです。
参考資料部分は、チェックリスト、ガイドライン、ベストプラクティス、Q&A、ステップバイステップ形式の実行方法の説明から成っている。
すべてシナリオ形式で提供される、基本的な(Webの)サービス・セキュリティに関する徹底した説明と参考資料はとても魅力的であり、理解しやすい。このガイドは初心者からプロまで、すべての開発者とアーキテクトを対象としている。特にQ&Aと実行方法のセクションはサービス・セキュリティについての知識を持たない初心者にとって理想的である。チェックリスト、ガイドライン、ベストプラクティス、そしてパートIII とパートIVは誰にとっても貴重な情報と資料を提供するものである。
原文はこちらです: