Recently in XML-spec Category

WebサービスあるいはRESTのアプリケーションで使われるSOAP/XMLインターフェースのセキュリティに関する入門記事。
XML Security Trust and Threat Models for Dummies | XML Journal

筆者はCrosscheck NetworksのVPとのことだが、元Forum Systemsの創立者。2009年5月にCrosscheckがForumを買収していた。へぇ～。今まで頑張っていたことがオドロキ。

Crosscheckのホームページより http://www.crosschecknet.com/ ：
Commercial SOA Products
Build | Test | Secure

We are a product and services company dedicated to the successful deployment of SOA using traditional and cloud computing infrastructures. Our products govern over 1 billion transactions per day and are used by over 50,000 industry professionals in 42 countries. We provide service testing, virtual service simulation, identity managment, and security enforcement of services using patented, industry proven products. Let our technology lead the way to your SOA success.

記事の骨子
3つの脅威：

• DOS攻撃 - 特にXMLでは不正なコーディングをした小さなデータでもDOS状態を作れる


• ウィルス - XMLを利用して繁殖するウィルスあるいはワームが出現している


• SQLインジェクション - データ取得のために使われるXMLリクエストにSQLを挿入される

• プライバシー - 暗号化によって達成される、秘匿性の事だと思う


• 完全性 - 署名と検証によって達成される


• ID - AAA（認証、認可、アクセス制御）、SSL tokens, SAML tokens,WS-Username tokens

OpenIDとSAMLの相互運用を検証するらしい。
共通IDを利用できる認証基盤の連携を、国内で実証実験 - ITmedia エンタープライズ　

24の民間企業や団体などが参加する「認証基盤連携フォーラム」は12月21日、インターネットの異なるサービスやコンテンツを共通IDで利用できることを目指す実証実験を12月下旬から始めると発表した。2010年3月末まで実施する。

　具体的には、1）認証基盤連携の標準方式のうち「OpenID」および「SAML」の拡張部分における記述方式のルール化と、相互運用性を強化した確認書の自動生成、自動変換の仕組みの検討、2）複数のデバイス同士でユーザーが同一であることを確認する方式の検討、3）認証機能を提供する事業者が撤退した場合にユーザーが継続利用できる仕組みと機能、性能評価の実施と課題の――など。

なんで文章が途中で切れてるんだろう。

フォーラムのサイトはないのかな。
報道発表はNRIから出ている。
インターネット上などのサービスやコンテンツの利用拡大を促進する『認証基盤連携』の実証実験を開始～各種認証サービスの連携で、相互利用を可能に～

●会員
当フォーラムの会員は次の方々です（2009年12月21日現在、五十音順、敬称略）。

【座長】
相田　仁　東京大学
【副座長】
森川　博之　東京大学
【実証実験ワーキンググループ参加企業・団体】

* 株式会社ＡＣＣＥＳＳ
* 株式会社ウィルコム
* エヌ・ティ・ティ・コミュニケーションズ株式会社
* 株式会社エヌ・ティ・ティ・ドコモ
* ＫＤＤＩ株式会社
* ソニー株式会社
* ソフトバンクBB株式会社
* 日本電気株式会社
* 日本ユニシス株式会社
* 株式会社ネクストウェーブ
* 株式会社野村総合研究所
* 株式会社日立製作所
* 富士通株式会社

【オブザーバー企業・団体】

* 株式会社インターネットイニシアティブ
* イー・モバイル株式会社
* 株式会社ジェーシービー
* 住友商事株式会社
* 社団法人テレコムサービス協会
* 日産自動車株式会社
* 日本ヒューレット・パッカード株式会社
* ネットワンシステムズ株式会社
* 三井物産株式会社

OpenIDはまだ使いにくいというwebmonkeyの記事。

OpenID Is HereDOT Too Bad Users Can t Figure Out How It Works - Webmonkey

• いままでの、ユーザー名とパスワードでログインする方式からの違いが大きい。
• 2008年1月にYahooとAOL、10月にGoogle,MySpace, Plaxo, and Microsoftが「unlikely allies」として加わった、が、YahooとGoogleの調査によると、ユーザーはOpenIDのログイン手順がぜんぜんわからなかった。調査報告は結論として、ユーザー名とパスワードのやり方に長年慣れてしまっているので、それを変えようと思うと再教育の労力をかけないといけない、といっている。
• GoogleとYahooは再教育をしようとしてるが、認証の段階でGoogleやYahooに転送されてしまう。「サイトXにいたのに急にサイトYにいる、というのは違和感がある。なんでここに来たんだ？どうやって戻れるんだ？」（Dan Harrelson of the web design firm Adaptive Path）
• FacebookのConnectはOpenIDと似たようなことをやろうとしてるが、ログイン画面としてページ内ポップアップを使っていて、ページを離れる感じがない。
• 10月にPlaxo, Yahoo, MySpace, Google and MicrosoftがOpenIDのユーザー体験の分科会に参加。Facebookもここに参加し、Facebook Connectのインターフェースを紹介した。

ユーザー体験の分科会とは、これのことか： OpenID User Experience Summit （2008/10/20）
OpenID ? Blog Archive ? The First OpenID User Experience Summit
Yesterday at Yahoo!'s campus in California, nearly forty people from the OpenID community came together for a day to discuss the usability and user experience of OpenID and OAuth.
詳しいライブレポート：Live Blogging the OpenID/OAuth UX Summit ? The Real McCrea

OASISの新しいTC。
OASIS Identity Metasystem Interoperability (IMI) Technical Committee。
なんだろう、これは。

OASIS - News - 2008-09-23

to enable the use of Information Cards to universally manage personal digital identities. インフォメーションカードを使って個人のディジタルIDを普遍的に管理できるようにする。

で、Information Cardに何があるというと、WikipediaによるとIdentity Selectorsとして実装されており、
Microsoft's Windows CardSpace, the Bandit Project's DigitalMe, and several kinds of Identity Selectors from the Eclipse Higgins Project
がある。

この中で、Bandit Projectについては、
demonstrated prototype managed cards backed by OpenIDs at the BrainShare conference in March 2007
とのこと。

Information Card - Wikipedia, the free encyclopedia

TCの憲章TC Charterによると、
既存の仕様
[1] Identity Selector Interoperability Profile V1.5, August 2008
http://schemas.xmlsoap.org/ws/2005/05/identity
と、ガイド
[2] A Guide to Using the Identity Selector Interoperability Profile V1.5 within Web Applications and Browsers, August 2008
http://schemas.xmlsoap.org/ws/2005/05/identity

[3] An Implementer's Guide to the Identity Selector Interoperability Profile V1.5, August 2008
http://schemas.xmlsoap.org/ws/2005/05/identity
を基ににするらしい。

つまり、マイクロソフトの仕様を標準にするための活動？

Santa ClaraでのEclipseCon 2008で「Microsoftきってのオープンソース支持者であるサム・ラムジ氏」がEclipseとの協業を話した中で、Higginsのサポートについて言及。

Microsoft、2種のEclipseプロジェクトのサポートを表明 - ITmedia エンタープライズ

　ID管理技術であるHigginsに関しては、Microsoftは「CardSpace」を実装するうえでこれをサポートする予定だ。

　Eclipse FoundationのHiggins専用ウェブページにある定義によれば、Higginsは、「ID、プロフィール、社会関係情報などを、複数のサイトやアプリケーション、デバイスをまたいで統合するためのオープンソースインターネットIDフレームワーク」だという。

　WS-Trust、OpenID、SAML、XDI、LDAPといったデジタルIDプロトコルと連係するユーザーエクスペリエンスを支えているのは、プロトコルではなくソフトウェアである。

この最後の文章は意味不明だと思ったら、、誤訳でしょう。
It’s not a protocol but software that supports a user experience that works with such digital identity protocols, including WS-Trust, OpenID, SAML, XDI and LDAP.
たぶん、
それ(=Higgins)はプロトコルではなくソフトウェアであって、WS-Trust、OpenID、SAML、XDI、LDAPといったデジタルIDプロトコルと連係するユーザーエクスペリエンスを支えている。
Itの取り違い。

「内部統制問題はID管理問題」--NTT情報流通プラットフォーム研究所:スペシャル - ZDNet Japan

アイデンティティ（ID）管理の重要性が再認識されつつある中、ID管理技術の標準化を進める「Liberty Alliance Project」の活動やその加盟企業の製品対応の状況はどうなっているのか。今回の連載では、各加盟企業を取材し、Liberty Allianceでの役割やアイデンティティ管理の今後について見ていきたい。

　今回取り上げるのはNTTだ。NTTは、Liberty Allianceの最高意思決定機関であるボードメンバー10社の中の1社。同社は日本での普及促進を図る日本SIG（Special Interest Group）にも積極的に参加しており、NTT情報流通プラットフォーム研究所 ユビキタスコンピューティング基盤プロジェクト グループリーダで主幹研究員の高橋健司氏は、日本SIGの共同議長を務める。今回はNTTにおけるLiberty Allianceの取り組みについて高橋氏に話を聞いた。

NTTがLiberty Allianceに積極的に関与しているのは、「non-traffic」と言われる非音声系のサービスの領域において、アイデンティティ管理、とりわけ顧客を認証・特定し、顧客情報を管理する部分が非常に重要になってくると考えているからだ。今後、次世代ネットワーク（NGN）でも多種多様なサービスが提供されるようになるため、その重要性はますます高まっていく。高橋氏のチームでも、NGNに向けてSAML 2.0標準に基づいたID管理技術について研究開発を進めている。

マサチューセッツ州が Enterprise Technical Reference Model (ETRM) 4.0を承認した中で、Ecma-376 Office Open XMLを標準文書形式に追加。
Massachusetts adopts Open XML - Network World
MicrosoftのTom Robertson, general manager of interoperability and standardsのコメント： 標準認定のリストは発展する必要がある。

OASISニュース2007年6月25日

OASIS会員が、企業全体に渡る対称暗号鍵管理の標準化を行う委員会を設置

2007年6月25日米国マサチューセッツ州ボストン発 - OASIS国際標準化コンソーシアムの会員は、企業全体に渡る対称暗号の暗号化法鍵（symmetric encryption cryptographic keys）を管理するオープン標準を開発する委員会を設置しました。このOASIS 企業鍵管理インフラストラクチャ（EKMI）技術委員会は、ネットワーク・ベースのサーバーの対称鍵管理サービスを要求するクライアント・アプリケーションを可能にするロイヤリティ・フリーのWebサービス・プロトコルの標準化に取り組んでいます。この委員会はまた、このプロトコルの標準に準拠した実装を保証するため、EKMIの実装、運用と監査指針、そして相互運用性テスト集を作り出すことにも取り組んでいます。
:
レッドハット、米国国防総省、Visa等の代表が、OASIS EKMI技術委員会を設立しました。

OASISニュース2007年6月7日

新しいデジタル署名サービス（DSS）OASIS標準が、Webサービス向けデータの信頼性を保証

2007年6月7日 米国マサチューセッツ州ボストン発 - 国際標準化コンソーシアム OASISは本日、同会員が、デジタル署名サービス（DSS）を、同組織の批准の最高位レベルを示すOASIS標準として批准したことを発表しました。DSSは、Webサービスとその他のアプリケーション向けデジタル署名を処理するXMLインタフェースを定義し、複雑なクライアント・ソフトウェアと機器の設定を必要とせずに、電子署名の生成、検証、その他の関連サービスを共有することを可能にしました。

ITmedia エンタープライズ：OASIS、Webサービスセキュリティ仕様を標準認定

OASIS、Webサービスセキュリティ仕様を標準認定 「WS-SecureConversation 1.3」と「WS-Trust 1.3」がOASIS標準として認定された。 2007年03月29日 09時53分 更新 　国際標準化団体のOASISは3月27日、Webサービスセキュリティの新仕様「WS-SecureConversation 1.3」と「WS-Trust 1.3」がOASIS標準として認定されたと発表した。

　両仕様ともOASISのWS-SX技術委員会で策定され、安全なメッセージ交換のための仕様であるWS-Securityのポリシーと拡張機能を定義。信頼できる複数のSOAPメッセージ交換実現を目指している。

　WS-Trustは、セキュリティトークンの発行、更新、認証および、信頼関係の確立、発見、仲介のための手法を提供する。Webサービスフレームワーク（SOAPやWSDLなど）を通信に利用しているアプリケーションで、WS-Trustを使ってセキュリティ信用情報を入手・交換することが可能になる。

　WS-SecureConversationは、拡張版の安全なセッションを確立・維持するための仕様。WS-Securityが単一メッセージのセキュリティに焦点を当てているのに対し、WS-SecureConversationでは2者の間でセキュアなメッセージを何度もやり取りする場合のセキュリティと効率性が強化される。