JIS X 7361:2010 Ｗｅｂサービス相互運用性―ＷＳ－Ｉ ベーシックプロファイル１．１ | ページ 11

48
X 7361 : 2010 (ISO/IEC 29361 : 2008)
技術的な対抗手段をとることとから成り立っている。“リスクの許容可能なレベル”がアプリケーションに
よって大きく変わること,及び対抗手段を実現するためのコストも同様に大きく変わることから,Webサ
ービスをセキュアにするための,どこにでも適用できる“正解”などというものはあり得ない。対抗手段
と許容可能なリスクとの間の完全なバランスを取ることは,個別の場合ごとにしかできないだろう。
  それでも,多くのWebサービスにおいてリスクを許容可能なレベルに下げる経験的な対抗手段の共通パ
ターンというものは存在する。このプロファイルは,それらのうち最も広く使われているものを,使用を
強制はしないが,採用している。それはTLS 1.0又はSSL 3.0のいずれかで暗号化されたHTTP(HTTPS)
である。すなわち,適合するWebサービスはHTTPSを使用してもよい。他の対抗手段と併用してもよい
し,何も使わなくてもよい。
  HTTPSは,基本的なレベルの秘匿性を実現する,暗号化トランスポート接続の枯れた標準であると,広
く認められている。したがって,HTTPSは,多くの現実世界のWebサービスアプリケーションが必要と
する基本的なセキュリティ機能を実現する,最も単純な手段となっている。HTTPSは,クライアント証明
書を使うことによって,クライアント認証に使用してもよい。
  このプロファイルのこの箇条では,次の規格を引用し,その中での拡張点を定義する。
     ・ RFC2818: HTTP Over TLS (http://www.ietf.org/rfc/rfc2818.txt)
     ・ RFC2246: The TLS Protocol Version 1.0 (http://www.ietf.org/rfc/rfc2246.txt)
         拡張点:
                E0019−TLS暗号化スイート−TLSは,任意の暗号化アルゴリズムの使用を許してい
                 る。
                E0020−TLS拡張−TLSは,ハンドシェイク段階で拡張を許している。
     ・ The SSL Protocol Version 3.0 (http://wp.netscape.com/eng/ssl3/draft302.txt)
         拡張点:
                E0021−SSL暗号化スイート−SSLは,任意の暗号化アルゴリズムの使用を許している。
     ・ RFC2459: Internet X.509 Public Key Infrastructure Certificate and CRL Profile
         (http://www.ietf.org/rfc/rfc2459.txt)
         拡張点:
                E0022−認証局−認証局の選択は,通信当事者間の個別合意による。
                E0023−証明書拡張−X509は,任意の証明書拡張を許している。

6.1 HTTPSの使用

  HTTPSは,とても有用かつ広く理解されている基本的なセキュリティ機構なので,このプロファイルで
使用を許す必要がある。
        R5000 INSTANCE はHTTPSの使用を必す(須)としてもよい (MAY)。
        R5001 INSTANCE がHTTPSの使用を必す(須)とする場合,wsdl:port定義にある
               soapbind:address要素のlocation属性は,"https" スキームのURIでなければ
               ならない (MUST)。そうでない場合,それは "http" スキームのURIでなければならな
               い (MUST)。
  単純なHTTPSは,利用者(consumer)によるWebサービスインスタンスの認証機能を提供するが,イ

――――― [JIS X 7361 pdf 51] ―――――

                                                                                             49
                                                                X 7361 : 2010 (ISO/IEC 29361 : 2008)
ンスタンスによる利用者の認証機能は提供しない。多くの場合,これは相互運用のリスクを高すぎるレベ
ルにしてしまう。HTTPSの相互認証機能をこのプロファイルに含めることで,インスタンスが利用者を認
証するという対抗手段を許容する。利用者によるインスタンスの認証では不十分な場合,これは相互運用
のリスクを十分に引き下げることになる。
        R5010 INSTANCE は,相互認証(mutual authentication)のHTTPSの使用を必す(須)として
               もよい (MAY)。

――――― [JIS X 7361 pdf 52] ―――――

50
X 7361 : 2010 (ISO/IEC 29361 : 2008)
                                          附属書A
                                          (規定)
                                          引用規格
  次の規格の要件は,このプロファイルで置き換えられたものを除き,引用することでこのプロファイル
に取り込まれている。
     ・ Namespaces in XML 1.0 (http://www.w3.org/TR/1999/REC-xml-names-19990114/)
            注記 JIS X 4158:2005 XML名前空間は,Namespaces in XML 1.0
                  (http://www.w3.org/TR/1999/REC-xml-names-19990114/)に対応している。
     ・ Simple Object Access Protocol (SOAP) 1.1 (http://www.w3.org/TR/2000/NOTE-SOAP-20000508/)
     ・ RFC2616: Hypertext Transfer Protocol-HTTP/1.1 (http://www.ietf.org/rfc/rfc2616.txt)
     ・ RFC2965: HTTP State Management Mechanism (http://www.ietf.org/rfc/rfc2965.txt)
     ・ Extensible Markup Language (XML) 1.0 (Second Edition)
          (http://www.w3.org/TR/2000/REC-xml-20001006)
            注記 JIS X 4159:2005 拡張可能なマーク付け言語(XML)1.0は,Extensible Markup Language
                  (XML) 1.0 (Third Edition) (http://www.w3.org/TR/2004/REC-xml-20040204) に対応してい
                  る。
     ・ XML Schema Part 1: Structures (http://www.w3.org/TR/2001/REC-xmlschema-1-20010502/)
     ・ XML Schema Part 2: Datatypes (http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/)
     ・ Web Services Description Language (WSDL) 1.1 (http://www.w3.org/TR/2001/NOTE-wsdl-20010315)
     ・ UDDI Version 2.04 API Specification, Dated 19 July 2002
          (http://uddi.org/pubs/ProgrammersAPI-V2.04-Published-20020719.htm)
     ・ UDDI Version 2.03 Data Structure Reference, Dated 19 July 2002
          (http://uddi.org/pubs/DataStructure-V2.03-Published-20020719.htm)
     ・ UDDI Version 2 XML Schema (http://uddi.org/schema/uddiv2.xsd)
     ・ RFC2818: HTTP Over TLS (http://www.ietf.org/rfc/rfc2818.txt)
     ・ RFC2246: The TLS Protocol Version 1.0 (http://www.ietf.org/rfc/rfc2246.txt)
     ・ The SSL Protocol Version 3.0 (http://wp.netscape.com/eng/ssl3/draft302.txt)
     ・ RFC2459: Internet X.509 Public Key Infrastructure Certificate and CRL Profile
          (http://www.ietf.org/rfc/rfc2459.txt)

――――― [JIS X 7361 pdf 53] ―――――

                                                                                             51
                                                                X 7361 : 2010 (ISO/IEC 29361 : 2008)
                                          附属書B
                                          (参考)
                                           拡張点
  この附属書では,“1.1 適用範囲”の中で,このプロファイルの構成要素の仕様として定義した,規格の
拡張点を列挙する。
  これらのメカニズムはこのプロファイルの適用範囲外である。これらを使うことが相互運用性に影響す
るかもしれないし,Webサービスの関係者での個別合意が必要かもしれない。
  Simple Object Access Protocol (SOAP) 1.1 (http://www.w3.org/TR/2000/NOTE-SOAP-20000508/):
     ・ E0001−ヘッダブロック−ヘッダブロックはSOAPの根本的な拡張メカニズムである。
     ・ E0002−処理順序−SOAPメッセージの構成要素(例えば,ヘッダ)の処理順序は規定がなく,
        別途調整(out-of-band negotiation)が必要かもしれない。
     ・ E0003−中継ノード(intermediaries)の使用−SOAPの中継ノードはSOAP 1.1では規定が不十分
        であり,その利用には別途調整(out-of-band negotiation)が必要かもしれない。また,それを使用
        するときには,どこでプロファイルの適合性を測定するかについて注意深い検討が必要になるか
        もしれない。
     ・ E0004−soap:actor値−soap:actor属性の値(特殊なURI 'http://schemas.xmlsoap.org/soap/actor/next'
        以外)は,Web サービスの関係者間の個別合意を表す。
     ・ E0005−フォルトのdetail要素−フォルトのdetail要素の内容はSOAP 1.1では規定されていな
        い。
     ・ E0006−エンベロープ シリアライゼーション−このプロファイルは,エンベロープがどのように
        メッセージ中にシリアライズされるかについて,幾つかの側面は制約しない。
  RFC2616: Hypertext Transfer Protocol-HTTP/1.1 (http://www.ietf.org/rfc/rfc2616.txt):
     ・ E0007−HTTP認証−HTTPの認証は,拡張スキーム,任意のダイジェストハッシュアルゴリズ
        ム及びパラメタを許容している。
     ・ E0008−規定がないヘッダフィールド−HTTPは任意のヘッダがメッセージに現れることを許容
        している。
     ・ E0009−Expect拡張−HTTPのExpect/ContinueメカニズムはExpect拡張を許容している。
     ・ E0010−Content-Encoding−HTTPで許容される内容エンコーディング(content-encoding)は無制
        限であり,'gzip','compress','deflate' 以外のあらゆる形式が拡張点となる。
     ・ E0011−Transfer-Encoding−HTTPで許容される伝送エンコーディング(transfer-encoding)は無
        制限である。
     ・ E0012−Upgrade−HTTPは,Upgradeヘッダを使うことで,接続を任意のプロトコルに切り替え
        ることを許容している。
     ・ E0024−名前空間属性−soap:Envelope要素及びsoap:Header要素の名前空間属性。

――――― [JIS X 7361 pdf 54] ―――――

52
X 7361 : 2010 (ISO/IEC 29361 : 2008)
     ・ E0025−soap:Body要素の属性−名前空間修飾された属性も局所属性もSOAP 1.1によって制約さ
        れない。
  XML Schema Part 1: Structures (http://www.w3.org/TR/2001/REC-xmlschema-1-20010502/)
     ・ E0017−スキーマの注釈(annotation)−XML Schemaは注釈を許しており,データ構造について
        の追加の情報を記述するために使ってもよい。
  Web Services Description Language (WSDL) 1.1 (http://www.w3.org/TR/2001/NOTE-wsdl-20010315):
     ・ E0013−WSDL拡張−WSDLは特定の位置に拡張の要素及び属性を入れることを許す。そのよう
        な拡張の使用には別途調整(out-of-band negotiation)が必要である。
     ・ E0014−妥当性検証モード−WSDL及びXML Schema文書を読み込むパーサーがDTDの妥当性
        検証を行うかどうか。
     ・ E0015−外部資源の取り込み−WSDL及びXML Schema文書を読み込むパーサーが外部実体及び
        DTDを取り込むかどうか。
     ・ E0016−相対URI−WSDLは次の相対URIの使い方について適切に規定していない。
        soapbind:body/@namespace,soapbind:address/@location,wsdl:import/@location,
        xsd:schema/@targetNamespace,及びxsd:import/@schemaLocation。その使用については,更に調整
        が必要である(詳細については,XML Baseを参照)。
  RFC2246: The TLS Protocol Version 1.0 (http://www.ietf.org/rfc/rfc2246.txt):
     ・ E0019−TLS暗号化スイート−TLSは任意の暗号化アルゴリズムの使用を許している。
     ・ E0020−TLS拡張−TLSはハンドシェイク段階で拡張を許している。
  SSL Protocol Version 3.0 (http://wp.netscape.com/eng/ssl3/draft302.txt):
     ・ E0021−SSL暗号化スイート−SSLは任意の暗号化アルゴリズムの使用を許している。
  RFC2459: Internet X.509 Public Key Infrastructure Certificate and CRL Profile
(http://www.ietf.org/rfc/rfc2459.txt):
     ・ E0022−認証局−認証局の選択は通信当事者間の個別合意による。
     ・ E0023−証明書拡張−X509は任意の証明書拡張を許している。

――――― [JIS X 7361 pdf 55] ―――――

次のページ PDF 56