COM+SOAPサービスのセキュリティに関する考慮事項

  • [アーティクル]

COM+SOAPサービスは、セキュリティのためにIIS Webサーバーに依存します。 クライアントアクティブ化オブジェクトモード、であっても、COM+ RPCはクライアントIDを送信しないため、DCOMが提供するロールベースのセキュリティやその他のセキュリティ機能を利用できません。 XML webサービスとの間で送受信されるデータのプライバシーを保護する場合、またはXML webサービスを承認されていないアクセスから保護する場合は、クライアントのIPアドレスに基づいてXML webサービスへのアクセスを制限するようにIISを構成するか、クライアントにデジタル証明書を提示してIDを確認するように要求することができます。 アクセスを制限しない場合、webサーバーと通信できるすべてのクライアントがXML webサービスにアクセスできます。

公開キー暗号化SSLまたはTLSプロトコルを使用して、クライアントとのXML webサービス通信を暗号化するようにIISを構成できます。 SOAP通信を暗号化しない場合、クライアントとサーバーの間で交換されるデータは、SOAP通信が移動する任意のネットワークにアクセスできる第三者によって監視される可能性があります。ネットワークトポロジによっては、小規模なLANである場合もあれば、インターネットである場合もあります。

既定では、暗号化されていないSOAP通信はHTTPポート (80) で受信され、暗号化されたSOAP通信はHTTPSポート (443) で受信されます。 クライアントがXML Webサービスに正常にアクセスするには、TCP SYNパケットが適切なサーバーポートに到達できるように、クライアントとサーバーの間のファイアウォールを構成する必要があります。 逆に、XML Webサービスへのアクセスを制限するために、ファイアウォール管理者はこれらのポートを閉じることを選択できます。

XML Webサービスとして公開されるCOMコンポーネントの既定のセキュリティ設定は、Microsoft.NET Frameworkのバージョンによって異なります。NET Frameworkがインストールされている必要があります。 バージョン1.0がインストールされている場合、XML Webサービスは既定でセキュリティで保護されていません。すべての呼び出しが受け入れられ、暗号化は使用されません。 バージョン1.1以降がインストールされている場合、XML Webサービスは既定でセキュリティで保護されています。呼び出し元は認証される必要があり、暗号化が必要です。

セキュリティで保護されたXML Webサービスは、WSDL経由のWKOアクセスをサポートしていません。 代わりに、.NET Frameworkバージョン1.1をインストールしたクライアントはCAOモードで呼び出すことができます。 サードパーティのクライアントがWSDL経由でXML Webサービスにアクセスする必要がある場合は、匿名アクセスを許可する必要があります。

XML webサービスとして公開されているCOMコンポーネントは、既定では匿名ユーザーのアクセス許可で実行されます(呼び出し元のアクセス許可ではありません)。 XML webサービスを別のユーザーとして実行するようにIISを構成できます。これは、匿名ユーザーがアクセスできないファイルやその他のリソースをコンポーネントが使用するために必要になる場合があります。 ただし、悪意のある呼び出し元が引き起こす可能性のある損害を制限するために、常に最小限の特権でコンポーネントを実行するようにしてください。

メモ

XML webサービスを介して公開したメソッドは、悪意のある呼び出し元に公開される可能性があるため、常に依存する入力パラメーターを検証する必要があります。

 

特定のXML Webサービスのセキュリティ設定を構成する方法の詳細な手順については、XML Webサービスのセキュリティ保護に関する記事を参照してください。

セキュリティで保護されたSOAPアプリケーションをセキュリティで保護されていないSOAPアプリケーションに変換するには

  1. インターネットインフォメーションサービス (IIS) 管理ツールを開きます。
  2. アプリケーションの仮想ディレクトリを見つけて、[プロパティ]ダイアログ ボックスを開きます。
  3. [ドキュメント]タブの[デフォルトコンテンツページを有効にする]にチェックを付けます。
  4. [ディレクトリセキュリティ]タブで、[匿名アクセスおよび認証コントロール]の[編集]をクリックします。
  5. [匿名アクセス]にチェックを付けて匿名アクセスを有効にして、[OK]をクリックします。
  6. [通信のセキュリティ保護]の[編集]をクリックします。
  7. [セキュリティで保護されたチャネル(SSL)を要求する]のチェックを解除します。

COM+SOAPサービスの概要