OASIS が Web セキュリティ新言語の策定を計画

XML 相互運用性の標準化団体 Organization for the Advancement of Structured Information Standards (OASIS) は14日、オンラインの脆弱性対策として、Web サービスの安全性を高める新しいコンピュータ言語を策定する計画を発表した。

OASIS は5月にも新言語『Application Vulnerability Description Language』(AVDL) の仕様の規定に取りかかる計画だと述べた。AVDL は XML 言語に基づいた技術で、アプリケーションに存在するセキュリティホールの発見、攻撃の防御、修正、レポートを行なう製品間の通信を可能にするものだという。

企業向けの製品としては、アプリケーションの脆弱性を発見し、アプリケーションレイヤーでの攻撃を防御し、脆弱性のある Web サイトを修正し、またパッチの配布やセキュリティイベントの管理を支援するものがすでにいくつか出回ってはいる。しかし、そうした製品が互いにやりとりする統一的な手段がまだなく、そのため現実的なリスク管理は手作業に依存する度合が高く、また作業が複雑になっている場合が多いと OASIS は言う。

SPI Dynamics の副社長で、OASIS の AVDL Technical Committee (ANDL 技術委員会) 委員長の1人を務める Kevin Heineman 氏は、声明の中で次のように述べた。「AVDL の目標は、アプリケーションセキュリティの脆弱性、ポリシー、イベントに関する情報をやりとりする統一的手段を XML で提供し、アプリケーションセキュリティにかかわる作業全体を管理しやすく簡素化することだ」

AVDL Technical Committee の発足メンバーと OASIS は、公開メーリングリストを設置して広く一般のコメントを求めるという。同委員会では今年5月15日に最初の会合を開き、第3四半期には AVDL の最初の仕様案を公開して意見を募り、第4四半期には AVDL 1.0 仕様の正式版を発表する予定だ。なお、サンフランシスコで開催中の RSA Security Conference 会議で、同委員会から16日にさらに詳しいコメントが出るものと見られる。