米共通役務庁と IT 企業、『SAML』の安全性と利便性をアピール

この記事のURLhttp://japan.internet.com/busnews/20040227/12.html

米連邦政府がデジタル証明書およびオンライン事務処理の導入期限に向けて準備を進めている中、政府機関と IT 企業のグループが25日、Web サービス仕様がいかに安全かつ魅力的なものかをアピールした。

これは、Sun Microsystems および HP などの IT 企業11社が、米共通役務庁 (GSA) の電子政府/電子認証に関する取り組み『E-Gov E-Authentication Initiative』に協力して行なったデモンストレーション。『SAML』(セキュリティー表明マークアップ言語) と権限情報の相互運用性について紹介した。SAML は、標準化団体の OASIS (Organization for the Advancement of Structured Information Standards) が認可した仕様。

GSA と11社のグループは、政府機関あるいは企業のポータル、および典型的なコンテンツプロバイダやサービスプロバイダのサイト間のやりとりを、SAML を使ってシミュレーションし、SAML バージョン 1.1 が持つ2種のシングルサインオン機能を両方用いると、相互運用性もセキュリティ確保も可能であることを3通りのシナリオで示した。

SAML (「サムエル」と発音) は、インターネット上で送信される通信の安全性確保を支援する仕様。認証/権限/否認防止に関する情報交換のための仕組みを定義していることから、非常に重要な Web サービスのセキュリティ要素であり、Web サービスにおけるシングルサインオン機能を可能にするための鍵を握っている。

米国では、多くの連邦政府関連サービスがオンラインで利用できる。しかし、実際には市民や企業が政府機関とオンライン手続きを行なうには多くの場合、事前に何らかの形の身分証明が必要だ。だが、さまざまな連邦政府機関がそれぞれの電子認証システムを開発するには、3ないし5年の年月が必要と見られている。異なる政府機関がそれぞれに独自システム ── 相互運用性がない ── を開発しようとすれば、何百万ドルもの浪費になる。また、米国民が政府機関のオンラインサービスを歓迎する傾向が強まる一方で、インターネットを介したやり取りによってプライバシーが侵害されるのではないかと懸念する声も少なくない。