このトピックでは、サンプル アーキテクチャの HTTP および SOAP (Web サービス) アダプター シナリオの脅威モデル分析 (TMA) について説明します。 次の図は、HTTP および SOAP アダプターのシナリオのサンプル アーキテクチャを示しています。
図 1 HTTP/SOAP アダプター シナリオのサンプル アーキテクチャ
ステップ 1. 背景情報の収集 (HTTP および SOAP アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャの HTTP および SOAP (Web サービス) アダプター シナリオのデータ フロー図 (DFD) について説明します。
その他の背景情報はすべて、すべての使用シナリオで同じであり、前に 「サンプル シナリオの背景情報」で説明されています。
Data Flow図
次の図は、HTTP および SOAP (Web サービス) アダプターを使用する場合のサンプル アーキテクチャの DFD を示しています。
図 2 HTTP/SOAP アダプター シナリオのサンプル アーキテクチャの DFD
データ フローは次のとおりです。
パートナーまたは顧客は、HTTP、HTTPS、または Web サービスを介してメッセージを送信します。 メッセージはファイアウォール 1 の IP アドレスにルーティングされます。
ファイアウォール 1 は、リバース プロキシを使用してファイアウォール 2 を介してメッセージを中継します。
ファイアウォール 2 は、HTTP または SOAP 受信アダプターの分離ホストのインスタンスを実行する BizTalk Server にメッセージをルーティングします。 分離ホストはメッセージを処理し、メッセージ ボックス データベースに配置します。
メッセージのサブスクリプションを持つ処理ホストのインスタンスは、メッセージ ボックス データベースからメッセージを取得し、追加の処理を行い、メッセージ ボックス データベースにメッセージを戻します。
HTTP または SOAP 送信アダプターを持つ分離ホストのインスタンスが、メッセージ ボックス データベースからメッセージを取得します。 メッセージは送信パイプラインの最終的な処理を経て、パートナーまたは顧客に返送されます。
メッセージはパートナーまたは顧客に送信されると、リバース プロキシを使用してファイアウォール 2 とファイアウォール 1 を経由してルーティングされます。
手順 2. 脅威モデルの作成と分析 (HTTP および SOAP アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャの HTTP および SOAP (Web サービス) アダプター のシナリオで行った TMA の結果を示します。
エントリ ポイント、信頼境界、およびデータフローを識別する - 前の手順 1 で説明した背景情報と サンプル シナリオの背景情報を参照してください。
特定された脅威の一覧を作成する - DFD 内のすべてのエントリに対して次の分類を使用して、シナリオに対する潜在的な脅威を特定しました。 Sなりすまし (識別)、T改ざん、R否認、I情報漏洩、Dサービス拒否、および E権限昇格。 次の表に、HTTP アダプターと SOAP アダプターを使用して BizTalk Server との間でメッセージを送受信するときに特定した脅威の一覧を示します。
表 1 脅威の一覧
| 脅威 | 説明 | 資産 | インパクト |
|---|---|---|---|
| 無限サイズのメッセージを送信する | 悪意のあるユーザーが無限サイズのメッセージを送信する可能性があります。 | BizTalk Server 環境 | サービス拒否 |
| 受信場所に多数のメッセージを送信する | 悪意のあるユーザーは、多数の有効または無効なメッセージを送信し、アプリケーションをあふれさせることができます。 | BizTalk Server 環境 | サービス拒否 |
| HTTP 経由でメッセージ本文を読み取る | 悪意のあるユーザーは、送信者からファイアウォール 1 に移動するときにメッセージを傍受し、メッセージを読み取ることができます。 | メッセージ データ負荷 | 情報の開示 |
| メッセージからユーザー資格情報を読み取る | 基本認証を使用していて、メッセージにユーザー資格情報が含まれている場合、悪意のあるユーザーが資格情報にアクセスし、それらを使用してアプリケーションにアクセスする可能性があります。 | ユーザーの資格情報 | 情報の開示 特権の昇格 |
手順 3. 脅威の確認 (HTTP および SOAP アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャの HTTP および SOAP (Web サービス) アダプター シナリオで特定した脅威に対して行ったリスク分析の結果を示します。 主要な脅威モデル会議の後、脅威をレビューし、各脅威のリスクを特定するために次の影響カテゴリを使用しました: 被害の可能性、再現性、悪用可能性、影響を受けるユーザー、発見のしやすさ。
次の表に、HTTP アダプターと SOAP アダプターを使用して BizTalk Server との間でメッセージを送受信するときに特定した脅威のリスク評価を示します。
表 2 脅威のリスク評価
| 脅威 | インパクト | ダメージの可能性 | 再現性 | 悪用可能性 | 影響を受けるユーザー | 発見可能性 | リスクにさらされる |
|---|---|---|---|---|---|---|---|
| 無限サイズのメッセージを送信する | サービス拒否 | 2 | 3 | 2 | 3 | 2 | 2.4 |
| 受信場所に多数のメッセージを送信する | サービス拒否 | 3 | 3 | 1 | 3 | 3 | 2.6 |
| HTTP 経由でメッセージ本文を読み取る | 情報の開示 | 3 | 3 | 2 | 3 | 3 | 2.8 |
| メッセージからユーザー資格情報を読み取る | 情報の開示 特権の昇格 |
3 | 3 | 2 | 3 | 2 | 2.6 |
手順 4. 軽減手法の識別 (HTTP および SOAP アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャの HTTP および SOAP (Web サービス) アダプター のシナリオで特定した脅威に対して、いくつかの軽減手法について説明します。
次の表に、HTTP アダプターと SOAP アダプターを使用して BizTalk Server との間でメッセージを送受信するときに特定した脅威の軽減手法とテクノロジを示します。
表 3 軽減手法とテクノロジ
| 脅威 | インパクト | リスクにさらされる | 軽減策の手法とテクノロジ |
|---|---|---|---|
| 無限サイズのメッセージを送信する | サービス拒否 | 2.4 | URL あたりの受信メッセージの最大サイズを制限し、その最大値を超えるメッセージを拒否します。 詳細については、「 サービス拒否攻撃の軽減」を参照してください。 |
| 受信場所に多数のメッセージを送信する | サービス拒否 | 2.6 | SOAP アダプターは、HTTP を利用して BizTalk Server との間でメッセージを送受信します。 そのため、インターネット インフォメーション サービス (IIS) をセキュリティで保護するには、セキュリティに関する推奨事項に従う必要があります。 IIS を使用する場合は、アプリケーションの分離を構成する方法に関する IIS の推奨事項に従っていることを確認してください。 詳細については、「 IIS アーキテクチャの概要」を参照してください。 クライアント認証とパーティ解決を使用して、処理されるメッセージの数を有効かつ承認されたメッセージのみに制限します。 |
| HTTP 経由でメッセージ本文を読み取る | 情報の開示 | 2.8 | S/MIME を使用して、BizTalk Server との間で送受信されるメッセージのコンテンツをセキュリティで保護することをお勧めします。 Secure Sockets Layer (SSL) を使用して、BizTalk Server との間、および環境全体に分散された BizTalk Server コンポーネント間のデータ転送をセキュリティで保護することをお勧めします。 |
| メッセージからユーザー資格情報を読み取る | 情報の開示 特権の昇格 |
2.6 | 基本認証を使用する場合、またはメッセージ レベルで暗号化を使用しない場合は、SSL を使用してメッセージを送受信し、承認されていないユーザーがユーザーの資格情報を読み取ることができないようにすることをお勧めします。 |