サンプル TMA: HTTP アダプターと SOAP アダプター
このトピックでは、サンプル アーキテクチャの HTTP アダプターと SOAP (Web サービス) アダプター シナリオ向けの脅威モデル分析 (TMA) について説明します。 次の図は、HTTP アダプタと SOAP アダプタ シナリオのサンプル アーキテクチャを示しています。
図 1. HTTP/SOAP アダプタ シナリオのサンプル アーキテクチャ
手順 1. 背景情報の収集 (HTTP および SOAP アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャの HTTP アダプタと SOAP (Web サービス) アダプタ シナリオ向けのデータ フロー ダイアグラム (DFD) について説明します。
その他の背景情報はすべて、すべての使用シナリオで同じであり、前に「 サンプル シナリオの背景情報」で説明されています。
データ フロー図
次の図は、HTTP アダプタと SOAP (Web サービス) アダプタを使用する際の、サンプル アーキテクチャの DFD を示しています。
図 2. HTTP/SOAP アダプタ シナリオ向けサンプル アーキテクチャの DFD
データ フローは次のとおりです。
パートナーや顧客が HTTP、HTTPS、または Web サービスを経由してメッセージを送信します。 メッセージはファイアウォール 1 の IP アドレスにルーティングされます。
ファイアウォール 1 がリバース プロキシを使用してファイアウォール 2 経由でメッセージを中継します。
ファイアウォール 2 から HTTP 受信アダプタまたは SOAP 受信アダプタの分離ホストのインスタンスが実行されている BizTalk Server にメッセージがルーティングされます。 分離ホストがメッセージを処理し、メッセージをメッセージ ボックス データベースに格納します。
メッセージへのサブスクリプションが含まれた処理ホストのインスタンスが、メッセージ ボックス データベースからそのメッセージを取得し、追加処理を行い、メッセージ ボックス データベースにメッセージを戻します。
HTTP 送信アダプタまたは SOAP 送信アダプタが含まれた分離ホストのインスタンスが、メッセージ ボックス データベースからメッセージを取得します。 メッセージは、送信パイプラインでの最終処理を完了してから、パートナーまたは顧客に送信されます。
メッセージは、パートナーや顧客に送信されると、ファイアウォール 2 経由とリバース プロキシを使用したファイアウォール 1 経由でルーティングされます。
手順 2. 脅威モデルの作成と分析 (HTTP および SOAP アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャの HTTP アダプタと SOAP (Web サービス) アダプタ シナリオに対して実行した TMA の結果を示します。
エントリ ポイント、信頼境界、およびデータフローを特定する - 前の手順 1 で説明した背景情報と サンプル シナリオの背景情報を参照してください。
特定された脅威の一覧を作成する - DFD 内のすべてのエントリに対して次の分類を使用して、シナリオに対する潜在的な脅威を特定しました。 Spoofing identify、 Tampering with data、 Repudiation、 Information disclosure、 Denial of service、 Elevation of privileges。 次の表は、HTTP アダプタと SOAP アダプタを使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威を示しています。
表 1. 脅威の一覧
| Threat | [説明] | Asset | 影響 |
|---|---|---|---|
| 非常に大きなサイズのメッセージが送信される | 悪意のあるユーザーが、非常に大きなサイズのメッセージを送信することがあります。 | BizTalk Server 環境 | サービス拒否 |
| 受信場所に大量のメッセージが送信される | 悪意のあるユーザーが、メッセージが有効であるか無効であるかに関係なくアプリケーションで受け取れないほど大量のメッセージを送信することがあります。 | BizTalk Server 環境 | サービス拒否 |
| HTTP 経由でメッセージ本文が読み取られる | 悪意のあるユーザーが、送信者からファイアウォール 1 に移動中のメッセージを傍受し、そのメッセージを読み取ることがあります。 | メッセージ ペイロード | 情報漏えい |
| メッセージからユーザーの資格情報が読み取られる | 基本認証を使用していて、メッセージにユーザーの資格情報が含まれている場合、悪意のあるユーザーが資格情報へのアクセス権を取得し、その資格情報を使用してアプリケーションにアクセスすることがあります。 | ユーザーの資格情報 | 情報漏えい 権限の昇格 |
手順 3. 脅威の確認 (HTTP および SOAP アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャの HTTP アダプタと SOAP (Web サービス) アダプタ シナリオで特定された脅威に対して実行したリスク分析の結果を示します。 メイン脅威モデル会議の後、脅威を確認し、各脅威のリスクを特定するために次の影響カテゴリを使用しました:Damage potential、Reproducibility、Exploitability、Affected users、Discoverability。
次の表は、HTTP アダプタと SOAP アダプタを使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威のリスクの度合いを示しています。
表 2. 脅威のリスクの度合い
| 脅威 | 影響 | 潜在的な損害 | 再現性 | 悪用性 | 影響を受けたユーザー | Discoverability (探索可能性) | リスクの度合い |
|---|---|---|---|---|---|---|---|
| 非常に大きなサイズのメッセージが送信される | Denial of service (サービス拒否) | 2 | 3 | 2 | 3 | 2 | 2.4 |
| 受信場所に大量のメッセージが送信される | サービス拒否 | 3 | 3 | 1 | 3 | 3 | 2.6 |
| HTTP 経由でメッセージ本文が読み取られる | 情報漏えい | 3 | 3 | 2 | 3 | 3 | 2.8 |
| メッセージからユーザーの資格情報が読み取られる | 情報漏えい 権限の昇格 |
3 | 3 | 2 | 3 | 2 | 2.6 |
手順 4. 軽減策の特定 (HTTP および SOAP アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャの HTTP アダプタと SOAP (Web サービス) アダプタ シナリオで特定された脅威を緩和する方法について説明します。
次の表は、HTTP アダプタと SOAP アダプタを使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威の緩和方法とテクノロジを示しています。
表 3. 緩和方法とテクノロジ
| 脅威 | 影響 | リスクの度合い | 緩和方法とテクノロジ |
|---|---|---|---|
| 非常に大きなサイズのメッセージが送信される | サービス拒否 | 2.4 | URL ごとに着信メッセージの最大サイズを制限し、指定した最大値を超えるメッセージを拒否します。 詳細については、「 サービス拒否攻撃の軽減」を参照してください。 |
| 受信場所に大量のメッセージが送信される | サービス拒否 | 2.6 | SOAP アダプタは HTTP を使用して BizTalk Server との間でメッセージを送受信します。 そのため、セキュリティに関する推奨事項に従い、インターネット インフォメーション サービス (IIS) をセキュリティで保護する必要があります。 IIS を使用している場合は、アプリケーション分離を構成する方法について IIS の推奨事項に従ってください。 詳細については、「 IIS アーキテクチャの概要」を参照してください。 クライアント認証とパーティの解決を使用して、処理対象メッセージの数を有効かつ認証されたメッセージのみに制限します。 |
| HTTP 経由でメッセージ本文が読み取られる | 情報漏えい | 2.8 | S/MIME を使用して、BizTalk Server との間で送信されるメッセージのコンテンツをセキュリティで保護することをお勧めします。 Secure Sockets Layer (SSL) を使用して、BizTalk Server との間および環境に分散された BizTalk Server コンポーネント間でのデータの移動をセキュリティで保護することをお勧めします。 |
| メッセージからユーザーの資格情報が読み取られる | 情報漏えい 権限の昇格 |
2.6 | 基本認証を使用する場合、またはメッセージ レベルでの暗号化を使用しない場合、SSL を使用してメッセージを送受信し、未認証のユーザーがユーザーの資格情報を読み取ることができないようにすることをお勧めします。 |