セキュリティと WAP ゲートウェイ
更新 : 2007 年 11 月
WAP (Wireless Application Protocol) ゲートウェイは、ユーザーの SSL 接続を復号化し、その情報を再度暗号化してモバイル デバイスに送信する、仲介役として機能します。
メモ : |
---|
データ転送チャネルを保護するために、WAP は WTLS (Wireless Transport Layer Security) と呼ばれるプロトコルに依存しています。 |
デスクトップ ブラウザの場合は、SSL/TLS を使用するサイトに接続すると、接続したときに HTTPS サーバーが提示した X.509 証明書のドメインと、URL のドメインの部分が一致しているかどうかが、ブラウザによって自動的に検証されます。暗号化された署名は、主要な証明機関のルート証明書と照らし合わせてチェックされるため、SSL 証明書の改ざんはすぐに発覚します。このようなチェックが行われるため、要求元が正しいホストに接続されることが保証され、仲介役を装った攻撃に対する保護に役立ちます。
多くの WAP ゲートウェイでは、このようなチェックが行われていません。また、行われていたとしても、不適合についての情報がユーザーに知らされることはありません。
携帯電話会社では、ワイヤレス デバイスと基地局の間、および基地局と交換センタを接続するネットワーク間に、何らかのセキュリティ手段を設ける支援を行っています。しかし、電話会社のセキュリティ手段はネットワークまでであり、ワイヤレス デバイスに対するエンドツーエンド、クロスプラットフォームのセキュリティは提供されていません。たとえば、WAP のインターネット アクセスには、モバイル デバイスと WAP ゲートウェイ間の制限された接続を維持する WTLS (Wireless Transport Layer Security) が WAP ゲートウェイと Web サーバー間の SSL 接続に切り替わる点で、潜在的なぜい弱性があります。一部の会社では、ゲートウェイを信頼できるようにする手段として、ゲートウェイのエンタープライズ コントロールへの移行を進めています。
セキュリティの詳細については、Windows Software Development Kit (SDK) ドキュメントの「アプリケーションの保護」および「ASP.NET Web アプリケーションのセキュリティ」を参照してください。
参照
概念
セキュリティで保護されたモバイル Web フォーム ページのデザイン