久しぶりにセキュリティに関するネタを。

最近、XACML（eXtensible Access Control Markup Language）を実装したOSS（Open Source Software）のニュースをよく目にするようになった。
4月にサンフランシスコで開催されたRSA CONFERENCE 2008での"XACML Interop Demo"が関係しているのかもしれない。

XACMLはWebサービスなどでのアクセス制御とそのポリシーに関する標準。（細かいことを書き出すときりがないので、適当にお茶を濁す。）
内部統制・SOX法というものが追い風となって、SOA／Webサービスにおけるアクセス制御が重要になってきていることがあるのだろう。

OASIS、SAML、XACML関連のいくつかのメーリングリストで流れたXACML関連のOSSはこんなにもあるのだ。

• Sun's XACML Implementation
  http://sunxacml.sourceforge.net/

これはXACML OSSではもっとも古株のもの。やはりSunが開発しているということでリファレンスインプリメンテーションのようになっている。

• enterprise-java-xacml - Google Code
  http://code.google.com/p/enterprise-java-xacml/

Sun's XACML Implと比較してあり面白いのだが、拡張性が高そうな構造になっている模様。

• JBoss XACML .. jboss.org: community driven
  http://www.jboss.org/jbosssecurity/download/index.html

JBossが開発しているところがよい。
これはちゃんと業務でも使えそうな品質が期待できる。やはり内部統制に使うのであれば、たとえOSSとしてもしっかりしたものであればならない。

• XACMLight
  http://sourceforge.net/projects/xacmllight/

Axis2.0でPDP、PAPをWebサービスとして動作できるようにしたものらしい。
RSA Conference 2008のXACML 2.0 Confermance Testにもそこそこ合格している模様。