デジタル署名アドイン
ArcGIS for Desktop アドインをデジタル署名することによって、アドイン ファイルを公開する場合やユーザ間で共有する場合のセキュリティを高めることができます。デジタル署名されたアドイン ファイルを使用して、ファイルのソースを確認し、元のファイル コンテンツがシグネチャの適用後に修正されていないことを確認できます。ただし、アドイン ファイルにデジタル署名があることは、プログラムにエラーがないことを意味するわけではありません。アドイン ファイルがデジタル署名された後、そのコンテンツを修正したり削除したりすると、どんなタイプであるかにかかわらず、デジタル署名が破損します。破損したアドイン ファイル署名は、アドイン ファイルをインストールするときや、[アドイン マネージャ] を使用して既存のアドイン ファイルを確認するときに、ユーザ インタフェースに表示されます。すべてのデジタル署名は、標準の ITU X.509 デジタル証明書にリンクされています。この証明書を使用して、署名プロセスでシグネチャが適用されます。信頼できるシグネチャとは、信頼できる認証機関が発行するデジタル証明書を使用して作成されるシグネチャのことです。Windows オペレーティング システムでは、信頼されたルート証明機関ストア内に、信頼できる証明書のデータベースが維持されます。このストア内に登録されている証明書を調べるには、MMC の証明書スナップインを使用するか、または Internet Explorer の [ツール] → [インターネット オプション] → [コンテンツ] の順にクリックします。
デジタル証明書の詳細については、「証明書の機能」をご参照ください。
デジタル署名によるアドイン ファイルのインストール
アドイン ファイルのインストールは、適切な既知のフォルダにコピーすることで実行できますが、事前にファイルのソースとコンテンツを確認せずにこれを実行することはお勧めしません。Web ブラウザ、電子メール クライアント、または Windows エクスプローラからアドイン ファイル リンクをダブルクリックすると、以下に示すように、[Esri ArcGIS Add-In Installation Utility] ダイアログ ボックスが自動的に開きます。
このダイアログ ボックスには、アドインの名前、日付、作者、バージョン、説明などといった関連するアドイン情報が表示されます。アドイン ファイルがデジタル署名されている場合は、シグネチャに関する情報もこのダイアログ ボックスに表示されます。表示された情報が不十分な場合、ユーザはインストール プロセスをキャンセルすることができ、アドイン ファイルはインストールされません。
オーサリング組織の内部ポリシーに応じて、アドイン ファイルは複数のデジタル署名で署名することができます。[Esri ArcGIS Add-In Installation Utility] ダイアログ ボックスのデジタル署名の領域に、選択したシグネチャの署名者、日付スタンプ、有効性が表示され、関連付けられた証明書のソースが信頼できるかどうかという情報も表示されます。選択したシグネチャの証明書の詳細を表示するには、[Show Certificate] ボタンをクリックします。
安全なアドイン ファイルには、有効でかつ信頼できるデジタル署名が少なくとも 1 つは必要です。無効なシグネチャとは、シグネチャの適用後に、何らかの方法でアドイン ファイルのコンテンツが変更されたものを指します。
ArcGIS for Desktop アドインのセキュリティ ポリシーの管理
[アドイン マネージャ] ダイアログ ボックス(各デスクトップ アプリケーションの [カスタマイズ] メニューからアクセス可能)に、お使いのコンピュータに現在インストールされているすべてのアドイン ファイルのリストが表示されます。
デジタル署名のステータスは、他のアドイン ファイル情報とともに、以下のスクリーン キャプチャに示された領域に表示されます。
シグネチャのステータスは、以下の表に示したように決定されます。
ステータス | 説明 |
|---|---|
なし | 選択されたアドイン ファイルにはデジタル署名がありません。 |
信頼できない | アドイン ファイルに適用されたデジタル署名のソースは信頼できません。 |
無効 | アドイン ファイルのコンテンツが変更されたため、デジタル署名が無効になっているか、または証明書の有効期限が切れています。 |
認証済み | ファイルは、有効でかつソースが信頼できるシグネチャによってデジタル署名されています。 |
[アドイン マネージャ] ダイアログ ボックスの [オプション] タブで、アドイン ファイルのセキュリティの操作方法に関するオプションを表示して変更することができます。以下に示すとおり、オプションには、最大から最小までのセキュリティ レベルがあります。
- Esri が発行するアドインのみを読み込んで使用します。すなわち、このアプリケーション内のカスタム アドイン ファイルの読み込みも実行もしません。
- 信頼できる認証機関によるデジタル署名のあるアドインのみを読み込んで使用します。
- デジタル署名の有無にかかわらず、すべてのアドインを読み込みます。
注意:管理者権限のないユーザは、管理者がすでにコンピュータに設定したセキュリティ レベルを低くすることはできません。管理者以外のユーザが使用できないオプションは、このタブでは使用できないようになっています。
アドイン ファイルへのデジタル署名の適用
Python アドイン ウィザードのダウンロードによって提供される ESRISignAddIn.exe ユーティリティを使用して、ArcGIS for Desktop アドインを署名できます。
このユーティリティを使用するには、ArcGIS インストールの場所内にある bin フォルダにこれをコピーする必要があります。また、パブリック暗号キーとプライベート暗号キーの両方を含む ITU X.509 の証明書が必要です。デジタル証明書は、組織内の認証機関、または VeriSign や Thawte などの公的認証機関が発行できます。入力アドイン ファイルを選択すると、署名に使用できる証明書のリストが表示されます。有効な証明書を選択すると、アドイン ファイルが署名され出力されて、元のファイルが上書きされるかまたは新しいファイル名が割り当てられます。このユーティリティを使用して、既存のデジタル署名を表示したり削除したりすることもできます。
技術情報
アドイン ファイルは、さまざまなファイルとサブフォルダを格納する圧縮されたアーカイブ(*.zip)ファイルで、ECMA Open Packaging Conventions に準拠します。デジタル署名の形式は、W3C XML Digital Signature Standard(XMLDsig)に準拠します。詳細については、以下のリンクをご参照ください。