ArcGIS Desktop アドインをデジタル署名すると、アドイン ファイルを公開する場合やユーザー間で共有する場合のセキュリティを高めることができます。デジタル署名されたアドイン ファイルを使用して、ファイルのソースを確認し、元のファイル コンテンツがシグネチャの適用後に修正されていないことを確認できます。ただし、アドイン ファイルにデジタル署名があることは、プログラムにエラーがないことを意味するわけではありません。アドイン ファイルがデジタル署名された後、そのコンテンツを修正したり削除したりすると、どのようなタイプであるかにかかわらず、デジタル署名が破損します。破損したアドイン ファイル署名は、アドイン ファイルをインストールするときや、[アドイン マネージャー] を使用して既存のアドイン ファイルを確認するときに、ユーザー インターフェイスに表示されます。すべてのデジタル署名は、標準の ITU X.509 デジタル証明書にリンクされています。この証明書を使用して、署名プロセスでシグネチャが適用されます。信頼できるシグネチャとは、信頼できる認証機関が発行するデジタル証明書を使用して作成されるシグネチャのことです。Windows オペレーティング システムでは、信頼されたルート証明機関ストア内に、信頼できる証明書のデータベースが維持されます。このストア内に登録されている証明書を確認するには、MMC 証明書スナップインを使用するか、Internet Explorer で [ツール] > [インターネット オプション] > [コンテンツ] の順に選択します。
デジタル証明書の詳細については、「証明書の機能」をご参照ください。
デジタル署名によるアドイン ファイルのインストール
アドイン ファイルのインストールは、適切な既知のフォルダーにコピーすることで実行できますが、事前にファイルのソースとコンテンツを確認せずにこれを実行することはお勧めしません。Web ブラウザー、電子メール クライアント、または Windows エクスプローラーからアドイン ファイル リンクをダブルクリックすると、以下に示すように、[Esri ArcGIS Add-In Installation Utility] ダイアログ ボックスが自動的に開きます。
このダイアログ ボックスには、アドインの名前、日付、作成者、バージョン、説明など、関連するアドイン情報が表示されます。アドイン ファイルがデジタル署名されている場合は、シグネチャ情報もこのダイアログ ボックスに表示されます。表示された情報が不十分な場合、ユーザーはインストール プロセスをキャンセルすることができ、アドイン ファイルはインストールされません。
オーサリング組織の内部ポリシーに応じて、アドイン ファイルは複数のデジタル署名で署名することができます。[Esri ArcGIS Add-In Installation Utility] ダイアログ ボックスのデジタル署名の領域に、選択したシグネチャの署名者、日付スタンプ、有効性が表示され、関連付けられた証明書のソースが信頼できるかどうかという情報も表示されます。選択したシグネチャの証明書の詳細を表示するには、[証明書の表示] ボタンをクリックします。
安全なアドイン ファイルには、有効でかつ信頼できるデジタル署名が少なくとも 1 つは必要です。無効なシグネチャとは、シグネチャの適用後に、何らかの方法でアドイン ファイルのコンテンツが変更されたものを指します。
ArcGIS Desktop アドインのセキュリティ ポリシーの管理
[アドイン マネージャー] ダイアログ ボックス (各デスクトップ アプリケーションの [カスタマイズ] メニューからアクセス可能) に、お使いのコンピューターに現在インストールされているすべてのアドイン ファイルのリストが表示されます。
デジタル署名のステータスは、他のアドイン ファイル情報とともに、次のスクリーン キャプチャに示された領域に表示されます。
シグネチャのステータスは、以下の表に示したように決定されます。
ステータス | 説明 |
---|---|
なし | 選択されたアドイン ファイルにはデジタル署名がありません。 |
信頼できない | アドイン ファイルに適用されたデジタル署名のソースは信頼できません。 |
無効 | アドイン ファイルのコンテンツが変更されたため、デジタル署名が無効になっているか、または証明書の有効期限が切れています。 |
認証済み | ファイルは、有効でかつソースが信頼できるシグネチャによってデジタル署名されています。 |
[アドイン マネージャー] ダイアログ ボックスの [オプション] タブで、アドイン ファイルのセキュリティの操作方法に関するオプションを表示して変更することができます。以下に示すとおり、オプションには、最大から最小までのセキュリティ レベルがあります。
- Esri が発行するアドインのみを読み込んで使用します。すなわち、このアプリケーション内のカスタム アドイン ファイルの読み込みも実行もしません。
- 信頼できる認証機関によるデジタル署名のあるアドインのみを読み込んで使用します。
- デジタル署名の有無にかかわらず、すべてのアドインを読み込みます。
アドイン ファイルへのデジタル署名の適用
Python アドイン ウィザードのダウンロードに付属している ESRISignAddIn.exe ユーティリティを使用して、ArcGIS Desktop アドインに署名することができます。
このユーティリティを使用するには、ArcGIS のインストール先の場所にある bin フォルダーにこのユーティリティをコピーする必要があります。また、パブリック暗号キーとプライベート暗号キーの両方を含む ITU X.509 証明書も必要です。デジタル証明書は、組織内の認証機関、または VeriSign や Thawte などの公的認証機関が発行できます。入力アドイン ファイルを選択すると、署名に使用できる証明書のリストが表示されます。有効な証明書を選択すると、アドイン ファイルが署名され出力されて、元のファイルが上書きされるかまたは新しいファイル名が割り当てられます。このユーティリティを使用して、既存のデジタル署名を表示したり削除したりすることもできます。
技術情報
アドイン ファイルは、さまざまなファイルとサブフォルダーが格納されている圧縮済みアーカイブ ファイル (*.zip) であり、ECMA Open Packaging Conventions に準拠します。デジタル署名の形式は、W3C XML Digital Signature Standard (XMLDsig) に準拠します。