Windows11では、新たなセキュリティ機能として Smart App Controlが導入されました。この機能により、出所が不明、または信頼性を評価できないアプリケーションは、実行が強制的に制限される場合があります。 今回は、ユーザが入手したソフトウェアがSmart App Controlにより実行制限の対象となったケースについて、コードサイニング証明書の導入によって改善した事例をご紹介します。
発生した問題
今回ご相談いただいたのは、BtoC向けソフトウェアの開発・提供を行う企業様です。自社で開発したWindows向けアプリケーションをユーザへ配布した際、ユーザのPCにおいて、アプリケーションの実行がブロックされるという問題が発生しました。
調査の結果、Windows11のSmart App Controlによる制御が原因であることが判明しました。
Smart App ControlとSmartScreenの違い
まず、背景としてSmart App Controlを理解するために、従来のSmartScreenとの違いを整理します。Windowsには、アプリケーションの安全性を評価する仕組みとして、主に次の2つの機能があります。
| 機能 | SmartScreen | Smart App Control |
|---|---|---|
| 提供時期 | Microsoftが長年提供している保護機能 | Windows11で新たに導入 |
| 評価方式 | レピュテーション(評価)ベース。ダウンロード数や配布実績などが評価に影響 | Microsoftのクラウドベースの評価+信頼された認証局による署名確認 |
| ユーザー判断 | 警告を表示し、最終的な実行判断はユーザーに委ねられる | 実行時にユーザへ判断を求める画面は表示されない(自動ブロック) |
| 未署名アプリ | 警告表示あり | 評価できないアプリ・未署名アプリ・信頼されないアプリは自動的にブロック |
ポイント
Smart App Controlは、評価できないアプリケーション・未署名のアプリケーション・信頼されないアプリケーションを自動的にブロックします。実行時にユーザへ判断を求める画面は表示されません。
※なお、企業の管理下にある端末(Intune や Active Directory などで管理されている PC)では、Smart App Controlは対象外となる場合があります。
企業向けのアプリケーション実行制御には、Windows Defender Application Control(WDAC)が用いられます。
Smart App Controlの有効・無効について
続いて、Smart App Controlの基本的な仕様について補足します。
Smart App Controlは、Windows11から組み込まれた機能です。初期状態では「評価モード」として動作し、実際にはアプリをブロックせず、利用されているアプリケーションの傾向をもとに、Smart App Controlを有効化しても問題が生じにくいと判断された場合のみ、自動的に有効化されます。
重要な仕様
Smart App Controlはセキュリティ設計上、後から有効化・再有効化することや、アプリケーション単位で例外的に実行を許可する運用を想定していない機能のため、管理者であっても有効・無効の切り替えは一度しか行えない仕様となっています。2026年4月時点ではSmart App ControlのON/OFFを切り替える更新パッチの提供待ちの状況です。
このように、Smart App Controlが有効な環境では、未署名のアプリケーションは問答無用でブロックされてしまいます。では、どのように対処すればよいのでしょうか。お客様が取り組まれた解決策をご紹介します。
お客様の声
ここからは、実際にコードサイニング証明書を導入されたお客様のコメントをご紹介します。
「最初は原因が分からず困っていました」
当社では、BtoC向けのWindowsアプリケーションを開発し、お客様へ配布しています。ある時期から、「アプリケーションを実行しようとすると強制的にブロックされる」といった問い合わせが増えてきました。調査の結果、Smart App Controlが関係していることが分かりました。
「生成AIで調べたところ、コード署名の必要性が分かりました」
社内で調査する中で、生成AIや技術記事などを参考にしました。その中で、「コード署名がないアプリケーションは信頼できないプログラムとして扱われる可能性がある」という情報を見つけました。そこで、コードサイニング証明書について詳しく知るため、認証局に問い合わせることにしました。
「仕組みを丁寧に説明してもらえたのが印象的でした」
GMOグローバルサインに問い合わせたところ、営業担当の方が非常に丁寧に説明してくださいました。特に、SmartScreenとSmart App Controlの違い・コードサイニング証明書とEVコードサイニング証明書の違い・レピュテーションの仕組みなどを分かりやすく説明していただきました。EVコードサイニング証明書だから必ず警告が表示されなくなるわけではない、という点も含めて正直に説明してもらえたことで、安心感を持つことができました。
「EVコードサイニング証明書は、配布先への信頼性アピールになると感じました」
EVコードサイニング証明書は、デベロッパーツールでの署名に利用できる点だけでなく、企業実在確認などの審査が非常に厳格に行われている点に価値があると感じました。GMOグローバルサインの営業担当の方が、「厳格な審査をクリアした信頼性の高い開発元がそのソフトウェアを開発したことを、配布先のお客様に対して示せることは、セキュリティ面でのアピールとお客様の安心感につながります」と話してくれたことが印象に残っています。
「国内サポートの安心感が決め手でした」
最終的にGMOグローバルサインを選んだ理由は、国内に本社があること、日本語でサポートが受けられること、サポートの評判が高いことです。技術的な質問にも丁寧に回答していただけたので、安心して導入を進めることができました。
「アプリケーション配布時のコード署名が必須の運用になりました」
導入を進める中で、Smart App Controlが有効な環境では、未署名のアプリケーションは実行許可の評価プロセスに進むことができず、強制的にブロックされる仕組みであることが分かりました。そのため、アプリケーション配布時には、あらかじめコード署名を行うことが前提となり、現在ではコード署名を必須とした運用に切り替えています。
まとめ
今回の事例のように、Windows11の普及に伴い、Smart App Controlによるアプリケーション実行制御に関するご相談が増えています。ソフトウェアを配布する企業様にとって、コードサイニング証明書による署名は重要な対策の一つとなります。
この記事のポイント
- Windows11のSmart App Controlの有効下では、未署名・信頼されないアプリを自動でブロックする
- コードサイニング証明書の導入により、実行可否の評価プロセスに進めるようになる
- EVコードサイニング証明書は審査が厳格で信頼性が高いが、Smart App Controlの挙動に公式な差はない
- アプリケーション配布においてコード署名は前提条件となりつつある
※本事例は、実際のご相談内容を元に、内容を整理・再構成したものです。
関連サービス・情報
トピック関連記事
この記事を書きました
グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。
