コード署名でソフトウェアの信頼性とブランドイメージを向上
課題 :ソフトウェアセキュリティ
導入の背景・目的・課題
老舗電機メーカーQ社は、創業時からプリンターや複合機等の開発や製造、販売、関連サービスの提供を行っており、近年では、テレワーク需要から小型スキャナーの販売が好調で、利用者の紙文書のデジタル化に貢献しています。Q社のスキャナーは利用者がスキャナードライバーをPCにインストールすることで、スキャンした原稿の読み取り設定を変更したり、スキャンしたファイルを管理・編集・検索することができます。スキャナードライバーは、Q社の製品ページからインターネット経由でダウンロードできますが、インストール時に「Microsoftのデジタル署名がありません」という警告が表示されていました。
Q社ではそのまま続行してもインストール後の動作には問題ないことを伝え、これまでは運用していましたが、インストール時の警告に不安を感じた顧客から問い合わせがあることもありました。また、なりすましサイトで偽物のソフトウェアを配布されるリスクや、正規版ソフトウェアにマルウェアが混入した事件などもあったことから、ブランドイメージを守りながらも、利用者が安心してダウンロードできるようにと開発部のS氏は以下3つの対策を行うことになりました。
- なりすましによる不正配布の可能性
- ソフトウェアの改ざんが行なわれている可能性
- Microsoft SmartScreenからの警告表示やブロック
導入までの経緯
S氏は情報収集を進めた結果、なりすまし防止や改ざん検知には、正規の発行元から提供されていることを証明するコード署名が必要だということがわかりました。またコード署名には種類があり、Microsoft SmartScreenの警告を回避するためにはEVコードサイニング証明書でないと対応できないこともわかりました。そこで、EVコードサイニング証明書の取り扱いのある3社を比較検討することにしました。
コストのことだけを考えると一番低価格のものでよいと思われましたが、グローバルサインに見積りも兼ねて問い合わせをした際、不明点を電話にて丁寧に回答してもらえたことや、署名方法などの手順がサイトでわかりやく説明されていることに好感を持ち、導入サポートも充実していると感じました。価格も3社で2番目に低価格だったことから、総合的に判断しグローバルサインのEVコードサイニング証明書を導入することにしました。
導入して良かった点・効果
グローバルサインのサポートページにて設定マニュアルがあるので、トークンドライバーのインストール方法や証明書の取得方法の案内など、導入から署名までスムーズに進めることができました。
導入後S氏は、「コード署名したことで、弊社が提供するソフトウェアが信頼できるものだと証明することができ、お客様からの警告に関する問い合わせもなくなったので、サポートの負担も軽減されました。ソフトウェアの安全性をアピールできるようになったので、販売においてもブランドイメージのアップになりました。IoTの発展でセキュリティ対策は今後さらに重要になっていくので、メーカーは組み込み機器だけでなく、インストールされるお客様のソフトウェアのセキュリティも一緒に考えていく必要がありますね。」とおっしゃっていました。
Q社は今後もプリンターや複合機の製造に併せて配布するソフトウェア全てにコード署名を付与し、ソフトウェアの信頼性向上にさらに力をいれていくそうです。
関連するサービス
