高木浩光@自宅の日記の記事「日本の恥:アップデートプログラムに電子署名しない日本のパソコンメーカーたち」によれば、日本のパソコンベンダーの多くが自社で提供するアップデートの類に電子署名を行っていないようです。言うまでもなく、電子署名を行っていないアップデートはその真正性を担保することが出来ないため偽のアップデートにすりかえられる懸念が常にあります。いわゆる外資系に分類されないベンダーで電子署名を入れているのはソニーのう一社のみで残る、富士通・日立・東芝・NEC・松下電器・シャープ・エプソンダイレクトは全滅です。Lenovo (IBM)、Dell、HPといったいわゆる外資系は電子署名があったようです。高木氏の記事では触れていなかったのでゲートウェイのサイトにあったGXシリーズ用のモデムドライバの入ったアーカイブPCI_SoftV92_7_12_09_00.exeを取得し調べてみたところ電子署名は見当たりませんでした。
高木氏の記事にあるとおり、日本政府は「政府機関の情報セキュリティ対策のための統一基準」で、「電子署名により当該ソフトウェアの配布元を確認すること」としています。従って、現状ではソニー以外の国内ベンダのパソコンは統一基準に抵触し購入した場合、政府機関ではオンラインアップデートが困難になります。これは日本の同氏の言うとおり恥以外の何者でもなく、有害無益です。本来、VPNのような信頼性が担保できるネットワーク以外で無署名のネイティブ実行ファイルを配布すること自体がセキュリティ上のリスクです。勿論、私的にソフトウェアを作る私のようなオンラインソフトウェアの作者などはいかんともしがたい状況もある。しかしながら、企業という電子署名をいくらでもつけられるはずの事業体がその責任を全うしないのは正当化する理由が思いつかないです。
コメントする