第7回　ClickOnceが持つセキュリティ機構とは？：連載　ClickOnceの真実（2/4 ページ）

（2） 信頼された発行元か？

　次にClickOnceアプリが信頼された発行元かをチェックする。信頼された発行元かどうかの判定は、「信頼できる組織が発行したデジタル証明書で、そのClickOnceアプリが署名されているかどうか」によって決まる。信頼できる組織とは、主にVeriSignなどの第三者機関である（証明書による署名について詳しくは後述する）。

　発行元が完全に信頼できる場合、アプリケーションはそのまま実行される。「完全に信頼できる」とは、ユーザーごとにWindowsにより管理されている「信頼されたルート証明機関」と「信頼された発行元」にその証明書が登録（＝インストール）されている状態である（なおVeriSignが発行した証明書はデフォルトで「信頼されたルート証明機関」に登録されているので、実質的には「信頼された発行元」にだけ登録すればよい）。従って、単にClickOnceアプリを証明書で署名しただけでは、そのまま起動されずに、以降のセキュリティ検証処理は行われるので注意してほしい。

　なお、証明書の登録方法については、「ClickOnce! オンライン・デモ ― 警告メッセージを表示せずに直接実行するには？」で説明しているので本稿では割愛する。

（3） ゾーンごとのCAS制限を超えたアクセス許可は要求しないか？

　その次に、ClickOnceアプリが要求する権限（以降、ClickOnceアプリの権限要求）が、ゾーンごとに設定されているコード・アクセス・セキュリティ（以降、CAS）の制限（以降、ゾーンごとのCAS制限）を超えていないかどうかが検証される。

【コラム】コード・アクセス・セキュリティ（CAS）とは？

・インサイド .NET Framework ［改訂版］ コード・アクセス・セキュリティ

　.NET FrameworkのCLR上で動作するアプリケーションは“サンドボックス”（sandbox）内で実行される。サンドボックスとは、すなわち「砂場の中でしか子供を遊ばせない」のと同じように、プログラムの実行を保護された領域内でのみ許可することで、外の世界へ悪影響が及ぶのを防ぐセキュリティ・モデルのことである。

　CASはまさにこのセキュリティ・サンドボックスを実現する機能で、.NET FrameworkのCLRに標準搭載されているものだ。CASのおかげで、.NETアプリケーションが（外部リソースなどを操作する）コードにアクセスする権限（つまりコードの実行権限。以降、アクセス許可）を細かく管理できるようになっている。例えば「自分のプログラムから、レジストリを操作するメソッド（コード）を許可できるようにするか、できないようにするか」というレジストリ操作コードへのアクセス許可を管理できるわけだ。

　.NET FrameworkのCASによるアクセス許可セット（＝アプリケーションが実行できる機能）は、起動元（もしくはダウンロード元）のURLが所属するゾーン（インターネット、イントラネット、ローカル・コンピュータ、信頼済みサイトなど）に基づいて自動的に決定される。例えばClickOnceアプリが、インターネット上から実行／インストールされた場合は「インターネット・ゾーン」、共有フォルダ上から実行／インストールされた場合は「イントラネット・ゾーン」となる。

　実行しているアプリケーションが「ネットワーク上から起動するモード」（以降、オンライン・モード）の場合、もしClickOnceアプリの権限要求がゾーンごとのCAS制限を下回っている（CAS制限の範囲内）なら、何も表示せずにClickOnceアプリが起動される。一方、「ローカル環境へインストールするモード」（以降、インストール・モード）の場合は、そのように下回っているときでも、以降の処理に進むので注意が必要だ。

　なおClickOnceアプリの権限要求には、次の2つのモードが用意されている。

• 完全信頼（Full Trust）
• 部分信頼（Partial Trust）

　完全信頼の場合は（基本的に）すべてのアクセス許可を要求するので、必然的にゾーンごとのCAS制限を超えてしまう。従って、ほぼ必ず次の処理に進むことになる。部分信頼の場合は、ゾーンごとのCAS制限を超えるか下回るかは、権限要求の設定（詳細後述）によって変わってくる。

（4） セキュリティ警告をユーザーに表示。「権限の昇格」が承認されたか？

　検証処理の最後には、「ゾーンごとのCAS制限で認められていない権限を要求するClickOnceアプリを実行してもよいかどうか」をユーザーに問い合わせる、次のようなダイアログが表示される。

アプリケーションの実行をユーザーに問い合わせるダイアログ
［アプリケーションのインストール − セキュリティの警告］ダイアログが表示されているところ。詳しくは「第1回 ClickOnceの基本動作を見てみよう」を参照されたい。

　ここで［インストール］ボタンや［実行］ボタンをクリックすると、そのClickOnceアプリの権限要求を認めることになる。このことを「権限の昇格」と呼ぶ。

　表示される警告メッセージの種類は、

• インストール・モードかオンライン・モードか、
• ClickOnceアプリの権限要求がCAS制限を越えるか以下か、
• ClickOnceアプリを署名している証明書はユーザーのクライアント・コンピュータに登録済みかどうか（厳密にいうと、まずは「信頼されたルート証明機関」、次に「信頼された発行元」に登録されているか）

によって、変わってくる。それをまとめたのが次の表だ。

　この表を見ると分かるように、警告メッセージを表示しないようにするには、（先ほどの証明書のチェックでも述べたように）「信頼されたルート証明機関」と「信頼された発行元」の両方に証明書を登録しなければならない。さらにオンライン・モードのClickOnceアプリでは、ClickOnceの権限要求がゾーンごとのCASの制限を下回っていれば、警告メッセージが表示されない。

　以上が一連のセキュリティの流れだ。このような仕組みによってClickOnceは、信用できないサイト上のハイパーリンクをクリックしてClickOnceアプリを起動しようとした際には、（セキュリティの危険性をユーザーに知らせないまま）そのリンク先のClickOnceアプリが即座に実行されるのをブロックしてくれる（例えば「Yahoo!」と書いたハイパーリンクの先が悪意を持ったアプリケーションに結びつけられたしても直接実行されることはない）。

　次にセキュリティの実践的な内容として、証明書による署名方法とClickOnceの権限要求の設定方法について説明しよう。