時間と労力、そして資本を費やして優れたソフトウェアを開発したら、次はいよいよ市場への投入です。これに際して、ソフトウェアをいかにして守るかについて考える必要があります。
ソフトウェア保護を実行すべき対象
- 著作権侵害、違法コピー、収益を損なう可能性のあるソフトウェアのその他の不正使用
- あなたのデータや顧客のデータを危険にさらすセキュリティ違反
物理的な製品を販売している場合、その製品を保護することは比較的簡単です。その製品を厳重に保管することで、悪意のある人が製品に接触できないようにします。
ソフトウェアの場合は事情が違います。保護されていないソフトウェアは、非常に簡単にコピー・複製し、許可なく複数のデバイスで使用できてしまいます。また、ハッカーに易々と侵入され、顧客がソフトウェアを使用して保存している機密データを抽出されてしまいます。
ソフトウェアを適切に保護することで、顧客に、製品を使用するときの顧客情報は安全に守られているという安心感を与えることができます。
3種類のソフトウェア保護を見てみましょう。
ソフトウェア著作権保護
著作権は、創造的な作品をコピーするための権利です。これは作成者を、その作成物の盗難から保護する一種の知的財産です。著作権はアイデアや概念を保護するのではなく、それらのアイデアや概念を表現したもののみを保護することに注意してください。ソフトウェアの場合はコードを意味します。
ソフトウェア著作権保護とは?
ソフトウェア著作権を保護することで、ソフトウェアが誰にも不正コピー・使用されないことを保証することができます。
理論的には、コードが有形媒体に固定されるとすぐに著作権法の下でソフトウェアが保護されるため、同法は一種の自動ソフトウェア著作権保護を提供します。しかし実際には、この保護方法が特に効果的なわけではありません。これが意味するのは、他の人にはソフトウェアのコピーが許可されないということだけです。少なくとも米国では、先ず米国著作権局に登録しない限り、著作権侵害で誰かを訴えることさえできません。
また、たとえ登録していたとしても、ソフトウェア著作権の唯一の保護方法として訴訟を使用することは優れた戦略ではありません。この方法では、実際に製品をコピーした人を捕まえ、訴え、ソフトウェアの違法コピーの事実を法廷で証明するために、かなりの費用と時間を費やさなければならなりません。
限られた予算で、ネットアプリケーションやその他のオープンソース開発型プログラム向けソフトウエアの不正コピー防止を求める小規模なソフトウェア開発者にとって特に問題です。このような開発者は、著作権侵害を特定したときに法的措置を講じることができないのは言うまでもなく、著作権侵害を監視する手段すら持っていません。
では、より効果的なソフトウェア著作権保護戦略とはどのようなものなのでしょうか?
冗長コードを挿入
著作権侵害を証明しやすくする方法の1つは、コード内に冗長なコンポーネントを意図的に挿入することです。何者かがあなたのコードを不正コピーした疑いがある場合、そのような冗長なコンポーネントを見つけ出すことで、不正コピーの強力な証拠として使用できます。繰り返しになりますが、このソフトウェア著作権保護戦略では訴訟が必要になる場合がありますが、少なくとも法務チームの負担を軽減できます。
ソースコードを閲覧できる人を厳選
ソフトウェアベンダーは、承認された信頼できる人だけがソースコードにアクセスできるようにするために、常にベストプラクティスに従う必要があります。スタッフを慎重に精査し、アウトソーシングする際は高品質のリファレンスを入手してください。
IDベースのライセンシングソリューションを使用
エンドユーザーがソースコードにアクセスするのを防ぐことができない場合でも、IDベースのライセンシングソリューションを使用することで、少なくとも、特定プログラムを使用しているユーザーについて可能な限り多くの情報を得ることができます。
IDベースのライセンシングソリューションは、ユーザー名やパスワードといった特定の資格情報を使用するユーザーにのみアクセスを許可します。Sentinel EMSのようなライセンシング管理システムにより、誰が、いつ、どの製品を使用しているかを追跡するのに役立つ、さまざまなデータにアクセスすることができます。
SaaS保護
SaaS(Software as a Service:サービスとしてのソフトウェア)は、ますます人気が高まっているソフトウェア配信モデルです。ソフトウェアを一度購入して特定デバイスでのみ使用するためにインストールするのではなく、サブスクリプションとして購入し、リモートサーバーを介してアクセスして使用できます。このモデルは費用対効果と柔軟性が高い傾向にあります。そのため、ユーザーは複数デバイスからソフトウェアにアクセスでき、常に最新バージョンのソフトウェアを使用することができます。
SaaS保護とは?
SaaS保護には、次の2つのコンポーネントが含まれます。
1. プログラム自体の不正使用を防止 — 著作権侵害や盗難からベンダーを保護します
2. エンドユーザーがプログラムに入力したデータを保護 — データ侵害からユーザーを保護します
SaaS保護は、オンプレミスソフトウェアの保護よりも少し複雑です。上記の考慮すべき2つのコンポーネントの他に、ハッカーが悪用し得る「エントリポイント」が多く存在するためです。最近まで、非常に機密性の高いデータを扱う組織の多くは、セキュリティへの懸念からSaaSプログラムの使用に慎重でした。データをクラウドにアップロードしてリモートサーバーに保存する必要があることから、このモデルはデータ侵害に対してはるかに脆弱であるように見えました。
幸いなことに、今日利用可能なテクノロジーにより、SaaSデータを非常に安全に保つことができます。
強固なSaaS保護の確立
SaaSプロバイダーとしてデータの安全性を保証することは必要不可欠であり、製品への信頼を確立することにつながります。さらに、一部の国では、顧客データのセキュリティを規制する必須要件が制定されています。ビジネスを運用するために、このような規制への準拠が必要になる場合があります。
では、SaaS保護にどのように取り組めばよいのでしょうか?
エンドユーザーを教育
最初に理解すべきことは、SaaS保護は双方向に行われる必要があるということです。プロバイダー側で最高のセキュリティを提供する必要がありますが、エンドユーザーがセキュリティについて無関心である場合、データ侵害防止に対してできることは限られています。データ保護について、ユーザーを教育することが重要です。
すべてのデータを暗号化
データ暗号化は、SaaS保護において必要不可欠なステップです。データを暗号化することにより、プロセスのどこかでデータが漏洩したとしても、承認されていない者には解読不能な形でデータが表示されるようになります。
強力なパスワードを要求
年々複雑なパスワードの必要性が増すことは嬉しいことではありませんが、プロバイダーが複雑なパスワードを要求するのには理由があります。複雑なパスワードはハッカーに推測されにくいためです。セキュリティ専門家であるBrian Krebs氏は、理想的なパスワードには次のような要素が必要だと述べています。
- 可能な限り長い文字数 — 8〜10文字以上
- 一連の単語を含むもの — 数字、大文字、特殊文字は有効ですが、長さがより重要であり、文であれば覚えやすくなります
- 「password」などの一般的な単語、「1234」や「qwerty」などのキーボード上の組み合わせ、誕生日、電話番号、ペットの名前といったソーシャルメディアや他のコンテキストから検出し得る情報は避けてください
サイバーセキュリティ会社に依頼
不明な点がある場合は、お気軽に専門家に相談してください。タレス Sentinelは、SaaSプロバイダーのニーズに合わせて特別に調整された、サイバーセキュリティおよびライセンス管理ソリューションのパッケージを提供します。
プロテクションキー
ソフトウェアを盗難や著作権侵害、不正アクセスから保護するための最良の方法の1つは、プロテクションキーを使用することです。
プロテクションキーとは?
プロテクションキーは、承認されていないユーザーによるソフトウェアへのアクセスやコピーを防ぐためのコードです。ソフトウェアがキーで保護されている場合、キーを保持するユーザーのみがデバイスでソフトウェアを実行できます。
プロテクションキーには次の3つのタイプがあります。
ハードウェアプロテクションキー
ドングルとも呼ばれるハードウェアプロテクションキーは、ソフトウェアへのアクセスをアクティブ化するために接続が必要となる小型デバイスです。エンドユーザーに物理デバイスを発行する必要があり、ユーザーはデバイスが手元にある場合にのみソフトウェアを実行できるため、以下に記載された他のソリューションと比べて利便性に欠けます。しかし一部のユーザーは、セキュリティ上の利点からこのタイプのプロテクションキーを好んで使用しています。
ソフトウェアプロテクションキー
ソフトウェアプロテクションキーは、保護対象のソフトウェアへのアクセスを提供する特定デバイスにインストールできるソフトウェアの一種です。ユーザーは、ソフトウェアと一緒にキーをダウンロードするだけで、ソフトウェアに即座にアクセスできます。
クラウドベースのプロテクションキー
このモデルでは、プロテクションキーをダウンロードしてユーザーデバイスにインストールするのではなく、要求に応じてキーをエンドユーザーデバイスに配信し、ユーザーがキーを使い終わったらリモートサーバーに返却します。これにより、キーを複数のデバイスで使用したり、複数のユーザーが異なる時間に使用したりできるため、柔軟性が大幅に向上します。
タレス Sentinel ソフトウェア保護ソリューション
タレス Sentinelは、ソフトウェア著作権保護、SaaS保護、プロテクションキーなど、柔軟かつカスタマイズ可能なソフトウェア保護ソリューションを幅広く提供しています。タレス Sentinelのソフトウェア収益化ツールが提供するソフトウェア保護サポートについて、ぜひ詳しくご覧ください。
Defend and Protect Intellectual Property Against Threats
Defending Against The Quadruple Threat to Intellectual Property - White Paper Technology and innovation have never moved faster and most of it involved software in form or another. Learn how Thales can help you protect against the quadruple threat of intellectual...
Improve Back Office Efficiency -AIr InfoTech Case Study
AIR InfoTech Improves Back-Office Efficiency and Protects Software with Thales Sentinel - Air Infotech Case Study AIR InfoTech realized it needed to digitize their publications and create software databases, in order to best server their customers. AIR InfoTech selected...