PDF（Portable Document Format）は、アドビシステムズ社が作成したファイル形式でWindows、Macなどパソコン環境に依存せずにファイルを認識できるため、マニュアルや社内規約、広報・IR文書など、今やビジネス文書のスタンダードとして幅広く活用されています。

そして、フィッシング詐欺や文書偽造といったインターネット上の新たな脅威が生じるなか、IR関連情報といった重要な情報をユーザーとやりとりする組織などで、ＰＤＦ文書をより安全に使うために利用されているのが、「PDF文書署名用証明書」です。

これらは、GMOグローバルサインをはじめとするAdobe Certified Document Services（Adobe CDS）対応の認証局の審査を経て発行された証明書を用いて署名者の身元を明らかにできるしくみで、実社会における文書類へのサインや印鑑に相当し、改ざんの検知ができるようになっています。

実際、海外では、未上場株式の投資詐欺や風評被害目当てに用いられるIR文書の偽造、大学の卒業証書や成績証明書の偽造など、PDFの改ざんや本人なりすましの事例は数多く報告されています。

＜PDF文書署名用証明書による署名付与の事例＞
株式会社日立製作所HIRT(Hitachi Incident Response Team)様
http://jp.globalsign.com/solution/example/hitachi.html

そのため、アメリカの政府機関や金融機関などがインターネット上に公開する予算資料などのＰＤＦ文書にPDF文書署名用証明書による署名が付与されるようになってきています。

しかし、日本国内にはそうした情報はあまり伝わっていないこともあり、企業のIR部署でもPDF文書の配信に際して、電子証明書による署名を付与するという意識はまだまだ低いようです。

実際に、署名が付与されたＰＤＦ文書をインターネット上で参照した場合、右の画像のようにブルーリボン付きの青色のバーが表示されます。ＧＭＯグループでは、日本国内でいち早く、「ＰＤＦ文書署名用証明書」を採用してウェブサイト上でＩＲ情報などの公開の際に使っていますが、これらは、GMOグローバルサインとアドビシステムズ社の協業により提供される仕組みで、Acrobat　Reader6.0以上の環境ならば、一目でその安全性を視認することができるようになっています。また、このブルーバーの右側の署名パネルをクリックすると、証明書を発行している認証局ベンダーや発行日、失効情報などを確認でき、第三者による信頼性が担保されていることがわかります。

▼署名されたＰＤＦ文書には、ブルーリボン付きの青色のバーが表示

▼ブルーバー右端の「署名パネル」ボタンを押すと、PDF文書の署名情報が表示

▼「証明書の詳細」をクリックすることで、署名に利用した証明書情報を確認可能

「ＰＤＦ文書署名用証明書」は、PDF文書に署名が付与された日時を証明するタイムスタンプ機能を付与できます。この機能は以下2つのメリットを持っています。

世界標準で設定された証明時刻を署名に付与
ＰＤＦ文書は、その内容とともに、作成日時も改ざんされる可能性があります。改ざん者は自らのPC時刻を変更することで、その改ざん文書を、オリジナルの作成時間と同時またはそれ以前に存在したようにも装うことができるからです。ＰＤＦ文書署名用証明書では、タイムスタンプ機能を使うことにより、、PCのローカル時間でなく、協定世界時（UTC）の時刻が付与されるため、その文書が署名された時刻の第三者による特定が可能です。

長期間にわたる電子署名の有効性を確保可能
電子証明書による署名のみでは証明書の有効期間が満了となった以降に電子署名の有効性を検証することができませんが、タイムスタンプを使用することにより署名者の電子証明書有効期間満了後でも、署名が付与された時点で署名者の証明書が有効であったことが検証できるため、長期間にわたって署名の信頼性を担保することができます。

※PDF文書署名用証明書のタイムスタンプ機能は、SEIKOブランドで有名なセイコーホールディングス株式会社の事業会社であるセイコープレシジョン社とGMOグローバルサインのコラボレーションによって実現しています。

前述した「ＰＤＦ文書署名用証明書」は、ＰＤＦ文書の真正性を保証するものですが、ユーザーがオンラインでダウンロードやアップデートするソフトウェアの安全性についても注目が集まっています。というのは、現在、ソフトウェアの流通は、パッケージからオンラインへと大きく移り変わっており、パッケージで販売されたソフトウェアであっても、アップデートはオンラインで行うことが一般的になりつつあるからです。

そこで、インターネット上でソフトウェアを安全に配布するために用いるのが　「コードサイニング証明書」です。この証明書により署名されたソフトウェアをインターネット経由で受け取ったユーザは、配布元の組織が誰であるかの確認が可能となり、配布されたソフトウェアが途中で改ざんされていたりした場合にはそれを検知することができます。

コードサイニング証明書で確認できるのは以下です。

　1. プログラム配布元の組織の実在性

　2. 署名以降プログラムが改変されていないという真正性

この電子証明書によるコードサイニングの仕組みは、マイクロソフト社が行っているウィンドウズアップデートにも用いられています。

携帯電話の世界で現在普及しているスマートフォンでは、最新のアプリケーションのインストールやアップデートが頻繁に行われていますが、ここでも「コードサイニング」の技術が活用されています。
今後、企業におけるＰＣ利用において、クラウドコンピューティングやSaaSが普及し、インターネットを介してアプリケーションやデータを利用するような環境が一般化してくると、「誰が作成した」「改ざんされていないか」といったセキュリティ面はますます重要となってくるので、こうした「コードサイニング証明書」の利用はますます増えていくのではと思われます。

次回は、クライアント証明書について述べたいと思います。


2011.1.19



取材協力：GMOクリエイターズネットワーク株式会社