Office 2010 のデジタル署名設定を計画する
適用先: Office 2010
トピックの最終更新日: 2016-11-29
Microsoft Excel 2010、Microsoft PowerPoint 2010、および Microsoft Word 2010 を使用してドキュメントにデジタル署名ができます。また、Excel 2013、Microsoft InfoPath 2010、および Word 2010 を使用して、署名欄や署名印を追加できます。Microsoft Office 2010 は、XML-DSig 標準の拡張セットである XAdES (XML Advanced Electronic Signatures) に対応しています。この機能は、2007 Microsoft Office system で最初にサポートされました。
この記事の内容
デジタル署名とは
デジタル証明書: 自己署名と CA 発行の違い
デジタル署名を使用する
デジタル署名とは
紙の文書に手書きの署名を入れる場合とほぼ同じ理由で、ドキュメントにデジタル署名ができます。デジタル署名は、ドキュメント、電子メール メッセージ、マクロなどのデジタル情報の作成者の ID を暗号化アルゴリズムを使用して認証するのに役立ちます。
デジタル署名はデジタル証明書に基づきます。デジタル証明書は、証明機関 (CA) と呼ばれる信頼できるサードパーティから発行された ID の検証機能です。その働きは、印刷された ID ドキュメントを使用する場合と似ています。たとえば、行政機関、雇用主などの信頼できるサードパーティは、その人物の身元を証明するための運転免許証、パスポート、社員証などの ID ドキュメントを発行します。
デジタル署名の機能
デジタル署名は、次に示す認証上の対策を立てるのに役立ちます。
信頼性 デジタル署名およびその基盤となるデジタル証明書は、署名者の身元の保証に役立ちます。これにより、他者が特定のドキュメントの作成者になりすますこと (印刷された文書での偽造に相当) を防止できます。
整合性 デジタル署名は、デジタル署名されてからコンテンツが変更または改ざんされていないことを保証するのに役立ちます。これにより、ドキュメントの作成者が知らないうちにドキュメントが取得されて変更されることを防止できます。
否認不可 デジタル署名は、すべての関係者に対して、署名入りコンテンツの作成元を証明するのに役立ちます。"否認" とは、署名入りコンテンツとの関連を署名者が否定することを指します。これにより、署名者の主張にかかわらず、ドキュメントの作成者が実際の作成者であり、他のだれかではないことを証明できます。署名者は、デジタル キーが無効とされない限り、そのドキュメントの署名を否認できず、同様に、そのキーで署名された他のドキュメントについても関連を否認できません。
デジタル署名の必要条件
これらの条件を設定するために、コンテンツの作成者は、次の条件を満たす署名を使用してコンテンツにデジタル署名する必要があります。
デジタル署名が有効である。オペレーティング システムによって信頼されている CA が、デジタル署名が基づくデジタル証明書に署名する必要があります。
デジタル署名に関連付けられている証明書の有効期限が終了していない。または、証明書が署名の時点で有効だったことを示すタイム スタンプがある。
デジタル署名に関連付けられている証明書が無効になっていない。
署名者 (発行者とも呼ばれる) が受領者によって信頼されている。
Word 2010、Excel 2013、および PowerPoint 2013 では、これらの条件を自動的に検出し、デジタル署名について問題がある可能性がある場合は警告を表示します。問題のある証明書に関する情報は、Office 2010 アプリケーションに表示される証明書作業ウィンドウで簡単に表示できます。Office 2010 アプリケーションでは、1 つのドキュメントに複数のデジタル署名を付加できます。
ビジネス環境でのデジタル署名
次のシナリオは、ビジネス環境においてドキュメントのデジタル署名をどのように活用できるかを示しています。
従業員は、Excel 2013 を使用して経費報告書を作成します。次に、署名行を 3 行作成します。それぞれ、本人用、管理者用、経理部用です。これらの行は、その従業員がドキュメントの作成者であること、ドキュメントを管理者と経理部に提出するときにドキュメントで変更が発生しないこと、管理者と経理部の両方がドキュメントを受領して確認していることが証明されていることを識別するために使用されます。
管理者はドキュメントを受け取り、そのドキュメントにデジタル署名を付加して、ドキュメントを確認および承認したことを保証します。次に、支払いのためにドキュメントを経理部に提出します。
経理部長はドキュメントを受け取り、署名を付加して、ドキュメントを受領したことを保証します。
この例は、1 つの Office 2010 ドキュメントに複数の署名を付加できることを示しています。デジタル署名のほかに、ドキュメントの署名者は、実際の署名の画像を付加したり、タブレット PC を使用してドキュメントの署名行に署名を実際に書き入れたりできます。部署で使用できる "ゴム印" 機能もあり、特定の部署の人間がドキュメントを受け取ったことを示すこともできます。
互換性の問題
Office 2010 では、2007 Office system と同様に、デジタル署名に XMLDSig 形式を使用します。また、Office 2010 では XAdES (XML Advanced Electronic Signatures) もサポートされました。XAdES は、XML-DSig の階層的な拡張セットであり、レベルを多層的に積み重ねることでデジタル署名の信頼性を向上します。Office 2010 でサポートされている XAdES のレベルについては、後の「デジタル署名を使用する」を参照してください。XAdES の詳細については、「XML Advanced Electronic Signatures (XAdES) (英語)」(https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0x411) (英語) の XAdES 仕様に関する説明を参照してください。
Office 2010 で作成されるデジタル署名は、2007 Office system よりも前のバージョンの Microsoft Office と互換性がない点に注意が必要です。たとえば、Office 2010 または 2007 Office system のアプリケーションを使用してドキュメントに署名し、Office 互換機能パックがインストールされている Microsoft Office 2003 のアプリケーションを使用してそのドキュメントを開いた場合、ドキュメントは新しいバージョンの Microsoft Office で署名されているのでデジタル署名が失われることがユーザーに通知されます。
次の図は、以前のバージョンの Office でドキュメントを開くとデジタル署名が失われるという警告を示しています。
.jpg "図 1 互換性の問題")
また、Office 2010 でデジタル署名に XAdES を使用すると、グループ ポリシーの設定 [マニフェストに XAdES 参照オブジェクトを表示しない] を [無効] に設定しない限り、2007 Office system と互換性のないデジタル署名が作成されます。デジタル署名のグループ ポリシー設定の詳細については、後の「デジタル署名を構成する」を参照してください。
Office 2010 で Office 2003 およびそれ以前のバージョンと互換性があるデジタル署名を作成する必要がある場合は、グループ ポリシーの設定 [以前の形式の署名] を [有効] に設定します。このグループ ポリシー設定は、[ユーザーの構成\管理用テンプレート\(ADM\ADMX)\Microsoft Office 2010\署名] で構成できます。この設定を [有効] にすると、Office 2010 のアプリケーションは Office 2003 バイナリ形式を使用してデジタル署名を、Office 2010 で作成された Office 97–2003 バイナリ ドキュメントに適用します。
デジタル証明書: 自己署名と CA 発行の違い
デジタル証明書は、自己署名入りの証明書か、組織内の CA (Active Directory 証明書サービスを実行している Windows Server 2008 のコンピューターなど) または公的 CA (VeriSign、Thawte など) から発行された証明書のどちらかです。自己署名証明書は、通常、個人のほかに、組織用の公開キー基盤 (PKI) のセットアップや商用証明書の購入を望まない小規模企業で使用されます。
自己署名証明書を使用するうえで主な問題となるのは、直接面識のある相手とドキュメントを交換する場合にしか役立たない点と、ドキュメントの実際の作成者が自分であることしか保証できない点です。自己署名証明書では、証明書の信頼性を検証する第三者は存在しません。署名入りのドキュメントを受け取った相手は、その証明書を信頼するかどうかを各自で判断する必要があります。
大規模な組織では、別のオプションが 2 つあります。企業 PKI を使用して作成される証明書と商用証明書です。組織内の他の従業員との間でのみ署名入りのドキュメントを共有する組織には、コストを削減するためにも企業 PKI が適しています。組織外の相手と署名入りのドキュメントを共有する組織には、商用証明書が適しています。
企業 PKI を使用して作成される証明書
組織は独自の PKI を作成できます。このシナリオでは、企業は、社内全体のコンピューターとユーザーを対象としてデジタル証明書を作成できる 1 つ以上の証明機関 (CA) をセットアップします。これを Active Directory ディレクトリ サービスと組み合わせることで完全な PKI ソリューションを作成できるので、企業が管理するすべてのコンピューターに企業 CA チェーンがインストールされ、ドキュメントの署名および暗号化に使用できるデジタル証明書がユーザーとコンピューターの両方に自動的に割り当てられるようになります。
詳細については、「Active Directory 証明書サービス」(https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0x411) を参照してください。
商用証明書
商用証明書は、デジタル証明書の販売を業務とする企業から購入します。商用証明書を使用するうえで利点となるのは、商用証明書ベンダーのルート CA 証明書が Windows オペレーティング システムに自動的にインストールされ、コンピューターでこれらの CA が自動的に信頼されるようになる点です。企業 PKI ソリューションとは異なり、商用証明書を使用すると、組織に属さないユーザーと署名入りドキュメントを共有できるようになります。
商用証明書には、次の 3 つの種類があります。
クラス 1 クラス 1 の証明書は、有効な電子メール アドレスを持つ個人に発行されます。クラス 1 の証明書は、ID の証明が必要とされない商用以外のトランザクションでのデジタル署名、暗号化、および電子的なアクセス制御に適しています。
クラス 2 クラス 2 の証明書は、個人とデバイスに発行されます。クラス 2 の個々の証明書は、検証データベースの情報に基づく ID の証明で十分なトランザクションでのデジタル署名、暗号化、および電子的なアクセス制御に適しています。クラス 2 のデバイス証明書は、デバイス認証のほかに、メッセージ、ソフトウェア、コンテンツの整合性、さらに機密暗号化に適しています。
クラス 3 クラス 3 の証明書は、個人、組織、サーバー、デバイス、CA とルート証明機関 (RA) の管理者に発行されます。クラス 3 の個々の証明書は、ID の証明の保証が必要とされるトランザクションでのデジタル署名、暗号化、およびアクセス制御に適しています。クラス 3 のサーバー証明書は、サーバー認証のほかに、メッセージ、ソフトウェア、コンテンツの整合性、さらに機密暗号化に適しています。
商用証明書の詳細については、「デジタル署名 – Office Marketplace」(https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0x411) を参照してください。
デジタル署名を使用する
Microsoft Excel 2010、Microsoft PowerPoint 2010、または Microsoft Word 2010 を使用して、ドキュメントにデジタル署名ができます。また、Excel 2013、Microsoft InfoPath 2010、または Word 2010 を使用して、署名欄や署名印を追加できます。デジタル証明書はあるが署名欄または署名印がないドキュメントにデジタル署名することは、透明のデジタル署名を作成すると表現します。どちらの方法でも、デジタル署名は、デジタル証明書を使用してドキュメントに署名します。違いは、表示されるデジタル署名欄の使用時にドキュメント上に現れるグラフィカルな表現にあります。デジタル署名の追加方法については、「Office ファイルでデジタル署名を追加または削除する」(https://go.microsoft.com/fwlink/?linkid=187659\&clcid=0x411) を参照してください。
既定で、Office 2010 は XAdES-EPES デジタル署名を作成します。デジタル署名の作成に自己署名証明書または CA 発行の署名証明書のどちらを使用する場合でも、これは同じです。
次の表に、XML-DSig デジタル署名標準を基盤とする XAdES デジタル署名の Office 2010 で使用できるレベルの一覧を示します。各レベルは、前のレベルを土台としてその上に構築されているので、前のすべてのレベルの機能も備えています。たとえば、XAdES-X は XAdES-EPES、XAdES-T、および XAdES-C のすべての機能を持ち、さらに XAdES-X で導入された新しい機能も兼ね備えます。
| 署名レベル | 説明 |
|---|---|
XAdES-EPES (基本) |
署名証明書に関する情報を XML-DSig 署名に追加します。これは、Office 2010 署名の既定レベルです。 |
XAdES-T (タイムスタンプ) |
署名の XML-DSig 部分と XAdES-EPES 部分にタイム スタンプを追加します。これは、証明書の有効期限切れを回避するのに役立ちます。 |
XAdES-C (完全) |
証明書チェーンと失効状況情報への参照を追加します。 |
XAdES-X (拡張) |
XML-DSig SignatureValue 要素、および署名の –T 部分と –C 部分にタイム スタンプを追加します。追加のタイム スタンプは、追加データの否認を回避するのに役立ちます。 |
XAdES-X-L (長期拡張) |
実際の証明書と証明書失効情報を一緒に署名に保管します。これにより、証明書サーバーが稼働しなくなった場合でも証明書を検証できます。 |
タイム スタンプ デジタル署名
デジタル署名にタイム スタンプを追加する機能が Office 2010 でサポートされたことにより、デジタル署名の有効期間を延長することが容易になりました。たとえば、失効した証明書がデジタル署名の作成に使用された場合、信頼できるタイム スタンプ サーバーからのタイム スタンプがそのデジタル署名に含まれており、そのタイム スタンプが証明書の失効よりも前のものであれば、デジタル署名は依然として有効と認識されます。デジタル署名にタイム スタンプ機能を使用するには、次の手順を実行する必要があります。
RFC 3161 に準拠するタイム スタンプ サーバーを設定する。
グループ ポリシー設定 [サーバー名を指定する] を使用して、タイム スタンプ サーバーのネットワーク上の場所を入力する。
また、次の 1 つ以上のグループ ポリシー設定を構成して、追加のタイム スタンプ パラメーターを構成することもできます。
[タイム スタンプ ハッシュ アルゴリズムを構成する]
[タイムスタンプ サーバーのタイムアウトを設定する]
[タイム スタンプ ハッシュ アルゴリズムを構成する] を構成して有効にしなかった場合は、SHA1 の既定値が使用されます。また、[タイムスタンプ サーバーのタイムアウトを設定する] を構成して有効にしなかった場合は、タイム スタンプ サーバーが要求に応答するまで Office 2010 が待つ時間は既定で 5 秒です。
デジタル署名を構成する
タイム スタンプ関連の設定を構成するグループ ポリシー設定のほかに、デジタル署名を組織内で構成および制御する方法を指定できるグループ ポリシー設定があります。次の表に、これらの設定の名前と説明の一覧を示します。
| 設定 | 説明 |
|---|---|
[署名生成時に OCSP を必須にする] |
このポリシー設定では、Office 2010 でのデジタル署名の生成時に、チェーンに含まれるすべてのデジタル証明書に OCSP (Online Certificate Status Protocol) 失効データを必須にするかどうかを指定できます。 |
[デジタル署名生成の最小 XAdES レベルを指定する] |
このポリシー設定では、Office 2010 のアプリケーションが XAdES デジタル署名を作成するために達している必要がある最小 XAdES レベルを指定できます。最小 XAdES レベルに達しない場合、Office のアプリケーションは署名を作成しません。 |
[デジタル署名の XAdES 部分を確認する] |
このポリシー設定では、デジタル署名の XAdES 部分がある場合に Office 2010 がドキュメントのデジタル署名を検証するときに XAdES 部分をチェックするかどうかを指定できます。 |
[署名の検証時に期限切れの証明書を許可しない] |
このポリシー設定では、デジタル署名の検証時に、Office 2010 のアプリケーションが期限切れのデジタル証明書を受け付けるかどうかを指定できます。 |
[マニフェストに XAdES 参照オブジェクトを表示しない] |
このポリシー設定では、XAdES 参照オブジェクトをマニフェストに表示するかどうかを指定できます。2007 Office system が XAdES の情報を含む Office 2010 署名を読み取れるようにする場合、この設定を [無効] に構成する必要があります。それ以外の場合、2007 Office system は XAdES の情報を含む署名を無効であると認識します。 |
[デジタル署名ハッシュ アルゴリズムを選択する] |
このポリシー設定を使用すると、Office 2010 のアプリケーションがデジタル署名の確認に使用するハッシュ アルゴリズムを構成できます。 |
[署名の検証レベルを設定する] |
このポリシー設定を使用すると、Office 2010 のアプリケーションがデジタル署名の検証時に使用する検証レベルを構成できます。 |
[署名生成で要求 XAdES レベルを指定する] |
このポリシー設定では、デジタル署名の作成時に要求する XAdES レベルを指定できます。 |
次の表に、デジタル署名に関連するその他のグループ ポリシー設定の一覧を示します。
[キー使用法フィルター]
[既定の画像用ディレクトリを設定する]
[EKU フィルター]
[以前の形式の署名]
[Office の署名プロバイダーを表示しない]
[外部の署名サービスを追加するメニュー項目を表示しない]
各グループ ポリシー設定の詳細については、Office 2010 の管理用テンプレート ファイルに付属するヘルプ ファイルを参照してください。管理用テンプレート ファイルの詳細については、「Office 2010 のグループ ポリシーの概要」を参照してください。
注意
ポリシー設定に関する最新情報については、Microsoft Excel 2010 ブック Office2010GroupPolicyAndOCTSettings_Reference.xls を参照してください。このブックは、「Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (英語)」(https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x411) (英語) ダウンロード ページの [Files in this Download] セクションで入手できます。