Office 2016 でのデジタル署名の使用

概要：Excel、PowerPoint、および Word ドキュメントで XML Advanced Electronic Signatures (XAdES) をサポートする方法について説明します。 さらに、デプロイに適した証明書を選択する方法を決定します。

ユーザーは、紙の文書に手書きの署名を入れる場合とほぼ同じ理由で、Excel、PowerPoint、および Word ドキュメントにデジタル署名を行います。 デジタル署名は、作成者の ID を認証するのに役立ちます。 ドキュメント、電子メール メッセージ、マクロなど、デジタル情報の作成者を検証します。 このプロセスでは、暗号化アルゴリズムが使用されます。

証明機関 (CA) は、ID の検証者として機能するデジタル証明書を発行します。 これらの証明書は、デジタル署名の基礎を形成します。 これは、印刷された ID ドキュメントの使用と同様に機能します。 たとえば、政府機関や雇用主は、運転免許証、パスポート、従業員 ID カードなどの ID ドキュメントを発行します。 他のユーザーは、そのユーザーが自分が誰であると主張したかを確認するために、これらのドキュメントに依存しています。

この記事には、Office 2016 で新しく追加されたデジタル署名レジストリ キーが含まれています。

デジタル署名の概要と Office でのデジタル署名の使用方法

デジタル署名は、次に示す認証上の対策を立てるのに役立ちます。

• 信頼性 デジタル署名とその基になるデジタル証明書は、署名者が本人であることを確認するのに役立ちます。 これにより、他者が特定のドキュメントの作成者になりすますこと (印刷された文書での偽造に相当) を防止できます。

• 整合性 デジタル署名は、コンテンツがデジタル署名された後に変更されたり改ざんされたりしないようにします。 このデジタル署名により、ドキュメントの作成者の知識がなくても、ドキュメントが傍受および変更されるのを防ぐことができます。

• 否認不可 デジタル署名は、すべての関係者に対して、署名入りコンテンツの作成元を証明するのに役立ちます。 "否認" とは、署名入りコンテンツとの関連を署名者が否定することを指します。 デジタル署名により、署名者の主張にかかわらず、ドキュメントの作成者が実際の作成者であり、他のだれかではないことを証明できます。 署名者は、デジタル キーを否認することなく、そのドキュメントの署名を否認することはできません。これは、そのキーで署名された他のドキュメントに影響します。

Office 2016 のデジタル署名の必要条件

これらの条件を設定するために、コンテンツの作成者は、次の条件を満たす署名を作成してコンテンツにデジタル署名する必要があります。

• デジタル署名が有効である。 オペレーティング システムは、デジタル署名を支えるデジタル証明書に署名する証明機関 (CA) を信頼する必要があります。

• デジタル署名に関連付けられている証明書の有効期限が切れていないか、署名時に証明書が有効であることを示すタイム スタンプが含まれています。

• デジタル署名に関連付けられている証明書は取り消されません。

• 受信者は、署名者またはorganization (発行元と呼ばれます) を信頼します。

Word 2016、Excel 2016、PowerPoint 2016これらの条件を検出し、デジタル署名に問題があるかどうかをユーザーに警告します。 問題のある証明書に関する情報は、Office 2016 アプリケーションに表示される証明書作業ウィンドウで簡単に表示できます。 Office 2016 アプリケーションでは、1 つのドキュメントに複数のデジタル署名を付加できます。

Office 2016 のビジネス環境でのデジタル署名

次のシナリオは、ビジネス環境においてドキュメントのデジタル署名をどのように活用できるかを示しています。

1. 従業員はExcel 2016を使用して経費報告書を作成します。 その後、従業員は 3 つの署名行を作成します。1 つは自分用、もう 1 つはマネージャー用、もう 1 つは会計部門用です。 署名は次の機能を果たします。

   • その従業員がドキュメントの作成者であることを示す

   • は、上司と会計部門に移動するドキュメントに変更が発生しなかったことを示します。

   • 上司と会計部門の両方がドキュメントを受け取り、レビューした証拠があることを示しています

2. マネージャーはドキュメントを受け取り、デジタル署名をドキュメントに追加し、確認して承認したことを確認します。 その後、支払いのために会計部門に転送されます。

3. 経理担当者はドキュメントを受け取り、署名を付加して、ドキュメントを受領したことを保証します。

この例は、1 つの Office 2016 ドキュメントに複数の署名を付加できることを示しています。 デジタル署名に加えて、ドキュメントの署名者は、実際の署名のグラフィックを追加するか、タブレット PC を使用してドキュメントの署名行に署名を実際に書き込むことができます。

Office 2016 以前の Office ドキュメントとの互換性の問題

Office 2016 では、Office 2013、Office 2010 および Office 2007 と同様に、デジタル署名に XML-DSig 形式を使用します。 また、Office 2016 では XAdES (XML Advanced Electronic Signatures) もサポートされました。 XAdES は、XML-DSig の階層的な拡張セットであり、レベルを多層的に積み重ねることでデジタル署名の信頼性を向上します。 Office 2016 でサポートされている XAdES のレベルの詳細については、後の「Office 2016 ドキュメントのデジタル署名レベルを計画する」を参照してください。 XAdES の詳細については、 XML Advanced Electronic Signatures (XAdES) の仕様に関するページを参照してください。

Office 2016 で作成されたデジタル署名は、2007 Office システムより前のバージョンの Office と互換性がありません。 たとえば、Office 2016、Office 2013、Office 2010、または Office 2007 のアプリケーションを使用して署名されたドキュメントを考えてみましょう。 ユーザーが Office 2003 で Office 互換パックを使用してこのドキュメントを開くと、システムから通知されます。 ドキュメントが新しいバージョンの Office にサインインしたことを通知します。 その結果、デジタル署名は失われます。

次の図は、Office 2007 より前のバージョンの Office でドキュメントを開いたときに表示される警告を示しています。

もともと署名されているドキュメントの Office 2003 以前のバージョンでのデジタル署名警告

Office 2016 でデジタル署名に XAdES を使用する場合、グループ ポリシー設定を構成しない限り、デジタル署名は Office 2010 または 2007 Office システムと互換性がありません。マニフェストに XAdES 参照オブジェクトを含めず、有効に設定します。 デジタル署名のグループ ポリシー設定の詳細については、後の「Office 2016 の署名設定を計画する」を参照してください。

Office 2016 で Office 2003 およびそれ以前のバージョンと互換性があるデジタル署名を作成する必要がある場合は、グループ ポリシーの設定 [以前の形式の署名] を [有効] に設定します。 このグループ ポリシー設定は、ユーザー構成\ポリシー\管理用テンプレート\Microsoft Office 2016\Signing にあります。 この設定を [有効] にすると、Office 2016 のアプリケーションは Office 2003 バイナリ形式を使用して、Office 2016 で作成された Office 97-2003 バイナリ ドキュメントにデジタル署名を適用します。

Office 2016 のデジタル証明書の種類を選択する

証明機関 (CA) は、デジタル証明書を発行することも、自己署名することもできます。 organization内では、Active Directory 証明書サービスを実行しているWindows Server 2012 コンピューターがプロセスに含まれる場合があります。 または、VeriSign や Thawte などのパブリック CA を発行することもできます。 自己署名証明書は、個人や中小企業でよく使用されます。 組織の公開キー 基盤 (PKI) を確立したり、商用証明書を購入したりしない場合は、このオプションを選択します。

自己署名証明書の主な欠点は、限られたユーティリティにあります。 これらは、個人的に知っている人とドキュメントを交換する場合にのみ有効です。 また、個人は、ドキュメントの実際の作成者であることも確信している必要があります。 自己署名証明書を使用する場合、証明書の外部検証の信頼性はありません。 署名されたドキュメントを受け取る各ユーザーは、証明書を信頼するかどうかを手動で決定する必要があります。

大規模な組織の場合、デジタル証明書を取得するための 2 つの主要な方法として、organizationまたは会社の PKI と商用証明書を使用して作成された証明書があります。 organization内の他の従業員間でのみ署名されたドキュメントを共有する組織は、コストを削減するために会社の PKI を好む場合があります。 署名済みドキュメントをorganization外のユーザーと共有する組織は、商用証明書を使用することを好む場合があります。

組織または企業 PKI を使用して作成される証明書

組織は独自の PKI を作成できます。 このシナリオでは、企業は、社内全体のコンピューターとユーザーを対象としてデジタル証明書を作成できる 1 つ以上の証明機関 (CA) をセットアップします。 会社が Active Directory Directory Services (AD DS) をシステムと組み合わせると、完全な PKI ソリューションを確立できます。 この統合により、すべてのorganizationまたは企業が管理するコンピューターに必要な CA チェーンがインストールされます。 さらに、ユーザーとコンピューターの両方にデジタル証明書を自動的に割り当てることができます。 これらの証明書は、ドキュメントの署名と暗号化に不可欠です。 このプロセスにより、会社のすべての従業員が、同じ会社の他の従業員からのデジタル証明書 (したがって、有効なデジタル署名) を自動的に信頼できます。

商用証明書

デジタル証明書を販売する基幹業務を行う会社から商用証明書を購入できます。 商用証明書を使用するメイン利点は、商用証明書ベンダーのルート CA 証明書が、organizationの Windows オペレーティング システムに自動的にインストールされる点です。 これにより、これらのコンピューターは CA を自動的に信頼できます。 organizationまたは会社の PKI ソリューションとは異なり、商用証明書を使用すると、署名されたドキュメントを、organizationに属していないユーザーと共有できます。

商用証明書には、次の 3 つの種類があります。

• クラス 1 クラス 1 証明書は、有効な電子メール アドレスを持つユーザーに発行されます。 クラス 1 証明書は、ID 証明が必要ない非商用トランザクションのデジタル署名、暗号化、電子アクセス制御に適しています。

• クラス 2 クラス 2 の証明書は、ユーザーとデバイスに発行されます。 クラス 2 の個々の証明書は、検証データベース内の情報に基づく ID 証明で十分なトランザクションのデジタル署名、暗号化、および電子アクセス制御に適しています。 クラス 2 のデバイス証明書は、デバイス認証のほかに、メッセージ、ソフトウェア、コンテンツの整合性、さらに機密暗号化に適しています。

• クラス 3 クラス 3 証明書は、CA とルート証明機関 (RU) のユーザー、組織、サーバー、デバイス、管理者に発行されます。 Id 証明を保証する必要があるトランザクションでは、クラス 3 の個々の証明書がデジタル署名、暗号化、およびアクセス制御に適しています。 クラス 3 のサーバー証明書は、サーバー認証のほかに、メッセージ、ソフトウェア、コンテンツの整合性、さらに機密暗号化に適しています。

商用証明書の詳細については、「 デジタル ID またはデジタル署名サービスを検索する」を参照してください。

Office 2016 ドキュメントのデジタル署名レベルを計画する

Excel 2016、PowerPoint 2016、または Word 2016 を使用して、ドキュメントにデジタル署名が行うことができます。 また、Excel 2016、InfoPath 2016、または Word 2016 を使用して、署名欄や署名印を追加できます。 デジタル証明書を持っていても署名行やスタンプがないドキュメントにデジタル署名することは、非表示のデジタル署名の作成と呼ばれます。 どちらの方法でも、デジタル署名は、デジタル証明書を使用してドキュメントに署名します。 違いは、表示されるデジタル署名欄の使用時にドキュメント上に現れるグラフィカル表示にあります。 デジタル署名の追加方法の詳細については、「Office ファイルでデジタル署名を追加または削除する」を参照してください。

既定で、Office 2016 は XAdES-EPES デジタル署名を作成します。デジタル署名の作成時に自己署名証明書または CA により署名された証明書のどちらを使用する場合でも、これは同じです。

次の表に、XML-DSig デジタル署名標準を基盤とする XAdES デジタル署名の Office 2016 で使用できるレベルの一覧を示します。 各レベルは、前のレベルを土台として構築されているので、前のすべてのレベルの機能も備えています。 たとえば、XAdES-X は XAdES-EPES、XAdES-T、および XAdES-C のすべての機能を持ち、さらに XAdES-X で導入された新しい機能も備えます。

Office 2016 の XAdES デジタル署名レベル

Office 2016 でタイム スタンプ付きデジタル署名を計画する

デジタル署名にタイム スタンプを追加すれば、デジタル署名の有効期間を容易に延長できるようになります。 たとえば、デジタル署名の作成に使用された失効した証明書があるシナリオを考えてみましょう。 このような場合、信頼されたタイム スタンプ サーバーからのタイム スタンプを含めることが重要になります。 重要な要因は、タイムスタンプのタイミングです。証明書が失効する前に適用された場合でも、デジタル署名は有効と見なすことができます。 デジタル署名にタイム スタンプ機能を使用するには、次のタスクを実行する必要があります。

• RFC 3161 に準拠しているタイム スタンプ サーバーを設定します。

• グループ ポリシー設定 [ サーバー名を指定する] を使用して、タイム スタンプ サーバーのネットワーク上の場所を入力する。

次のグループ ポリシー設定を 1 つ以上構成することで、他のタイム スタンプ パラメーターを構成することもできます。

• タイム スタンプ ハッシュ アルゴリズムを構成する

• タイムスタンプ サーバーのタイムアウトを設定する

[タイムスタンプ ハッシュ アルゴリズムの構成] を構成して有効にしていない場合は、既定値の SHA1 が使用されます。 [タイム スタンプ サーバーのタイムアウトの設定] を構成して有効にしていない場合、Office 2016 は、タイム スタンプ サーバーが要求に応答するまで 5 秒待機します。

Office 2016 の署名設定を計画する

グループ ポリシーでは、タイム スタンプ関連の設定を構成するための設定が提供されます。 さらに、organization内のデジタル署名を管理および制御するための設定も提供します。 次の表に、これらの設定の名前と説明の一覧を示します。

デジタル署名のグループ ポリシー構成の設定

次のグループ ポリシー設定は、デジタル署名に関連しています。

• 既定の画像用ディレクトリを設定する

• EKU フィルター

• 以前の形式の署名

• Office の署名プロバイダーを表示しない

• 外部の署名サービスを追加するコマンドを表示しない

デジタル署名に適用されるレジストリ設定

次の表に、デジタル署名とその暗号化に使用される証明書に固有の Windows レジストリ設定を示します。 これらのレジストリ設定は HKEY_CURRENT_USER\software\policies\Microsoft\Office\16.0\common\signatures にあります。 対応するグループ ポリシーはありません。

デジタル署名のレジストリ設定

関連記事

XML Advanced Electronic Signatures (XAdES)

Office 用のグループ ポリシー管理用テンプレート ファイル (ADMX/ADML)

デジタル ID またはデジタル署名サービスを検索する

Office ファイルでデジタル署名を追加または削除する