PKIアウトソーシングサービスとして多彩なソリューションを提供 　「ベリサインのマネージドPKIサービス：VeriSign OnSite」 　第3回 セキュアな電子署名ソリューション （1）

　「第2回 ユーザーサイドのソリューション」では、クライアントに証明書を取得して、どのように使用するかユーザーサイドの利用方法を紹介した。証明書が、各種アプリケーションと組み合わせて電子署名や認証、暗号化通信などに利用できることがお分かりいただけただろう。

　今回も、VeriSign OnSiteとユーザーサイドでの「電子署名」とともに「捺印」を連携させるアプリケーションや電子ファイルの信頼性を確保する証跡管理といったアプリケーションとの利用方法を紹介しよう。

	ベリサイン セキュアビジネス シリーズ： 　シヤチハタ 電子決裁 ソリューション（パソコン決裁）との連携

　文書に電子署名をするということは、否認の防止（本人確認）、改ざんの防止を行うことである。また、電子署名を行う際には、使用する証明書の有効性を毎回確認することになるため、電子署名そのものの有効性についてもそのたびに確認できるということである。従って、PKIを使用した電子文書に関しては、従来の紙での文書管理とは比較にならないほどのセキュリティが保てることとなる。

　しかし、電子文書に対する電子署名のソリューションは使い勝手という意味では、エンドユーザーには分かりづらい点があった。例えば、Microsoft Office XPのWord 2002やExcel 2002などでは電子署名を付与できたが、画面上ではツールバー上に“署名済み”が表示されるだけであった。署名を行う動作としても、従来の手書きによる署名や捺印とは違ったインターフェイスで行われるため、実用的なものとしてはあまり使われていなかった。

●パソコン決裁4 with PKIの機能

　ここで紹介する「パソコン決裁4 with PKI」は、Microsoft Word 2002やExcel 2002、Adobe Acrobatなどに、電子署名を視覚的に分かりやすい形式、つまり従来から使用されている印影を用いて表示するものだ。

　ユーザーは視覚的に印鑑が押されているという形で、より自然に電子署名を確認することができる。

　また、印鑑を押す動作も実際の印鑑を押す場合と同じように文書上に印影を持ってくることで行われる。これまでも、このような印影を画面上に表示するソリューションはいくつか存在していたが、ここにPKIを使用することで、実用上強固なセキュリティを保つことができるようになる。

　本製品以前の「パソコン決裁」シリーズは、認証局から発行された証明書がないために、個人を証明する明確な手段がなかった。これは、小規模な組織や組織内に限定した運用規定が厳密に決められている場合は有効であったが、大規模な組織や組織間をまたがるような場合、文書の発行者や承認者などを証明する手段が弱かった。今回紹介する「パソコン決裁4 with PKI」では、ベリサインの証明書を使用することでこれらの問題が解決されている。第三者認証としてのPKIを使用することにより、取得した証明書の有効性、発行者の認証が行えるのである。

●証明書の使用方法

　「パソコン決裁4 with PKI」は、文書に印影データを貼り付けた時点では、ユーザーの目に直接触れるのはその印影だけであるが、印影をクリックし「署名の検証」を行うことにより署名が検証され、文書の改ざんや署名者の確認ができる。

　また「パソコン決裁4 with PKI」では、証明書失効リスト（CRL）との照合ができるのでより厳密に証明書の有効性が検証できる。CRLは、有効期限の切れた証明書や、有効期限前に紛失した鍵を取り消すために使われる。

	VeriSign証明書取得からパソコン決裁で使用するまで

　では「パソコン決裁4 with PKI」を使用する手順を見てみよう。「パソコン決裁4 with PKI」は、電子署名を使用する前にまず印影データの取得を申し込む必要がある。シヤチハタに申し込みを行うと約1週間程度で、FDに格納された印影データが送付されてくる（なおこのデータと共にシヤチハタのXstamper―いわゆるシヤチハタの印鑑―も送付される）。この印影データは電子文書に表示されるものである。

図1 送付されてきた印影データ

●証明書の取得し、署名を行う

　証明書は、VeriSign Onsiteより取得したものを使用する。また、すでにPUPPYなどに格納されている取得済みの証明書も使用できる。

　取得した証明書を使用するまでの手順は、次のとおりだ。ここではAcrobat 5.0のプラグインという形でPDF文書に電子署名が行える「パソコン決裁PDF電子署名プラグイン」を使用する。

　まずは、電子署名ハンドラを選択し、「パソコン決裁PDF電子署名プラグイン」を指定する。常にこれを使用したい場合は「デフォルトとして保存」にチェックしておけば電子署名を行うときには自動的に「パソコン決裁PDF電子署名プラグイン」が選択されるようになる。

図2 電子署名ハンドラを選択する

　［パソコン決裁PDF電子署名プラグイン］にログインする。事前に管理画面でユーザー名、パスワードを登録しておき、印影データも選択しておくことを忘れないでほしい。

図3 パソコン決裁 PDF電子署名プラグイン ログイン画面

　ログインを行うと印影イメージが表示される。

図4 印影データ

　次に、表示された印影イメージに、どの証明書を割り当てるかを設定する。［パソコン決裁PDF電子署名プラグイン］画面から［署名条件］を選択する。

図5 証明書に印影を付ける条件を選択

　ここで、［証明書選択］ボタンを押すと、［電子証明書の選択］ダイアログボックスにインストールされている電子証明書の一覧が表示されるので、該当する証明書を選択する。

図6 証明書の一覧

　選択した証明書の内容を確認したい場合は、［電子証明書の選択］ダイアログボックスの［詳細］ボタンを押せば、電子証明書の詳細情報が表示される。

図7 証明書の詳細情報を表示した画面

　このようにして電子証明書を印影データに紐付けすることができた。以下に、証明書を選択し、電子文書（PDF文書）に署名を行ったところを示す。

図8 署名を行った（印影イメージが配置された）文書データ

●署名の検証を行う

　一方、回覧などで電子署名が行われた文書を受け取った場合、これを開くと、署名はまだ検証されていないので署名（印影）の上に“？”が表示されている。

図9 署名（印影）の上に“？”が表示されている

　署名の検証を行う場合は、署名（印影）をダブルクリックするか［署名の検証］メニューから行う。検証された文書は画面左にある署名タブに有効と表示される。

図10 ［署名の検証］メニューから署名の検証を行う

●署名した文書で改ざんを行う

　電子署名された文書に何らかの変更を加えてみよう。例えばAcrobat 5.0で、署名された文書にメモを貼り付けてみる。署名ペインに“文書が変更されています”と表示され、改ざんされたことが分かる。

図11 署名済み文書に改ざんを行うとメッセージが表示される

●使用方法の提案

　「パソコン決裁4 with PKI」を使用してみた感想として、従来の紙文書への署名・捺印で行われていたことは、ほとんどこのソリューションで代替できると思われる。書類を部門間で回覧し、承認のために捺印していた場合と同様に、「パソコン決裁 with PKI」においても複数の担当者の署名を行うこと（多重署名）も可能である。従って、組織内、組織外での文書回覧に電子文書を利用する場合、署名・認証とともに最適なソリューションであろう。

　従来、Acrobat 5.0への電子署名ソリューションでは、文書上に電子的な記号やその情報だけしか表示できなかったが、このソリューションではシヤチハタの印影を用いることにより、紙の文書とほぼ同レベルの視覚的な認識ができる。これで、これまで分かりづらかった電子署名がだれにでも認識できるものとなり、電子署名がより一層導入しやすくなったといえるだろう。

日本電子公証機構 証跡管理 ソリューション（dPROVE）との連携

ロードマップ

■第1回 PKI運用の新しいかたち 　 （1） - PKIの使用用途 　 - マネージドPKIサービス「VeriSign OnSite」とは 　 （2） - VeriSign OnSiteの申請手順 　 - 認証局の設定 　 　 - 証明書利用者が証明書を取得する場合の手順 　 　 - 加入者の承認 　 - ベリサイン マネージドPKIサービスのまとめ ■第2回 ユーザーサイドのソリューション 　 （1） - 電子メール、Webブラウザでの利用 　 （2） - ソニー 指紋認証 ソリューション（PUPPY）との連携 　 （3） - システムニーズ 本人認証 ソリューション（WinSafe）との連携 　 - 広がりが期待できる本人認証ソリューション ■第3回 電子署名ソリューション （1） - シヤチハタ 電子決裁 ソリューション（パソコン決裁）との連携 　 　 - VeriSign証明書取得からパソコン決裁で使用するまで 　 （2） - 日本電子公証機構 証跡管理 ソリューション（dPROVE）との連携 　 　 - dPROVEのサービスとは 　 　 - dPROVEサービスの申し込みおよび、証明書取得の手順 　 （3） - dPROVEのサービスの使用方法 - 連載の最後に