電子署名の検証

検索
Adobe Acrobat マニュアル

目次

対象アプリケーション: Adobe Acrobat 2017 Adobe Acrobat 2020 Adobe Acrobat DC

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

あらかじめ検証の環境設定を設定します。これにより、PDF を開いたときに電子署名が検証され、検証の詳細を署名と共に表示することができます。詳しくは、署名検証の環境設定を参照してください。

電子署名が検証されると、署名ステータスを示すアイコンが文書メッセージバーに表示されます。追加のステータスに関する詳細は、署名パネルおよび署名のプロパティダイアログボックスに表示されます。

電子署名の検証の設定

署名された文書を受け取った場合、その署名を検証して、署名者と署名された内容を確認したい場合があります。アプリケーションの設定方法に従って、検証が自動的に行われる場合があります。署名の正当性は、署名のデジタル ID 証明書ステータスと文書の整合性をチェックして決定されます。

  • 認証検証では、署名者の証明書またはその親の証明書が検証者の信頼済み証明書リストに存在するかが確認されます。また、署名証明書がユーザーの Acrobat または Reader 設定に基づいて有効であるかどうかも確認されます。

  • 文書の整合性検証では、署名された内容が署名後に変更されたかどうかが確認されます。内容が変更されている場合、文書の整合性確認では、その内容が署名者によって許可されている方法で変更されているかが確認されます。

  1. 環境設定ダイアログボックスを開きます。
  2. 分類」で、「署名」を選択します。

  3. 検証」で、「詳細」をクリックします。

  4. 文書を開いたときに PDF 内のすべての署名を自動的に検証するには、「文書を開くときに署名を検証」を選択します。このオプションはデフォルトで選択されています。

  5. 必要に応じて検証のオプションを選択し、「OK」をクリックします。

    検証動作

    検証方法

    これらのオプションで、署名を検証するときに選択するプラグインを決定する方法を指定します。通常は、適切なプラグインが自動的に選択されます。署名を検証するための特定のプラグインの要件については、システム管理者に問い合わせてください。

    署名検証の際に証明書の失効確認が成功することを要求

    検証中に除外された証明書一覧で、証明書をチェックします。このオプションはデフォルトで選択されています。このオプションの選択を解除すると、承認署名の失効ステータスは無視されます。証明用署名の場合、失効ステータスは常にチェックされます。

    検証時刻

    署名の検証に使用する時刻

    電子書名の有効性を確認する方法を指定するオプションを選択します。デフォルトでは、署名が作成された時刻に基づいて時間を確認できます。または、現在の時刻、または文書が署名されたときにタイムスタンプサーバーによって設定された時刻に基づいて確認します。

    期限切れのタイムスタンプを使用

    署名の証明書が有効期限切れであっても、タイムスタンプまたは署名に埋め込まれた保証された時刻を使用します。このオプションはデフォルトで選択されています。このオプションの選択を解除すると、有効期限切れのタイムスタンプは破棄されます。

    検証情報

    検証情報を署名済み PDF に追加するかどうかを指定します。デフォルトでは、検証情報が大きすぎる場合はユーザーに警告します。

    Windows 統合

    署名や証明済み文書を検証するときに Windows 証明書ストアのすべてのルート証明書を信頼するかどうかを指定します。これらのオプションを選択すると、セキュリティに影響する場合があります。

    注意:

    Windows 証明書ストアにあるすべてのルート証明書を信頼することはお勧めできません。Windows と共に配布されている多くの証明書は、信頼済み証明書の設定以外の目的用に設計されています。

Acrobat または Reader では、署名者との間に信頼関係がある場合、証明済みまたは署名された文書の署名は有効になります。証明書の信頼レベルは、署名者のどのアクションを信頼しているかを示します。

証明書の信頼設定を変更すると、特定のアクションを許可することができます。例えば、証明済み文書内のダイナミックコンテンツや埋め込まれた JavaScript を有効にするように設定を変更できます。

  1. 環境設定ダイアログボックスを開きます。
  2. 分類」で、「署名」を選択します。
  3. ID と信頼済み証明書」で、「詳細」をクリックします。
  4. 左側の「信頼済み証明書」を選択します。
  5. 一覧から証明書を選択し、「信頼性を編集」をクリックします。

  6. 信頼」タブで、この証明書を信頼する対象を次のオプションから選択します。

    この証明書を信頼済みのルートとして使用

    ルート証明書とは、ある証明書を発行した認証機関から、証明書の発行を介して連鎖するいくつもの認証機関を次々と追跡して行った際に、最後にたどり着く認証機関の証明書です。ルート証明書の信頼性を保証することにより、その認証機関から発行されたすべての証明書の信頼性が保証されます。

    署名された文書またはデータ

    署名者の ID を確認します。

    証明済み文書

    作成者が署名を使用して証明した文書を信頼します。署名者による文書の証明を信頼し、証明済み文書でのアクションを承認します。

    このオプションを選択すると、次のオプションを使用できるようになります。

    ダイナミックコンテンツ

    ムービー、サウンド、その他のダイナミックエレメントの再生を証明済み文書で許可します。

    埋め込まれている特権の高い JavaScript

    PDF に埋め込まれている特権付きの JavaScript の実行を許可します。JavaScript ファイルは悪意のある方法で使用される可能性があります。このオプションは、信頼している証明書で必要な場合にのみ選択することをお勧めします。

    特権が必要なシステム操作

    インターネット接続、クロスドメインスクリプティング、サイレント印刷、外部オブジェクト参照、および証明済み文書の取り込みおよび書き出し形式の操作を許可します。

    注意:

    埋め込まれている特権の高い JavaScript」と「特権が必要なシステム操作」は、密接な関わりのある信頼できる相手だけに許可してください。例えば、従業員やサービスプロバイダーなどにこれらのオプションを使用してください。

  7. OK」をクリックし、デジタル ID と信頼済み証明書の設定ダイアログボックスを閉じて、環境設定ダイアログボックスで「OK」をクリックします。

詳しくは、電子署名ガイド(Digital Signature Guide)www.adobe.comacrodigsig_jp)を参照してください。

電子署名用の署名パネル

署名パネルには、現在の文書の各電子署名に関する情報と、最初の電子署名後に行われた文書の変更の履歴が表示されます。各電子署名には、検証状況を示すアイコンが表示されています。検証の詳細は各署名の下に一覧表示され、署名を展開することによって表示できます。署名パネルには、文書の署名日時、署名の有効性、署名者に関する情報も表示されます。

Acrobat の署名パネル
署名パネルでの署名の検証

  1. 表示表示切り替えナビゲーションパネル署名を選択するか、文書メッセージバーの「署名パネル」ボタンをクリックします。

注意:

署名パネルの署名フィールドを右クリックすると、署名の追加、クリア、検証などの署名に関連する大半の作業を実行できます。ただし、署名後に署名フィールドがロックされる場合があります。

文書プレビューモードでの署名

文書の整合性が署名ワークフローにとって重要である場合は、文書プレビュー機能を使用して文書に署名します。この機能では、文書の表示方法を変更する可能性があるコンテンツを確認できます。該当するコンテンツは無効になり、文書をスタティックで安全な状態で表示して署名できます。

文書プレビュー機能では、文書にダイナミックコンテンツや外部の依存関係が含まれていないかどうかを確認できます。文書の表示方法に影響する可能性があるフォームフィールド、マルチメディア、JavaScript などの要素が含まれていないかどうかも確認できます。レポートをレビューした後で、レポートに示された問題について文書の作成者に問い合わせることができます。

  1. 環境設定ダイアログボックスを開きます。

  2. 分類」で、「署名」を選択します。

  3. 作成と表示方法」の「詳細」をクリックします。

  4. 署名時に」で、「文書をプレビューモードで表示」を選択し、「OK」をクリックします。

  5. PDF 内で、署名フィールドをクリックして「文書に署名」を選択します。

    文書メッセージバーに、準拠の状態とオプションが表示されます。

  6. (オプション)文書メッセージバーの「レポートの表示」をクリックし(表示されている場合)、一覧内の各項目を選択して詳細を表示します。詳細を確認したら、PDF 署名レポートダイアログボックスを閉じます。

  7. 準拠の状態が十分になったら、文書メッセージバーの「文書に署名」をクリックし、電子署名を追加します。

  8. 元のファイルとは別のファイル名で PDF を保存し、他の変更を行わずに文書を閉じます。

PDF の証明

PDF を証明する場合、PDF の内容を承認したことを示します。また、文書が証明された状態で許可される変更の種類も指定します。例えば、行政機関が署名フィールドのあるフォームを作成するとします。フォームの完成後に機関が文書を証明すると、ユーザーはフォームフィールドのみを変更して文書に署名することができるようになります。ユーザーはフォームに入力して文書に署名することができます。ただし、ページを削除したり注釈を追加したりすると、証明されたステータスは保持されなくなります。

証明用署名を適用できるのは、PDF に他の署名が含まれていない場合だけです。証明用署名には、可視署名と不可視署名があります。署名パネルの青いリボンのアイコン は、有効な証明用署名を示します。証明用電子署名を追加するには、デジタル ID が必要です。

  1. JavaScript、アクション、埋め込みメディアなど、文書のセキュリティを損う可能性がある内容を削除します。

  2. ツール証明書を選択して、パネルを開きます。

  3. 次のいずれかのオプションをクリックします。

    証明 (可視署名)

    証明済み署名を既存の電子署名フィールド(使用可能な場合)、または指定した場所に配置します。

    証明 (不可視署名)

    文書を証明しますが、署名は署名パネルにのみ表示されます。

  4. 画面の指示に従って署名を配置し(該当する場合)、デジタル ID を指定して、「証明後に許可する操作」のオプションを設定します。

    注意:

    署名環境設定」で「署名時に : 文書をプレビューモードで表示」を有効にした場合、文書メッセージバーの「文書に署名」をクリックします。

  5. 元のファイルとは別のファイル名で PDF を保存し、他の変更を行わずに文書を閉じます。元の文書とは異なる名前で保存すると、署名されていない元の文書を保持できます。

文書にタイムスタンプを付与

Acrobat では、ユーザーに ID ベースの署名を要求することもなく、PDF に文書のタイムスタンプを追加する機能を提供します。PDF にタイムスタンプを付与するには、タイムスタンプサーバーが必要です(タイムスタンプサーバーの設定を参照してください)。タイムスタンプによって、特定の時間での文書の認証と存在を確認できます。これらのタイムスタンプは、ETSI 102 778 PDF Advanced Electronic Signatures(PAdES)標準の Part 4 に記載されているタイムスタンプおよび失効の条項に準拠しています。また、Reader X(およびそれ以降)のユーザーは、Reader 拡張機能が文書に含まれている場合は、文書にタイムスタンプを付与できます。

PAdES について詳しくは、blogs.adobe.com/security/2009/09/eliminating_the_penone_step_at.html を参照してください。

  1. タイムスタンプを追加する文書を開きます。

  2. ツール証明書タイムスタンプを選択します。

  3. デフォルトのタイムスタンプサーバーを選択ダイアログボックスで、一覧からデフォルトのタイムスタンプサーバーを選択するか、新しいデフォルトのタイムスタンプサーバーを追加します。

  4. 次へ」をクリックし、タイムスタンプと共に文書を保存します。

電子署名の検証

署名ステータスが不明または未検証の場合は、署名を手動で検証して問題と解決法を決定します。署名ステータスが無効である場合は、問題について署名者に問い合わせてください。

署名の警告、有効および無効な署名について詳しくは、電子署名ガイド(Digital Signature Guide)www.adobe.com/go/acrodigsig_jp)を参照してください。

「署名のプロパティ」を確認して、電子署名とタイムスタンプの有効性を評価します。

  1. 署名検証の環境設定を行います。詳しくは、署名検証の環境設定を参照してください。

  2. 署名が含まれている PDF を開き、署名をクリックします。署名の検証のステータスダイアログボックスに、署名の正当性が示されます。

  3. 署名およびタイムスタンプの詳細情報を表示するには、「署名のプロパティ」をクリックします。

  4. 署名のプロパティダイアログボックスで、「正当性の概要」を確認します。この概要には、次のいずれかのメッセージが表示される場合があります。

    署名の日付と時刻は署名者のコンピューターの時計に基づいています

    時刻は署名者のコンピューターのローカル時間に基づいています。

    署名にタイムスタンプがあります

    署名者はタイムスタンプサーバーを使用しており、そのタイムスタンプサーバーとの信頼関係が設定されています。

    署名にタイムスタンプがありますが、タイムスタンプを検証できません

    タイムスタンプ検証では、信頼済み証明書の一覧にタイムスタンプサーバーの証明書を取得する必要があります。システム管理者に問い合わせてください。

    署名にタイムスタンプがありますが、このタイムスタンプは期限切れです

    Acrobat および Reader では、現在時刻に基づいてタイムスタンプを検証します。このメッセージは、タイムスタンプ署名者の証明書が現在時刻より前に期限切れになる場合に表示されます。Acrobat または Reader で期限切れのタイムスタンプを承認できるようにするには、署名検証の環境設定ダイアログボックス(環境設定署名検証詳細)で、「期限切れのタイムスタンプを使用」を選択します。Acrobat および Reader では、期限切れのタイムスタンプを含む署名を検証する場合に、警告メッセージが表示されます。

  5. 署名者の証明書(署名の信頼設定や法律上の制限など)の詳細情報を表示するには、署名のプロパティダイアログボックスで、「署名者の証明書を表示」をクリックします。

    署名後に文書が変更された場合は、文書の署名バージョンをチェックし、現在のバージョンと比較します。

電子署名の削除

電子署名を挿入した本人で、署名のデジタル ID をインストールしている場合にのみ、電子署名を削除することができます。

  1. 次のいずれかの操作を行います。

    • 電子署名を削除するには、署名フィールドを右クリックして、「署名をクリア」を選択します。
    • PDF 内のすべての電子署名を削除するには、署名パネルのオプションメニューから「すべての署名をクリア」を選択します(署名パネルを開くには、表示表示切り替えナビゲーションパネル署名を選択します)。

電子署名済み文書の以前のバージョンの表示

証明書を使用して文書に署名されるたびに、その時点の PDF の署名バージョンが PDF と共に保存されます。各バージョンが追加専用の形式で保存され、元の文書は変更できません。すべての電子署名とそれぞれの署名に対応したバージョンが署名パネルに表示されます。

  1. 署名パネルで署名を選択して展開し、オプションメニュー から、「署名バージョンを表示」を選択します。

    古いバージョンが新しいウィンドウで開かれ、バージョンの情報と署名者の名前がタイトルバーに表示されます。

  2. 元の文書に戻るには、ウィンドウメニューで文書名を選択します。

署名済み文書のバージョンの比較

文書への署名後、前のバージョン以降に文書に対しておこなわれた変更の一覧を表示します。

  1. 署名パネルで署名を選択します。

  2. オプションメニュー から、「署名バージョンと現在のバージョンを比較」を選択します。

  3. 終了したら、一時文書を閉じます。

署名者の証明書を信頼する

証明書を信頼することには、信頼性管理マネージャーでの信頼済み証明書リストへの追加と信頼レベルの手動設定が含まれます。エンドユーザーは、証明書によるセキュリティを使用する場合に、必要に応じて証明書を交換することがよくあります。または、署名された文書の署名から直接証明書を追加し、信頼レベルを設定します。ただし、企業では、従業員が手動で操作せずに他のユーザーの署名を検証する必要がよくあります。Acrobat では、署名および証明に、信頼点までのチェーン全体のすべての証明書を信頼します。したがって、管理者はクライアントインストールを事前設定するか、エンドユーザーが信頼点を追加できるようにする必要があります。証明書の信頼設定について詳しくは、証明書ベースの署名を参照してください。

自己署名証明書を使用して追加された電子署名は、署名の検証に使用される信頼済み証明書リストに含まれないため、自動的に検証することはできません。自己署名証明書は、サードパーティのアプリケーションを使用して自分で生成した証明書です。証明書がアドビによって信頼されていない限り、手動で署名を検証することはできません。このような PDF を開くと、 1 つ以上の署名に問題がある
ことを示す警告が表示されます。

署名検証の警告メッセージ

警告:

セキュリティ上の理由から、自己署名証明書または、任意のランダムな証明書をアドビの信頼済み証明書リストに追加することはお勧めしません。

電子署名を適用するために使用された証明書をアドビの信頼済み証明書リストに追加するには、次の操作を行います。

  1. 左側のパネルで「署名」ボタンをクリックします。

  2. 署名を右クリックし、「署名のプロパティを表示」をクリックします。

    署名のプロパティ

  3. 署名のプロパティダイアログボックスで、「署名者の証明書を表示」をクリックします。

    署名者の証明書を表示

  4. 証明書ビューアダイアログボックスで、「信頼」タブをクリックし、「信頼済み証明書に追加」をクリックします。

    信頼済み証明書に追加

  5. 信頼設定ポップアップダイアログで「OK」をクリックし、「OK」をクリックします。

PDF ポートフォリオと電子署名

PDF ポートフォリオ内のコンポーネント PDF に署名するか、またはPDF ポートフォリオ全体に署名できます。コンポーネント PDF に署名すると、PDF の編集がロックされ、コンテンツが保護されます。すべてのコンポーネント PDF に署名した後、PDF ポートフォリオ全体に署名し、完成させます。または、PDF ポートフォリオ全体に署名して、すべてのコンポーネント PDF のコンテンツを同時にロックすることができます。

  • コンポーネント PDF への署名については、PDF への署名を参照してください。署名された PDF は自動的に PDF ポートフォリオに保存されます。

  • PDF ポートフォリオ全体に署名するには、表紙に署名します(表示ポートフォリオ表紙)。PDF ポートフォリオ全体に署名した後で、コンポーネント文書に署名を追加することはできません。ただし、表紙には署名を追加できます。

コンポーネント PDF の添付ファイルに対する電子署名

表紙に署名する前に、添付ファイルに署名を追加できます。添付 PDF に署名を適用するには、別のウィンドウで PDF を開きます。添付ファイルを右クリックし、コンテキストメニューから「ファイルを開く」を選択します。PDF ポートフォリオで署名を表示するには、表紙に移動して、文書メッセージバーと署名パネルウィンドウを表示します。

署名および証明済みの PDF ポートフォリオ

正しく署名または証明された PDF ポートフォリオには、PDF ポートフォリオを承認または証明する 1 つ以上の署名が含まれます。最も重要な署名がツールバーの署名バッジに表示されます。すべての署名の詳細は表紙に表示されます。

Acrobat の署名バッジ
署名バッジは、PDF ポートフォリオの承認または証明を確認するための簡単な手段を提供するものです。

  • PDF ポートフォリオに署名した組織またはユーザーの名前を確認するには、署名バッジにポインターを合わせます。

  • 署名バッジに表示されている署名の詳細を表示するには、署名バッジをクリックします。表紙と左側に署名パネルウィンドウが開き、詳細が表示されます。

PDF ポートフォリオの承認または証明が無効であるか、問題がある場合、署名バッジに警告アイコンが表示されます。問題の説明を表示するには、署名バッジの警告アイコンにポインターを合わせます。それぞれの状況に対して、異なる警告アイコンが表示されます。

警告の一覧および各警告の説明については、電子署名ガイド(Digital Signature Guide)www.adobe.com/go/acrodigsig_jp)を参照してください。

XML データ署名

Acrobat および Reader は、XML Forms Architectures(XFA)フォームでデータを署名するために使用される XML データ署名をサポートしています。フォーム作成者は、ボタンクリック、ファイル保存、または送信などのフォームイベントに対する XML 署名、検証、またはクリアの手順を提供します。

XML データ署名は、W3C XML-Signature 標準に準拠しています。PDF 電子署名と同様に、XML 電子署名は文書の整合性、認証、否認防止を確保します。

ただし、PDF 署名には複数のデータ検証状態があります。ユーザーが PDF 署名されたコンテンツを変更したときにいくつかの状態が呼び出されます。それに対して、XML 署名には 2 つのデータ検証状態、有効と無効のみがあります。ユーザーが XML署名されたコンテンツを変更すると無効な状態が呼び出されます。

長期署名の検証の確立

長期署名の検証では、文書の署名から長期間経っても、その署名の正当性を確認できます。長期署名の検証を実現するには、署名の検証に必要な要素を署名された PDF 文書に埋め込む必要があります。このような要素の埋め込みは、文書への署名時に行うことも、署名の作成後に行うこともできます。

PDF 文書に長期署名のための情報が埋め込まれていない場合、署名は一定の期間しか検証できません。このような制限があるのは、署名に対する証明書の有効期限が切れるか、または失効するからです。証明書の有効期限が切れると、発行元の認証機関はその証明書の失効ステータスを提供しなくなります。失効ステータスとの照合ができなければ、署名を検証することはできません。

署名の検証を確立するために必要な要素には、署名証明書チェーン、証明書失効ステータス、そして設定によってはタイムスタンプが含まれます。必要な要素がすべて揃い、署名時に埋め込まれた場合は、検証のための外部リソースを要求して、その署名は検証できます。Acrobat と Reader は、必要な要素が入手可能であれば、その要素を埋め込むことができます。PDF 作成者は、Reader ユーザーの使用権限を有効にする必要があります(ファイルその他の形式で保存Reader 拡張機能が有効な PDF)。

注意:

タイムスタンプ情報を埋め込むには、正しく設定されたタイムスタンプサーバーが必要です。また、署名検証時刻を保証された時刻に設定する必要があります(環境設定セキュリティ/詳細環境設定の「検証」タブ)。CDS 証明書は失効やタイムスタンプなどの検証情報を署名者からのコンフィギュレーションを必要としないで文書に追加できます。ただし、署名者は適切な情報を取得するためにオンラインである必要があります。

署名時の検証情報の追加

  1. お使いのコンピューターから適切なネットワークリソースに接続できるようにしてください。

  2. 環境設定の「署名の失効ステータスを含める」が選択されていることを確認します(環境設定署名作成と表示方法詳細)。これはデフォルトで選択されています。

  3. PDF に署名

証明書チェーンのすべての要素が揃うと、情報が自動的に PDF 文書に追加されます。タイムスタンプサーバーが設定されている場合は、タイムスタンプも追加されます。

署名後の検証情報の追加

ワークフローによっては、署名時には署名検証情報が得られないことがありますが、そのような場合は後で入手できます。例えば、会社の役員が遠方に出張し、ラップトップ PC で契約書に署名を行った場合などが考えられます。現地では、ラップトップ PC をインターネット接続して、署名に追加するタイムスタンプと失効情報を入手することができません。その後、インターネット接続が可能になった際には、署名を検証する誰もが、入手した情報を PDF 文書に追加することができます。ここで入手した情報は、その後の署名検証でも使用することができます。

  1. お使いのコンピューターが適切なネットワークリソースに接続できることを確認したうえで、PDF 文書の署名を右クリックします。

  2. 検証情報の追加」を選択します。

PDF にこの長期検証(LTV)情報を含めるために使用される情報および方法は、ETSI 102 778 PDF Advanced Electronic Signatures(PAdES)標準の Part 4 に準拠しています。詳しくは、blogs.adobe.com/security/2009/09/eliminating_the_penone_step_at.html を参照してください。署名が無効の場合、または自己署名証明書で署名されている場合には、このコマンドは使用できません。このコマンドは、検証時刻が現在時刻に等しい場合にも使用できません。