この記事は、DocuWare Windows Clientにのみ適用されます。Web Clientでは電子署名はサポートされていません!
質問:
電子署名の使用条件は何ですか?
回答:
以下に説明する電子署名の使用条件は、ドイツとドイツ署名法に関するものです。他の国の使用条件も類似している場合があります。電子署名のご利用を希望される国の法律規定を必ずお守りください。
チップカード端末として使用されるすべてのデバイスは、署名法および署名条例の条項に基づいて検証および確認されたチップカード端末でなければならず、Microsoft Crypto APIを実装する必要があります。
署名法および署名条例の条項に基づいて、安全であることが検証および確認された署名作成デバイスのみが、パーソナライズされたチップカードとして使用できます。
適格電子署名を利用する場合、管理者は以下のセキュリティガイドラインに従う必要があります:
DocuWare 5クライアントは、専用のコンピューターにインストールすること。DocuWare 5クライアントは、専用のコンピューターにインストールする必要があります。個々のコンポーネントは、1台のコンピューター(シングルモバイルインストール)にインストールすることも、異なるコンピューターにインストールすることもできます。インストールの種類の詳細については、『DocuWareインストールマニュアル』を参照してください。ネットワークインストールを使用する場合、管理者は、保護された環境内で、クライアントとサーバーが安全な回線を介して互いに通信するようにする必要があります。
ローカルネットワーク内の別のコンピューターから当該コンピューターへのアクセスは、ローカルにインストールされたパケットフィルター機構によって防止する必要があります。コンピュータ自体のアプリケーションによる接続のオープンは、動作に必要なIPアドレス、ポート、プロトコルに限定されなければならない。
クライアントおよび/またはサーバーがインストールされているコンピュータは、許可され た担当者しか立ち入ることができない部屋に設置すること。本製品のインストール前および操作中は、コンピューターおよびインストールされているオペレーティングシステムのセキュリティが侵害されていないこと、および侵害されていないことを確認する必要があります。DocuWareソフトウェア自体は署名されており、これを操作すると署名が破壊されるため、DocuWareソフトウェアを起動することはできません。コンピューターにインストールされているオペレーティングシステムは、セキュリティ修正プログラムや更新プログラムが利用可能になった時点でインストールし、常に最新の状態に保つ必要があります。実行時に他のオペレーティングシステムがアクティブであってはならない(仮想マシンは不可)。
DocuWareストレージ構造へのアクセスは、DocuWareサーバー(DocuWare Content Server)専用であること。他のユーザーはアクセスできません。これは、Windowsの権限構造を使用して確保できます。
認定電子署名の作成に使用するDocuWareワークステーションは、ファイアウォールによって外部からの攻撃から保護された内部ネットワーク上で実行する必要があります。コンピュータが存在するローカルネットワークへのパブリックネットワークからのアクセスは、適切に設定されたルーターによって防止されなければならない。さらに、ワークステーションには最新のウィルススキャナーをインストールしなければならない。
使用するチップカード端末は、DocuWareクライアントがインストールされ実行されているコンピューターに直接接続されている必要があります(KIOSKシステムは不可)。
DocuWare Authentication Serverがインストールされているコンピューターのシステムクロックが正確であること。適切なタイムリファレンス(NTP)を使用してシステムクロックを同期することを推奨します。
独自のキーボードを備えたチップカード端末、Microsoft Crypto APIを実装したセキュアな署名作成デバイス(署名カード)、および適格な証明書を使用して適格電子署名を作成する必要があります。これらの端末の適合性も、署名法および署名条例の条項に基づいて検証および確認する必要があります。
組織管理者は、権限を有する者のみが署名スタンプを作成でき、権限を有する者のみが適格電子署名を 生成する署名スタンプを使用できることを保証しなければならない。適格電子署名を生成する署名スタンプは、常に製品のユーザに直接割り当てることを推奨する。管理者は、プロファイル、ロール、またはグループを通じて署名スタンプが割り当てられないようにする必要があります。
組織管理者は、署名スタンプの使用または適格電子署名の作成を許可されたすべての人に、次の条件が適用されることを保証する必要があります:これらの人は、DocuWare 4モードではなく、DocuWare 5モードのバスケットへのアクセス権のみを持っていること、およびバスケットを管理する権利を持っていないこと。
管理者は、DocuWareクライアントがインストールされているコンピューターのWindows証明書ストアに、最新の証明書のみがインポートされるようにしなければなりません。また、管理者は、DocuWareクライアントがインストールされているコンピューターのWindows証明書ストアに、最新のブラックリストのみがインポートされるようにしなければなりません。これは、Windowsオペレーティングシステムの機能(Windows証明書ストア)を使用して確認できます。
署名された文書がDocuWareからエクスポートされる場合、ユーザーは、その文書が不正アクセスから保護されていることを確認する必要があります。
大量署名に使用されるバスケットは、許可された人のみが使用できます。これは、Windowsのセキュリティメカニズムによって保証されなければなりません。
DocuWareは、Microsoft WindowsオペレーティングシステムのコンポーネントであるCrypto APIを使用して署名を作成します。署名作成デバイスが使用するソフトウェアは、このインターフェイスを実装している必要があります。
ハッシュ値は、System.Security.Cryptography名前空間内のアクセス可能な.netクラスを使用して作成されます。ハッシュ値は、XML デジタル署名標準に従って 2 段階のプロセスで生成される。
ユーザーが署名を作成する場合、ユーザー自身の証明書から関連するルート証明書までの証明書チェーン全体をWindow証明書ストアに保存する必要があります。Windows証明書ストアは、サポートされるWindowsオペレーティング・システムのコンポーネントである。
署名がチェックされると、証明書チェーン全体も、当該コンピュータのWindows証明書ストアに保存されなければならない。必須であれば、ユーザー証明書も署名に保存することができる。この場合、チェックを行うパソコンのWindows証明書ストアに存在してはならない。
ご注意:この記事は英語からの翻訳です。この記事に含まれる情報は、オリジナルの英語版製品に基づくものです。翻訳版の記事で使用されている文法などには、細かい誤りがある場合があります。翻訳の正確さを完全に保証することは出来かねますが、ほとんどの場合、十分な情報が得られると思われます。万が一、疑問が生じた場合は、英語版の記事に切り替えてご覧ください。