～強固なアイデンティティ認証で、より信頼性の高いソフトウェアの配布が可能に～

　GMOインターネットグループのGMOクラウド株式会社の連結会社で、電子認証サービスを展開するGMOグローバルサイン株式会社（代表取締役社長：中條 一郎　以下、GMOグローバルサイン社）は、ソフトウェアに対してデジタル署名ができる電子証明書「EVコードサイニング証明書」を本日2014年12月11日より、ソフトウェアなどの開発会社向けに提供開始いたしました。
「EVコードサイニング証明書」で行う電子署名は、ソフトウェアが署名後に第三者によって改ざんされていないことに加え、厳格な審査によりソフトウェアの開発・提供元（配布元）の法人または公共団体の実在性を証明します。ユーザーに安心してソフトウェアをご利用いただけるよう、ソフトウェアの信頼性を高めることが可能になります。

【「EVコードサイニング証明書」提供開始の背景】

　オンラインで配布されているソフトウェアを安全に利用するためにも、ユーザーはそのソフトウェアが配布元から正規にリリースされたものであるかを確認する必要があります。しかし、正規に配布されたものであっても配布の過程で悪意のある改ざんが行われ、マルウェアが混入している可能性があり、利用には注意が必要です。
　GMOグローバルサイン社では、こうしたリスクへの対策として、ソフトウェアにデジタル署名を行うことで、署名後に第三者によって変更・改ざんされてないことを保証する「コードサイニング証明書」を2008年から提供しています。ActiveX、Java、Microsoft Office、VBA、Adobe®AIR®といったプラットフォームやアプリケーションに対応しており、個人の開発者でもご利用いただけます。

しかし、最近では、証明書自体を盗用や偽装によって不当に獲得し、有害なソフトウェアに署名を行う事例も出現し、ソフトウェアの開発元の身元確認の厳格化が求められるようになっています。
そこでGMOグローバルサイン社は、「コードサイニング証明書」の機能に加え、証明書を所有するソフトウェアの開発元（法人）の実在性や本人性といった身元（＝アイデンティティ）を厳密に審査することで信頼性の高い証明書を発行できる「EVコードサイニング証明書」の提供を開始いたしました。

【「EVコードサイニング証明書」について】

　「EVコードサイニング証明書」は、USBトークン（※1）によって署名鍵の保護を強化し、CA/Browser Forum（※2）とMicrosoft社の認証ガイドラインに準拠しているため、開発元の法人は「EVコードサイニング証明書」を利用してデジタル署名を行うことで、より信頼性の高いアプリケーションやソフトウェアをユーザーに提供することができます。
（※1）IC カードと同じ技術で作られている「鍵データ」保存専用のセキュリティデバイス。USB フラッシュメモリと形状は似ているが中身は大きく異なり、高度な暗号処理機能を持つ専用小型 IC チップを搭載しているため、銀行のキャッシュカードと同等のセキュリティ機能を持ちます。紛失・盗難による悪用のリスクを防ぐため、USB トークンにはPIN コードが設定されています。決められた回数以上 PIN を間違えて入力するとロックされるので、総当たり攻撃（ブルートフォース攻撃）に対しても高いセキュリティを発揮します。
（※2）SSLサーバ証明書の標準的な発行ガイドライン策定を目的に、2005年に認証局とインターネットブラウザベンダー、ソフトウェアベンダーによって結成された業界団体。

特徴１．より広範囲かつ厳格なアイデンティティ証明
「EVコードサイニング証明書」で検証するアイデンティティ情報は、従来の「コードサイニング証明書」で証明する発行者名はもちろんのこと、配布元の組織の所在地（住所）をはじめ、法人か公共団体かといった組織タイプも含まれます。証明書の発行にはGMOグローバルサイン社の厳格な審査プロセスを経る必要があるため、有害ソフトの配布をたくらむ第三者による企業のなりすまし（偽装）や、登記が無く悪意を持った架空の開発会社などに証明書を不当に取得されることを防ぎます。。

特徴２．二要素認証
従来の「コードサイニング証明書」が開発者側のシステム内に置かれるのに対して、「EVコードサイニング証明書」は暗号化されたUSBトークンのみに保管されます。ハードディスク内ではなくUSBトークンに保管することで、証明書の秘密鍵の盗難やコピーを防止し、悪質なソフトウェア配布に利用されるといったリスクを減らします。

特徴３．Microsoft社SmartScreenの高評価を獲得できる
Microsoft社のSmartScreen(スマートスクリーン)は、フィッシングサイトやマルウェアの埋め込まれたウェブサイトなど、悪意のある Web サイトと判断した場合、必要に応じてサイト全体をブロックし、警告を発するInternet Explorerのセキュリティ機能です。危険性があると判断されたソフトウェアも即座にダウンロードをブロックします。
「EVコードサイニング証明書」はMicrosoft社のサポートによって高い安全性が保証されているため、Windows 8/Internet Explorer 9.0以降のユーザー環境向けに配布されたソフトウェアは、配布を開始して間もなくSmartScreenから評価を得ることができ、警告メッセージが表示されることなくユーザーのダウンロードを促すことができます。

＜利用料金＞（税抜）

■GMOグローバルサイン社　CPO（最高製品責任者）　Lila Kee コメント
『以前にも増して、インターネットは適切な保護、つまりダウンロードするソフトウェアが安全であることをエンドユーザーに保証するニーズが出てきています。マルウェア開発者は不正に取得した「コードサイニング証明書」でブラウザやオペレーティングシステムのインストーラーの抜け道をパスする新しい手法の知識を得てきています。顧客や開発者が、コードだけでなくアイデンティティとソフトウェアの評判も保護するために、グローバルサインは最も厳格な認証とセキュリティを併せ持つ、新商品「EVコードサイニング証明書」を販売開始いたします。』

■Microsoft社 セーフティサービス部　ゼネラルマネジャー　John Scarrowコメント
　『開発者のアイデンティティ、コードサイニングのセキュリティ、ユーザーの安全を確証する第一歩として、認証局ビジネスにおける「EVコードサイニング証明書」の提供開始をサポートできて光栄に思います。開発者のアイデンティティ証明だけでなく、「EVコードサイニング証明書」はコード署名プロセスをさらにセキュアにするハードウェア構成が要求されます。これによりEVコード署名されたアプリケーションは、Microsoft社SmartScreenのアプリケーション評価サービスにおいて即座に評価を確立することができるのです。』

【「GlobalSign」とは】

　世に電子認証サービスが登場し始めた初期段階の1996年にベルギーでサービスの提供を開始し、ヨーロッパで初めてWebTrustを取得した認証局です。ベルギー政府関連機関への数多くの実績を持ち、eID※3(BELPIC)をはじめとするベルギー電子政府プロジェクトの最上位認証局である、ベルギー政府認証局への認証を行っています。2006年にGMOインターネットグループにジョインし、政府レベルのセキュリティを、日本をはじめワールドワイドに販売展開しております。現在では、50万枚以上のSSLサーバ証明書発行実績をはじめ、政府関連機関や大手企業へ多数の納入実績があります。また、『CABF(CA/Browser Forum)』、『Anti-Phishing Working Group』に参加し、電子証明書市場のリーディングカンパニーとして積極的な活動を行っています。

※3eID：ベルギーの電子政府プロジェクトの一環として始まった国民IDカードプロジェクト。12歳以上のベルギー全国民に対して電子証明書入りのIDカードが配布される。

以上

【サービスに関するお問い合わせ先】

【報道関係お問い合わせ先】

【GMOグローバルサイン株式会社】　（URL：http://jp.globalsign.com/）

【GMOクラウド株式会社】　（URL：http://www.gmocloud.com/）

【GMOインターネット株式会社】　（URL：http://www.gmo.jp/）