メニュー
【SSL証明書】FAQ/情報
↑ 上へ
注文
検索
コードサイニング証明書とは?電子署名の仕組みとOV・EVの違い
ページ更新日:2026/04/24
コードサイニング証明書(Code Signing Certificate)は、ソフトウェアやスクリプトにデジタル署名を付与するための証明書です。
ダウンロードしたファイルが「誰が作ったか(発行元の実在性)」「改ざんされていないか(完全性)」をユーザーのOS・ブラウザが自動的に確認できるようになります。
なぜコードサイニング証明書が必要なのですか?
署名のないソフトウェアをユーザーが実行しようとすると、WindowsやmacOSが警告を表示します。
特にWindowsでは「SmartScreen フィルター」が作動し、「発行元不明のアプリ」として強い警告画面が表示されることがあります。
コードサイニング証明書で署名することで、この警告を抑制し、ユーザーへの信頼感を向上させます。
- Windowsインストーラー(.exe / .msi)
- PowerShellスクリプト(.ps1)
- Javaアプレット・JARファイル
- ドライバー・カーネルモジュール
- macOSアプリ・Adobe Air、その他スクリプト
コードサイニング証明書の署名の仕組み
- コードサイニング証明書を取得(OV または EV)
- 配布するソフトウェアファイルに、署名ツール(signtool.exe など)でデジタル署名を付与
- ユーザーがファイルを受け取ると、OSが証明書チェーンと署名を自動検証
- 署名が正当と判定されると、発行元組織名が表示され警告なしで実行可能に
OV と EV コードサイニング証明書の違い
| 項目 | OV(実在認証) | EV(EV認証) |
| 審査内容 | 組織の実在確認・電話確認 | OVよりさらに厳格な組織審査 |
| SmartScreen フィルター | 初期は警告が出る場合あり(評判の蓄積で改善) | 即時に警告なし(SmartScreen信頼度が高い) |
| ドライバー署名 | 一般ドライバーはOVで可 | Windowsカーネルモードドライバーに必須 |
| 価格 | 比較的低コスト | OVより高価 |
| こんな場合に | 一般的なソフトウェア配布、スクリプト署名 | 新リリース・ドライバー・SmartScreen対策を最優先する場合 |
USBトークン(ハードウェアトークン)とは?
デジサートをはじめ多くの認証局では、2023年以降 OV・EV ともにコードサイニング証明書の秘密鍵をハードウェアデバイスに格納することが必須となりました(CA/Browserフォーラムの要件)。
具体的には以下のいずれかを利用します:
- USBトークン(SafeNet eToken 5110 CCなど):認証局から郵送納品。物理的に鍵を保護する最もシンプルな方法。
- HSM(ハードウェアセキュリティモジュール):既存のHSMデバイスへ格納。
- クラウドHSM:AWS CloudHSM・Azure Dedicated HSMなどのクラウドサービスへ格納。
ソフトウェア(ファイル形式)での納品は 2023年6月以降 禁止されています。
コードサイニング証明書の主な用途
- Windowsソフトウェア開発者:SmartScreen警告を抑制し、ユーザーへ安心してインストールしてもらう
- デバイスドライバー開発者:Windowsカーネルモードドライバーの署名(EV必須)
- PowerShell / スクリプト配布:企業内のPowerShellスクリプトへの署名(実行ポリシー対応)
- macOS アプリ配布:Apple Notarization(公証)と組み合わせて使用
- Java / Adobe AIRアプリ:JARファイルへの署名