ソフトウェアの発行元を確認するために使用する証明書|科目A-1 令和7年 秋期午前試験 問37
出典:令和7年秋期 午前 問37
分野:セキュリティ / 情報セキュリティ
デジタル署名が付与されたソフトウェアをインストールするときに,そのソフトウェアの発行元を確認するために使用する証明書はどれか。
- ア:EV SSL証明書
- イ:クライアント証明書
- ウ:コードサイニング証明書
- エ:サーバ証明書
TSUNAGARU-ADVICE
まず押さえたいこと
コードサイニング証明書は、ソフトウェアの発行元を確認し、配布後に改ざんされていないことを検証するために使われます。デジタル署名付きソフトウェアでは、誰が署名したソフトウェアかを証明書で確認する点が重要です。
迷ったときの判断軸
SSL証明書やサーバ証明書は、主にWebサイトやサーバの正当性を確認するためのものです。クライアント証明書は、利用者や端末の認証に使われます。「ソフトウェア」「発行元」「デジタル署名」というキーワードが出たら、コードサイニング証明書を選ぶと判断しやすくなります。
科目Bにつなげるために
特に情報処理安全確保支援士試験合格を目指す方は、コードサイニングを、ソフトウェアの配布元確認と改ざん検知の仕組みとして理解しておくと有効です。マルウェア対策・サプライチェーン攻撃・証明書検証・署名の失効確認などの実務場面につながります。
コードサイニング証明書は、ソフトウェアやプログラムにデジタル署名を付与するために使用される証明書です。
利用者がソフトウェアをインストールするとき、デジタル署名を検証することで、そのソフトウェアが正当な発行元によって作成されたものか、また配布後に改ざんされていないかを確認できます。
問題文では、デジタル署名が付与されたソフトウェアの発行元を確認するとあるため、コードサイニング証明書が該当します。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:EV SSL証明書
⇒EV SSL証明書は、Webサイトの運営組織を厳格に審査したうえで発行されるSSL/TLS証明書です。Webサイトとの通信の暗号化やサーバの実在性確認に使われるものであり、ソフトウェアの発行元確認に使う証明書ではありません。
イ:クライアント証明書
⇒クライアント証明書は、利用者や端末などクライアント側の身元確認に使われます。サーバへアクセスする利用者を認証する目的で使われるため、ソフトウェアの発行元を確認する証明書ではありません。
エ:サーバ証明書
⇒サーバ証明書は、Webサーバなどの身元確認と通信の暗号化に使われる証明書です。HTTPS通信でアクセス先サーバが正当であることを確認するためのものであり、ソフトウェアに付与されたデジタル署名の発行元確認にはコードサイニング証明書を使います。