用語集
この用語集では、ドキュメント全体で使用される NextPDF の用語を定義します。対象は、署名プロファイル、暗号化モード、HTML パイプラインのレイヤー、アクセシビリティ構造、イベントモデル、商用エディションにおけるプライバシー操作などです。各用語には専用のアンカーがあり、他のページから必要な定義へ直接リンクできます。定義は、正規の署名済み用語集と、NextPDF が実装する標準の内容を言い換えたものです。正確な規範的文言が重要な場合は、引用元の標準を参照してください。
AES-GCM
「AES-GCM」という見出しのセクションカウンターモードの AES とガロア体メッセージ認証コードを組み合わせ、機密性と完全性を 1 パスで提供する認証付き暗号化モードです。ISO 32000-2 は、ISO/TS 32002 を通じてこれを導入し、AES-CBC に代わる推奨の認証付き暗号化方式としています。
認証付き復号
「認証付き復号」という見出しのセクション平文を返す前に完全性タグを検証する復号です。NextPDF は、構造的な復号失敗(構成や転送の問題)と、完全性チェックの失敗(検証されなかったコンテンツ)を区別します。2 つの条件を 1 つにまとめるのではなく、例外クラスで分岐します。
CAdES 署名プロファイル
「CAdES 署名プロファイル」という見出しのセクション任意のバイナリコンテンツ向けの ETSI 署名プロファイルファミリーで、ETSI EN 319 122 で定義されています。RFC 5652 の CMS 構造を基盤とし、タイムスタンプと長期検証向けの属性を追加します。PAdES は CAdES の属性モデルを借用し、PDF 署名ディクショナリ内に埋め込みます。
CJK カバレッジ
「CJK カバレッジ」という見出しのセクション中国語、日本語、韓国語の文字体系に必要な Unicode ブロックのうち、フォントの Unicode マップが実際にカバーしている割合です。NextPDF はコードポイントをサンプリングしてこれを推定し、50 パーセントのしきい値を下回るブロックに欠落範囲としてフラグを立てます。この数値はフォント選択には十分な推定値であり、バイト単位で正確な監査結果ではありません。
CAdES と PAdES が使用する署名済みデータ構造を包む、RFC 5652 の署名コンテナです。NextPDF は CMS SignedData ブロブを生成し、PDF 署名ディクショナリの Contents として埋め込みます。
コンテキスト対応例外
「コンテキスト対応例外」という見出しのセクションNextPDF の例外で、ContextAwareExceptionInterface を実装し、getContext() メソッドを公開するものです。このメソッドは、プリミティブ型の診断フィールドの snake_case マップを返します。メッセージ文字列を解析しなくても、ログや APM ペイロードへシリアライズできます。
相互参照テーブル
「相互参照テーブル」という見出しのセクションPDF ファイルの末尾にあるテーブルで、各間接オブジェクト番号を、そのバイトオフセットにマッピングします。NextPDF は、PDF 2.0 形式の相互参照ストリームを優先します。圧縮効率が高く、オブジェクトストリームときれいに統合できるためです。
CSS モジュール
「CSS モジュール」という見出しのセクションSelectors、Values、Fonts、Flexbox など、CSS の 1 つの領域を定義する W3C の成果物です。NextPDF の HTML パイプラインは、特定の Editor’s Draft バージョンにピン留めした CSS モジュールから、厳選されたサブセットを実装します。その範囲は CSS カバレッジ監査に文書化されています。
データと、そのデータが関係する個人とのつながりを除去または低減する一般的なプロセスです。NextPDF Enterprise は、墨消し、行の抑制、または可逆的な仮名化によって、パターン範囲の非識別化を実行します。これは匿名化ではなく、残存する再識別リスクを排除するものではありません。残った属性が依然としてリスクをもたらす可能性があります。
劣化ポリシー
「劣化ポリシー」という見出しのセクション機能が劣化モードで動作する際に、NextPDF が実行する処理を決定する設定です。strict ポリシーは、コンプライアンス、セマンティック、またはブロッキングの影響が生じた場合に例外をスローします。balanced ポリシーは、ブロッキングの影響が生じた場合にのみ例外をスローします。permissive ポリシーは警告を記録し、例外をスローしません。
コレクション範囲のデータ暗号化鍵で、そのメタデータは KMS プロバイダーファクトリから返されます。Enterprise のローカルプロバイダーは、これを HKDF-SHA256 で導出し、メタデータのみを返します。生の鍵バイトは返しません。
Document Security Store: ドキュメント内のすべての署名を検証するために必要な証明書、CRL、OCSP レスポンス、タイムスタンプトークンを aggregate(集約)する PDF 2.0 のカタログエントリです。 PAdES B-LT と B-LTA がこれを設定し、バリデーターはネットワークにアクセスする前にこれを参照します。
FIPS モード
「FIPS モード」という見出しのセクションNextPDF Core が、FIPS 検証済みプロバイダーを読み込んだホストの OpenSSL ビルド上で動作するよう構成された状態です。NextPDF 自体は FIPS 認証を受けていません。このモードでは、暗号処理が検証済みプロバイダーに委譲されるよう、Core が呼び出すプリミティブを制約します。ベストエフォートの 3 状態プローブは、ホストの状態を active、absent、または indeterminate として報告し、indeterminate は未証明として扱います。
フォントサブセット化
「フォントサブセット化」という見出しのセクションドキュメントが参照するグリフのみを含む、縮小されたフォントプログラムを構築する操作です。必要なフォントテーブルを再構築し、Identity CIDToGIDMap が有効なままになるよう、元のグリフ番号を保持します。サブセット化はその行為を指し、フォントサブセットは結果として得られるプログラムを指します。
Enterprise のローカル KMS プロバイダーが使用する HMAC ベースの鍵導出関数です。HKDF-SHA256 形式により、構成されたルート鍵からコレクション固有のデータ暗号化鍵を導出します。
ハードウェアセキュリティモジュール: 秘密鍵を格納し、鍵をホストメモリに一切公開せずに署名を実行する、耐タンパー性のあるデバイスです。NextPDF Enterprise は、PKCS#11 抽象化と controller/worker ドライバーモデルを通じて、ハードウェアセキュリティモジュールと統合します。
HTML パイプライン
「HTML パイプライン」という見出しのセクション4 層のレンダリングパイプラインで、src/Html/ 配下にあり、HTML と CSS を PDF コンテンツストリームに変換します。各レイヤーは、CSS 解析、スタイル状態、レイアウト、ペイント(ADR-010)です。これはエンジン内で最も大きく、最もリスクの高いサブシステムです。
元のバイト列の後に追加される PDF リビジョンで、既存の署名が有効なままになるよう、それ以前のコンテンツを変更せずに残します。
AWS KMS、Google Cloud KMS、Azure Key Vault などのクラウドホスト型の鍵保管庫で、決して外部に出さない鍵を使用し、テナントの代わりに署名します。NextPDF Enterprise は、鍵管理システムを、ハードウェアセキュリティモジュールと並ぶ代替の遅延署名バックエンドとして扱います。
レイアウト
「レイアウト」という見出しのセクションADR-010 の 4 層 HTML パイプラインにおける第 3 層です。resolve(解決)済みのスタイルからボックスの位置とサイズを計算してペイントプランを生成し、PDF オペレーターを直接出力することはありません。これは src/Html/ 内の flex、float、context、table レイアウトヘルパーに属します。
リスナープロバイダー
「リスナープロバイダー」という見出しのセクションイベントクラスを、優先順位付けされたリスナー callable のリストにマッピングするコンポーネント、NextPDF\Event\ListenerProvider です。イベントのクラス階層とインターフェースをたどるため、親型に登録されたリスナーはすべてのサブタイプを監視します。状態は静的に保持されずインスタンス範囲に閉じているため、ワーカーは分離されたままになります。
長期検証: 署名者の資格情報が期限切れになったり、失効サービスが消滅したりした後でも、署名を無期限に検証可能な状態に保つ、署名済み PDF の特性です。NextPDF は、失効情報を Document Security Store に取り込み、既存の各タイムスタンプで使われたアルゴリズムが弱体化する前にアーカイブ用タイムスタンプを更新することで、これを実現します。
光学文字認識: ページ画像を機械可読テキストに変換することです。これは PDF 生成とは別の問題カテゴリです。NextPDF は、ピクセルを意味へ解釈するのではなく、ドキュメントを生成して構造的に検査します。そのため、OCR の作業は専用のパイプラインに属します。
出力インテント
「出力インテント」という見出しのセクションドキュメントの意図された出力条件を宣言する PDF カタログエントリで、通常はターゲットの印刷デバイスや表示色空間を特徴付ける ICC プロファイルです。PDF/A-4 は、デバイス依存の色を使用するドキュメントにこれを要求し、PDF/X プロファイルでは、印刷条件を宣言するためにこれが必要です。
PAdES
「PAdES」という見出しのセクションPDF ドキュメント向けの ETSI 署名プロファイルファミリーで、ETSI EN 319 142 で定義されています。CMS と CAdES を基盤とし、PDF 固有のエンコーディング規則を追加します。これは 4 つのベースラインレベル(B-B、B-T、B-LT、B-LTA)で構成され、埋め込まれた署名にタイムスタンプと長期検証情報を段階的に追加します。
PAdES B-T ベースライン
「PAdES B-T ベースライン」という見出しのセクション署名値に RFC 3161 タイムスタンプトークンを追加する PAdES ベースラインで、署名がタイムスタンプされた時点で存在していたことを証明します。これは PAdES B-B を直接の基盤とします。
PAdES レベル
「PAdES レベル」という見出しのセクション署名の適合性ティアで、B-B、B-T、B-LT、B-LTA などがあり、署名がどの情報を保持するかを決定します。NextPDF は、要求されたレベルに到達できない場合、より高いレベルを表明しながら密かに低いレベルを作り出すのではなく、SignatureLevelUnreachableException を発生させてフェイルクローズします。
ADR-010 の 4 層 HTML パイプラインにおける第 4 層です。レイアウトから渡されるペイントプランを消費し、ライターを通じて PDF オペレーターを出力します。描画プリミティブを呼び出すことが許可されている唯一のレイヤーです。
権限フラグ
「権限フラグ」という見出しのセクション認証されたリーダーが実行できる操作を制御する、PDF 暗号化ディクショナリ内のビットフィールドです。低解像度または高解像度の印刷、コンテンツのコピー、注釈の変更、フォームの入力、組み立てなどがあります。ドキュメントの作成者は、ユーザーパスワードまたは証明書で暗号化する際にこれを設定します。NextPDF は、型付きの PermissionFlags 値オブジェクトを公開します。
個人を特定できる情報: それ単体で、または他の情報と組み合わせて自然人を特定できるあらゆるデータで、氏名、住所、税識別子、生体認証データ、メールアドレスなどが含まれます。 NextPDF Pro の墨消し機能は、下流のツールがデータを復元できないよう、PDF から PII 領域を復元不可能な形で除去します。
PKCS11
「PKCS11」という見出しのセクション現在バージョン 3.1 の OASIS 暗号トークンインターフェースで、アプリケーションがハードウェアセキュリティモジュールやスマートカードと通信するための安定した API を提供します。NextPDF Enterprise の署名ドライバーサブシステムは、ハードウェア鍵へアクセスするための最大公約数的な経路として PKCS#11 を使用します。
識別値をエイリアスに置き換えることです。これは定義上可逆であり、別途保持されるマッピングを使用します。NextPDF Enterprise は、元の値とセッションごとのシードに対する HMAC から、決定論的でフォーマットを考慮した仮名を導出します。バージョン管理された鍵で AES-256-GCM を使用し、元の値から仮名へのマップを保存時に封印します。これは匿名化ではなく、不可逆であると示してはなりません。
PSR-14
「PSR-14」という見出しのセクションイベントディスパッチャー、リスナープロバイダー、停止可能イベントを定義する PHP-FIG 標準です。NextPDF の Event モジュールはこのモデルに従い、ダックタイプ互換のインターフェースを宣言するため、エンジンは psr/event-dispatcher のランタイム依存関係を持ちません。
PSR-20
「PSR-20」という見出しのセクション現在時刻をイミュータブルな日時値として返す単一の読み取り操作を持つ、クロックインターフェースを定義する PHP-FIG 標準です。NextPDF の SystemClock がこれを実装します。固定クロックを注入すると、再現可能な出力から実時間の非決定性が除去されます。
retained と streaming の対比
「retained と streaming の対比」という見出しのセクションレンダラーが出力を生成する前にドキュメント全体のインメモリ表現を構築するのか(retained)、それともトークンを到着順に処理するのか(streaming)を表すアーキテクチャ上の軸です。 NextPDF はエンドツーエンドで streaming であるのに対し、dompdf のような競合エンジンは retained です。
失効アサーション
「失効アサーション」という見出しのセクションOCSP レスポンダーまたは CRL が提供する証明書ステータスの記述で、長期検証の署名レベルのために埋め込まれます。NextPDF は、成功しなかった OCSP レスポンスを、信頼を肯定するアサーションとして扱うことを拒否します。unknown または error ステータスが good に昇格されることは決してありません。
RFC 3161 タイムスタンプ
「RFC 3161 タイムスタンプ」という見出しのセクションタイムスタンプ局が、タイムスタンプ対象データのハッシュに対して発行する TimeStampToken です。 PAdES B-T は、これを使用して署名を検証可能な時点に結び付けます。 NextPDF は、これを署名者情報の署名対象外属性内に、CMS SignedData ブロブとして埋め込みます。
検索可能 PDF
「検索可能 PDF」という見出しのセクションスキャンされたドキュメントのページ画像の上に不可視のテキストレイヤーを持つ PDF で、ページがテキスト選択可能かつ検索可能になります。NextPDF Enterprise は、注入された OCR バックエンドを駆動してこれをオーケストレーションし、ラスタライズとテキスト注入は別個のサイドカーに委譲します。結果は派生ドキュメントとなります。既存の署名は無効になり、コンプライアンスを再検証する必要があります。この機能は、OCR の精度や抽出の再現率について一切保証しません。
シングルパスストリーミング
「シングルパスストリーミング」という見出しのセクショントークナイザーが 1 パスでトークンリストを生成し、パーサーがそれを左から右へ消費して、retained DOM ツリーを構築することなくコンテンツストリームオペレーターを出力する、HTML パイプラインのレンダリングモデル(ADR-001)です。入力側のメモリは、要素数ではなくネストの深さによって制限され、要素の総数には厳格な上限が設けられます。先読みには、retained DOM ではなく、制限された事前スキャンインデックス配列を使用します。
停止可能イベント
「停止可能イベント」という見出しのセクションリスナーが停止できるライフサイクルイベントです。stopPropagation() を呼び出すと、ディスパッチャーはそのディスパッチサイクルにおける残りのリスナーをスキップします。AbstractEvent が StoppableEventInterface を実装しているため、すべての NextPDF ライフサイクルイベントは停止可能であり、PSR-14 の停止可能イベントのセマンティクスを反映しています。
構造ツリー
「構造ツリー」という見出しのセクションタグ付き PDF に論理的な読み上げ順序とアクセシブルな構造を与える、セマンティック要素のツリーです。 これは、ドキュメントカタログの /StructTreeRoot をルートとします。 NextPDF は、トークンが HTML パイプラインを流れる間に、構造ツリーをその場で構築します。
タグ付き PDF
「タグ付き PDF」という見出しのセクション視覚的なコンテンツストリームと並行して論理構造ツリーを持つ PDF で、ISO 32000-2 のセクション 14.7 に従い、支援技術が視覚的なレイアウトではなく構造を読み取れるようにします。
型付き wither
「型付き wither」という見出しのセクションイミュータブルオブジェクト上の専用かつ型安全なコピーメソッドです。たとえば Config::withPageSize() があり、名前付き引数でオブジェクトを再構築して新しいインスタンスを返します。NextPDF は、静的解析と IDE が正確なままになるよう、汎用的な with(string, mixed) セッターの代わりに型付き wither を使用します。
値オブジェクト
「値オブジェクト」という見出しのセクションアイデンティティも I/O も持たない、イミュータブルで値による等価性を持つドメインプリミティブです。 NextPDF は、PageSize、Dimension、Position、Margin などのジオメトリを、final readonly の値オブジェクトとしてモデル化するため、インスタンスは安全に共有できます。 すべての変換は新しいインスタンスを返します。
Document Security Store 配下の Validation-Related Information ディクショナリで、特定の署名のハッシュを、長期拡張時にその署名の検証に使用された証明書、CRL、OCSP レスポンスにマッピングします。これは任意ですが、アーカイブ検証者には推奨されます。