CP:認証書ポリシー/CPS:認証業務規程 | KPMG | JP

CP:認証書ポリシー/CPS:認証業務規程

CP:認証書ポリシー/CPS:認証業務規程

CP(Certificate Policy:証明書ポリシー)およびCPS(Certification Practice Statement:認証業務規程)は、「CP/CPS」と表記されることがありますが、本来これらは異なる文書です。

関連するコンテンツ

CPは、電子認証局が発行する電子証明書の記載事項や本人確認方法等を明記した文書です。CPSは、電子認証局による電子証明書の発行、失効、電子認証局の業務の運用管理の手続、電子認証局を運営する企業、団体、利用者の責任と義務等について、物理的コントロールや人的コントロール、システム運用、データのセキュリティ確保等の観点から定めた文書です。

CPSの主な項目

CPおよびCPSについては、項目や内容の明確な分担の定義はありません。近年では、CPSの中にCPの内容を含めて記載する形態や、1つの商業ベースの電子認証局で複数のCPおよびCPSを持つ事例も見られます。IETF(Internet Engineering Task Force)が定めるRFC(Request For Control)2527の中に、CPおよびCPSのフレームワークが記載されおり、電子認証局でCPおよびCPSを作成する場合、これに準拠する形態が主流となっています。

CPSの主な項目(CPを含むCPSの例)

1.はじめに 本CPSの適用対象となる電子認証局の概要の説明
2.用語の定義 本CPSで使用される用語の定義
3.一般的な規定 電子認証局および利用者の義務と責任、人事管理、法令の遵守、料金、利用者への公開情報、準拠性監査の実施
4.識別と本人認証 電子証明書の初期登録・更新・失効申請
5.運用に関する要件 電子証明書の発行手順、失効手順、セキュリティ監査手順、記録の保管、電子認証局秘密鍵の危殆化への対応、認証業務終了
6.物理的・手続き的および要員的なセキュリティ統制 設備管理、入退室管理、災害対策、論理的アクセスコントロール、要員教育
7.技術的なセキュリティ統制 電子認証局の鍵ペアの生成・活性化・バックアップ・破棄、暗号装置
8.電子証明書とCRLプロファイル 電子証明書の掲載内容、CRL(電子証明書失効リスト)の掲載内容
9.仕様の管理 本CPSの変更手続、利用者への公開

電子認証に関する基準

電子認証に活用されている技術に関する基準には、RFC2527以外にも電子証明書フォーマットおよび電子証明書失効リストフォーマットを定義したRFC3280等があります。また、暗号装置の安全性の基準として、アメリカのNIST(National Institute of Standards and Technology )によるFIPS(Federal Information Processing Standard)140号があげられます。また、電子認証サービスの技術要件および運用要件を定めた基準として、代表的なものがいくつかあります。

電子認証に関わる代表的な基準

海外

基準等の名称
所管団体
内容
海外 WebTrust for CA AICPA, CICA ライセンスを受けた公認会計士や監査法人による認証局監査を受け、基準に準拠が認められた場合に、認証局にマークを付与されます。Internet ExplorerやNetscape にルートCA証明書を組み込む場合の要件となっています。
Compliance and Controls Assessment Guidelines for Issuers(CCAG) Identrus社 世界の大手銀行が共同で電子認証局の運営会社として、金融機関の電子商取引を安全に行うことを目的にIdentrus社を設立し、電子認証サービスの基準を作成しました。海外では、ABN AMRO Bank, Bank of America, Deutsche Bank ,Barclays, Chase Manhattan, Citigroup, HypoVereinsbankが参画し、日本国内では、主要銀行を中心に取り組みを進めています。

 

国内

基準等の名称 所管団体
内容
特定認証業務の認定
総務省
法務省
経済産業省
電子署名法で定められた特定認証業務の認定基準です。電子政府関連事業で使用する電子認証サービスは、この認定取得が要件となっています。
政府認証基盤認証基盤におけるブリッジ認証局の相互認証基準 総務省
行政管理局
中央省庁が運営する「府省認証局」と民間企業や団体が運営する電子認証局が「ブリッジ認証局」と相互認証を行うための要件です。
世界の大手銀行が共同で電子認証局の運営会社として、金融機関の電子商取引を安全に行うことを目的にIdentrus社を設立し、電子認証サービスの基準を作成しました。海外では、ABN AMRO Bank, Bank of America, Deutsche Bank ,Barclays, Chase Manhattan, Citigroup, HypoVereinsbankが参画し、日本国内では、主要銀行を中心に取り組みを進めています。

お問合せ

 

RFP(提案書依頼)

 

送信