CA（Certificate Authority）：セキュリティ用語事典

　電子的な身分証明書を発行し、管理する機関。認証局、CA局またはCAセンターと呼ぶ場合もある。CAには、“パブリックCA”と“プライベートCA”があり、前者は本人性を第三者が発行する証明書により証明するもので、電子商取引など不特定多数の広い範囲で運用される。

　電子署名法（2001年4月施行）で規定されている「特定認証業務を行う指定調査機関」もパブリックCAである。一方のプライベートCAは、企業内や特定の取引先などある程度閉じた範囲で、企業ポリシーに基づいて運用される。

　認証機関は、証明書所有者の鍵ペア（秘密鍵と公開鍵）に対して公開鍵証明書を発行する。この際、認証機関は認証機関自身の秘密鍵で、証明書所有者の公開鍵証明書に署名する。この署名こそ“認証機関が信頼を与え保証する”という意味を持つ。

　認証機関の信頼性が発行された証明書の信頼性に結びつくため、認証機関（特にパブリックCA）の基本要件には以下の項目がある。

［認証機関の管理要件］

1. 技術レベルの維持
   運営に必要な専門知識を有する要員を雇用し、技術レベルを維持していること
2. 財政基盤の維持
   業務の安定かつ継続運用および損害への対応のために十分な財政基盤を維持していること
3. 業務手続き、標準の策定
   認証業務が確実かつ安全に実施されるために、業務遂行に必要な手続き、標準を定め、要員の訓練、業務の監査を実施していること
4. 個人情報の管理
   利用者本人の合意がある場合を除き、当該個人情報を開示しないこと
5. 利用条件の通知
   証明書の発行相手に対して契約を行う前に、わかりやすい表現と確実な通信手段によって、証明書の利用、制限などに関する正確な条件を通知し、また、これらの条件に関して証明書利用者（契約者）からの問い合わせに応じられること
6. 定期的監査の実施と結果の公表
   外部の監査機関によって、管理、運用、システム・設備要件に関する監査を定期的に受け、監査結果を公表すること

［認証機関の運用要件］

［認証機関のシステム・設備要件］

1. システムの高信頼性および用途特定
   認証機関の運営に必要な設備、システムは、信頼性の高いものであり、目的以外の用途に使用されないようにすること
2. 障害復旧のためのバックアップ
   システムの障害や災害時の障害に対して登録、証明書発行・失効に関連する情報の損失を防ぎ、サービスの停止を最小限に止めるために、データのバックアップ機能およびシステム・バックアップ措置を講じなければならない
3. システム、設備へのアクセス制御
   認証機関の設備に対して入退室管理や設備の監視などの物理的セキュリティ機能を備え、かつシステムに対しては操作の役割に応じたアクセス制御を備えること。 また、ネットワークからの不正アクセス対策を講じなければならない

関連用語

■AA（Attribute Certificate Authority）
■AC（Attribute Certificate）