検索
連載

CA(Certificate Authority)セキュリティ用語事典

認証機関/認証局

PC用表示
Share
Tweet
LINE
Hatena

 電子的な身分証明書を発行し、管理する機関。認証局、CA局またはCAセンターと呼ぶ場合もある。CAには、“パブリックCA”と“プライベートCA”があり、前者は本人性を第三者が発行する証明書により証明するもので、電子商取引など不特定多数の広い範囲で運用される。

 電子署名法(2001年4月施行)で規定されている「特定認証業務を行う指定調査機関」もパブリックCAである。一方のプライベートCAは、企業内や特定の取引先などある程度閉じた範囲で、企業ポリシーに基づいて運用される。

 認証機関は、証明書所有者の鍵ペア(秘密鍵と公開鍵)に対して公開鍵証明書を発行する。この際、認証機関は認証機関自身の秘密鍵で、証明書所有者の公開鍵証明書に署名する。この署名こそ“認証機関が信頼を与え保証する”という意味を持つ。

 認証機関の信頼性が発行された証明書の信頼性に結びつくため、認証機関(特にパブリックCA)の基本要件には以下の項目がある。

[認証機関の管理要件]

  1. 技術レベルの維持
    運営に必要な専門知識を有する要員を雇用し、技術レベルを維持していること
  2. 財政基盤の維持
    業務の安定かつ継続運用および損害への対応のために十分な財政基盤を維持していること
  3. 業務手続き、標準の策定
    認証業務が確実かつ安全に実施されるために、業務遂行に必要な手続き、標準を定め、要員の訓練、業務の監査を実施していること
  4. 個人情報の管理
    利用者本人の合意がある場合を除き、当該個人情報を開示しないこと
  5. 利用条件の通知
    証明書の発行相手に対して契約を行う前に、わかりやすい表現と確実な通信手段によって、証明書の利用、制限などに関する正確な条件を通知し、また、これらの条件に関して証明書利用者(契約者)からの問い合わせに応じられること
  6. 定期的監査の実施と結果の公表
    外部の監査機関によって、管理、運用、システム・設備要件に関する監査を定期的に受け、監査結果を公表すること

[認証機関の運用要件]

  1. 署名鍵および関連データの保護
    証明書の発行などに使用する署名生成システムにおいて、署名生成に使用する署名鍵およびデータに関し、その作成から廃棄までの全てのライフサイクルにわたり、十分な機密性を確保し、解読、漏えいなどによる証明書の偽造が行われないようにすること
  2. 対象確認
    証明書を発行する対象の確実性について適切な手段により確認すること
    • 対象確認について、そのポリシーと運用規程を明確に定めること
    • 対象確認の認証レベルは、適用されるサービスの社会的な要求に適合させること
  3. 失効処理
    証明書を発行した相手もしくは認証機関の都合により証明書の失効を行う場合は、迅速かつ適切に行うこと
    • 証明書の失効に関するポリシーと運用規程を明確にし、その限界を示すこと
    • 失効要求者の本人確認を行うこと
    • 証明書の失効日時を明示できること。
  4. 証明書の有効性確認
    必要に応じて、発行した証明書に関する利用者からの有効性確認(CRL)の問い合わせに適宜応じられるようにすること。
    • 失効中の証明書はその旨を利用者に公知すること
    • 証明書の有効性確認で適用される技術(タイムラグなど)の限界を明確にすること
  5. 証明書の保存
    証明書およびその発行・失効に関連する情報を、電子的な形態もしくは文書により必要な期間保存しておくこと
  6. 利用者署名鍵の複製禁止
    鍵管理サービスを行う場合に、本人が明確に要求する場合を除き、証明書を取得した本人の署名鍵生成に使用したデータおよび署名鍵を保存、複製してはならないこと

[認証機関のシステム・設備要件]

  1. システムの高信頼性および用途特定
    認証機関の運営に必要な設備、システムは、信頼性の高いものであり、目的以外の用途に使用されないようにすること
  2. 障害復旧のためのバックアップ
    システムの障害や災害時の障害に対して登録、証明書発行・失効に関連する情報の損失を防ぎ、サービスの停止を最小限に止めるために、データのバックアップ機能およびシステム・バックアップ措置を講じなければならない
  3. システム、設備へのアクセス制御
    認証機関の設備に対して入退室管理や設備の監視などの物理的セキュリティ機能を備え、かつシステムに対しては操作の役割に応じたアクセス制御を備えること。 また、ネットワークからの不正アクセス対策を講じなければならない

関連用語

AA(Attribute Certificate Authority)
AC(Attribute Certificate)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る