PKIを立ち上げてみよう！

特集　PKI導入の手引き

Part.1　PKIを立ち上げてみよう！（3）
～PKIの設計から運用開始まで～

内田昌宏
ネットマークス
2000/8/28

■8. CPS：認証実施規定

　パブリックな認証局を運営しようとする場合には、これまで本稿で記述した内容も含めて、認証機関としてのセキュリティ・ポリシ、責任や義務、約款および外部との信頼関係などに関する詳細を規定した文書を公開しなければならない。同時にCPSは、認証機関が外部監査を受ける際の重要な指針ともなる。

　CPSには、大別して2つのタイプがある。1つは証明書のライフサイクルを軸に構成された「ライフサイクル型」、もう1つはRFC2527に代表される認証局の業務、手順、システムなどをカテゴリごとに区分し、それぞれ独立した項目を軸に構成される「標準型」である。CPSの読者にとって理解が容易なのは、一連の流れにそってまとめられているライフサイクル型であるが、作成のし易さ、柔軟性、監査時の利用のし易さから、最近では標準型をモデルに構成されることが多い。

　RFC2527で提案されているフレームワーク（目次）を以下に示す。

1. はじめに

1.1 概要
1.2 アイデンティフィケーション
1.3 適用範囲（認証局／登録局／契約者／適用業務）
1.4 連絡先（管理組織／連絡先担当者）

2. 一般条項

2.1 義務（認証局／登録局／契約者／信頼者／リポジトリ）
2.2 責任（認証局／登録局）
2.3 財務上の責任（信頼者に対する保証／信頼関係／管理プロセス）
2.4 解釈と執行
2.5 料金
2.6 公表とリポジトリ
2.7 監査
2.8 機密性のポリシ
2.9 知的財産権

3. 確認と本人認証

3.1 初期登録
3.2 鍵の更新
3.3 失効後の鍵更新
3.4 失効要求

4. 運用要件

4.1 証明書申請
4.2 証明書発行
4.3 証明書受領
4.4 証明書一時停止と失効
4.5 セキュリティ監査手続き
4.6 記録の保存
4.7 鍵交換（Key Changeover）
4.8 鍵の改ざんや災害復旧
4.9 CA期限（CA Termination）

5. 物理的、手続き的、要員的なセキュリティコントロール

5.1 物理的なセキュリティコントロール
5.2 業務上のセキュリティコントロール
5.3 人事管理

6. 技術的なセキュリティコントロール

6.1 鍵ペア生成と導入
6.2 秘密鍵の保護
6.3 鍵ペア管理の他の側面
6.4 アクティヴェーション・データ
6.5 コンピュータ・セキュリティコントロール
6.6 ライフサイクル・セキュリティコントロール
6.7 ネットワーク・セキュリティコントロール
6.8 暗号化モジュール・エンジニアリングコントロール

7. 証明書と CRL プロファイル

7.1 認証プロファイル
7.2 CRL プロファイル

8. 特別な管理

8.1 仕様変更手続き
8.2 公表と通知の手続
8.3 CPS 承認手順

■おわりに

　認証局を立ち上げ、これを運営するということは、単にPKIシステムを構築するだけでなく、むしろ認証局ならびに発行した証明書の信頼性を維持するためのさまざまな取り組みが必要である。本稿ではその一部しか紹介できなかったが、今後PKIが普及していく過程において、ぜひ参考にされたい。

Index
特集　PKI導入の手引き Part.1～PKIを立ち上げてみよう！
	イントロダクション　1.PKIとはどのようなものか？　2.作業ステップを検討する
	検討～導入～運用まで　3.サービスモデルとサービスレベル　4.証明書にかかわる当事者の関係　5.人員構成の検討　6.証明書のライフサイクルと鍵管理　7.セキュリティ対策
	認証実施のフレームワーク　8.CPS：認証実施規定

「Master of IP Network総合インデックス」

Master of IP Network フォーラム新着記事

完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る （2017/7/13）
　2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った
ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる （2017/7/6）
　ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ
Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか （2017/7/4）
　Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか
ifconfig　～（IP）ネットワーク環境の確認／設定を行う （2017/7/3）
　ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ（MTU）の変更や、VLAN疑似デバイスの作成も可能だ。