特集 PKI導入の手引き

Part.1 PKIを立ち上げてみよう!(3)
〜PKIの設計から運用開始まで〜

内田昌宏
ネットマークス
2000/8/28

8. CPS:認証実施規定

 パブリックな認証局を運営しようとする場合には、これまで本稿で記述した内容も含めて、認証機関としてのセキュリティ・ポリシ、責任や義務、約款および外部との信頼関係などに関する詳細を規定した文書を公開しなければならない。同時にCPSは、認証機関が外部監査を受ける際の重要な指針ともなる。

 CPSには、大別して2つのタイプがある。1つは証明書のライフサイクルを軸に構成された「ライフサイクル型」、もう1つはRFC2527に代表される認証局の業務、手順、システムなどをカテゴリごとに区分し、それぞれ独立した項目を軸に構成される「標準型」である。CPSの読者にとって理解が容易なのは、一連の流れにそってまとめられているライフサイクル型であるが、作成のし易さ、柔軟性、監査時の利用のし易さから、最近では標準型をモデルに構成されることが多い。

 RFC2527で提案されているフレームワーク(目次)を以下に示す。

1. はじめに

1.1 概要
1.2 アイデンティフィケーション
1.3 適用範囲(認証局/登録局/契約者/適用業務)
1.4 連絡先(管理組織/連絡先担当者)

2. 一般条項

2.1 義務(認証局/登録局/契約者/信頼者/リポジトリ)
2.2 責任(認証局/登録局)
2.3 財務上の責任(信頼者に対する保証/信頼関係/管理プロセス)
2.4 解釈と執行
2.5 料金
2.6 公表とリポジトリ
2.7 監査
2.8 機密性のポリシ
2.9 知的財産権

3. 確認と本人認証

3.1 初期登録
3.2 鍵の更新
3.3 失効後の鍵更新
3.4 失効要求

4. 運用要件

4.1 証明書申請
4.2 証明書発行
4.3 証明書受領
4.4 証明書一時停止と失効
4.5 セキュリティ監査手続き
4.6 記録の保存
4.7 鍵交換(Key Changeover)
4.8 鍵の改ざんや災害復旧
4.9 CA期限(CA Termination)

5. 物理的、手続き的、要員的なセキュリティコントロール

5.1 物理的なセキュリティコントロール
5.2 業務上のセキュリティコントロール
5.3 人事管理

6. 技術的なセキュリティコントロール

6.1 鍵ペア生成と導入
6.2 秘密鍵の保護
6.3 鍵ペア管理の他の側面
6.4 アクティヴェーション・データ
6.5 コンピュータ・セキュリティコントロール
6.6 ライフサイクル・セキュリティコントロール
6.7 ネットワーク・セキュリティコントロール
6.8 暗号化モジュール・エンジニアリングコントロール

7. 証明書と CRL プロファイル

7.1 認証プロファイル
7.2 CRL プロファイル

8. 特別な管理

8.1 仕様変更手続き
8.2 公表と通知の手続
8.3 CPS 承認手順


おわりに

 認証局を立ち上げ、これを運営するということは、単にPKIシステムを構築するだけでなく、むしろ認証局ならびに発行した証明書の信頼性を維持するためのさまざまな取り組みが必要である。本稿ではその一部しか紹介できなかったが、今後PKIが普及していく過程において、ぜひ参考にされたい。

Index
特集 PKI導入の手引き

Part.1〜PKIを立ち上げてみよう!
  イントロダクション
 1.PKIとはどのようなものか?
 2.作業ステップを検討する
  検討〜導入〜運用まで
 3.サービスモデルとサービスレベル
 4.証明書にかかわる当事者の関係
 5.人員構成の検討
 6.証明書のライフサイクルと鍵管理
 7.セキュリティ対策
認証実施のフレームワーク
 8.CPS:認証実施規定


「Master of IP Network総合インデックス」



Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間