情報処理安全確保支援士令和5年秋期 午前Ⅱ 問9

問9

公開鍵基盤におけるCPS(Certification Practice Statement)に該当するものはどれか。
  • 認証局が発行するデジタル証明書の所有者が策定したセキュリティ宣言
  • 認証局でのデジタル証明書発行手続を代行する事業者が策定したセキュリティ宣言
  • 認証局の認証業務の運用などに関する詳細を規定した文書
  • 認証局を監査する第三者機関の運用などに関する詳細を規定した文書

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

デジタル証明書を発行する認証局では、CP(Certificate Policy)とCPS(Certification Practice Statement)を作成して管理し、必要に応じて利用者に公開しています。CPは「証明書ポリシー」、CPSは「認証局運用規定」です。
CP(Certificate Policy)
認証局の運用方式、信頼性・安全性を対外的に示す文書
CPS(Certification Practice Statement)
運用方針の実施手順を定めた認証局運用規程で、デジタル証明書の利用者、適用範囲、証明書申請手続方法、失効や効力停止手続方法、キーペア生成方法、秘密鍵の受渡方法などが記載される
CPは方針を示すのに対して、CPSは手順を示します。CPSのほうがより具体的に記載されているとイメージしてください。また、CPとCPSを合わせてCAの認証業務に関する運営方針として位置付けている組織もあります。なお、Certificationは「認証」、Practiceは「訓練、練習」、Statement「声明、計算書」と訳されるため、これらの言葉を合わせると、「認証練習書」とも訳せるため単語一つひとつの訳を繋げて言葉にしてみると正解に近づけるかと思います。

したがって「ウ」の説明が適切です。
  • CPSは、認証局が作成したものであり、デジタル証明書の所有者が作成したものではありません。
  • CPSは、デジタル証明書発行手続きを代行する事業者が作成するものではありません。
  • 正しい。CPSの説明です。CPSは認証局の運用などに関する手順を記載した文書です。
  • CPSは、認証局の運用などに関する詳細を規定した文書であり、認証局を監査する第三者機関の運用などに関して規定した文書ではありません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop