情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

デジタル証明書を発行する認証局では、CP(Certificate Policy)とCPS(Certification Practice Statement)を作成して管理し、必要に応じて利用者に公開しています。CPは「証明書ポリシー」、CPSは「認証局運用規定」です。

CP（Certificate Policy）

認証局の運用方式、信頼性・安全性を対外的に示す文書

CPS（Certification Practice Statement）

運用方針の実施手順を定めた認証局運用規程。デジタル証明書の利用者、適用範囲、証明書申請手続方法、失効や効力停止手続方法、キーペア生成方法、秘密鍵の受渡方法などが記載される

CPは方針を示すのに対して、CPSは手順を示します。CPSのほうがより具体的に記載されているとイメージしてください。また、CPとCPSを合わせてCAの認証業務に関する運営方針として位置付けている組織もあります。なお、Certificationは「認証」、Practiceは「訓練、練習」、Statement「声明、計算書」と訳されるため、これらの言葉を合わせると、「認証練習書」とも訳せるため単語一つひとつの訳を繋げて言葉にしてみると正解に近づけるかと思います。

したがって「ウ」の説明が適切です。

• CPSは認証局が作成・公表する文書です。デジタル証明書の所有者が作成するものではありません。
• CPSは認証局が作成・公表する文書です。代行事業者が作成するものではありません。
• 正しい。CPSは、ポリシー(CP)に基づき認証局がどのようにして証明書を発行・管理するかを詳細に説明した文書です。
• CPSは認証局自身の運用を規定した文書です。認証局を監査する第三者機関の運用について規定したものではありません。