情報処理安全確保支援士試験 令和5年秋期午前Ⅱ CPS(Certification Practice Statement)
出典:令和5年秋期 午前Ⅱ 問9
分野:セキュリティ / 情報セキュリティ
公開鍵基盤におけるCPS(Certification Practice Statement)に該当するものはどれか。
- ア:認証局が発行するデジタル証明書の所有者が策定したセキュリティ宣言
- イ:認証局でのデジタル証明書発行手続を代行する事業者が策定したセキュリティ宣言
- ウ:認証局の認証業務の運用などに関する詳細を規定した文書
- エ:認証局を監査する第三者機関の運用などに関する詳細を規定した文書
TSUNAGARU-ADVICE
まず押さえたいこと
CPSは、PKIにおいて認証局が、認証業務をどのように運用しているかを具体的に定めた文書です。
迷ったときの判断軸
CPSは、証明書の所有者や発行手続を代行する事業者が作る文書ではありません。認証局自身の証明書発行・本人確認・失効管理などについて、実際の運用手順や管理方法を規定するものと整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、PKIを技術だけでなく、信頼を支える運用ルールまで含めて理解しているかが問われます。CPは証明書ポリシー、CPSはそのポリシーを認証局がどのように実施するかを示す詳細文書として切り分けておきましょう。
CPS(Certification Practice Statement)は、認証局がデジタル証明書をどのように発行・管理・失効するかなど、認証業務の運用に関する詳細を規定した文書です。
公開鍵基盤では、認証局が信頼できる運用をしているかを示すために、証明書発行手続、本人確認方法、鍵管理、失効管理などをCPSに定めます。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:認証局が発行するデジタル証明書の所有者が策定したセキュリティ宣言
⇒証明書の所有者が策定するものではありません。CPSは、認証局の認証業務の運用を定める文書です。
イ:認証局でのデジタル証明書発行手続を代行する事業者が策定したセキュリティ宣言
⇒発行手続の代行事業者ではなく、認証局の運用に関する文書です。登録局などの説明に近い内容です。
エ:認証局を監査する第三者機関の運用などに関する詳細を規定した文書
⇒第三者監査機関の運用を定めるものではありません。CPSは、認証局自身の証明書発行・管理などの運用を定めます。