情報処理安全確保支援士試験 令和7年春期午前Ⅱ CPS
出典:令和7年春期 午前Ⅱ 問9
分野:セキュリティ / 情報セキュリティ
公開鍵基盤におけるCPS(Certification Practice Statement)はどれか。
- ア:認証局が発行するデジタル証明書の所有者が策定したセキュリティ宣言
- イ:認証局でのデジタル証明書発行手続を代行する事業者が策定したセキュリティ宣言
- ウ:認証局の認証業務の運用などに関する詳細を規定した文書
- エ:認証局を監査する第三者機関の運用などに関する詳細を規定した文書
TSUNAGARU-ADVICE
まず押さえたいこと
CPSは、公開鍵基盤において、認証局がどのような方針・手順で認証業務を運用しているかを具体的に示す文書です。
迷ったときの判断軸
CPSは証明書の所有者や代行事業者が作る文書ではなく、認証局の運用に関する文書です。したがって、認証局の証明書発行、本人確認、失効管理などの実施方法を定めたものと整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、PKIを単なる暗号技術としてではなく、信頼を支えるために認証局がどのように運用されているかまで問われます。CPは方針、CPSはその方針をどう実施するかの詳細な運用規程、と切り分けて理解しておきましょう。
CPとCPSは、デジタル証明書を発行する認証局が「どのような方針で、どのように運用しているか」を示す文書です。
CP(Certificate Policy)は、認証局の方針を示す文書です。たとえば、「どのような目的で証明書を発行するのか」「どの程度信頼できる証明書なのか」といった、大まかなルールを示します。
CPS(Certification Practice Statement)は、その方針を実際にどう運用するかを示す具体的な手順書です。たとえば、証明書の申請方法、本人確認の方法、失効手続、秘密鍵の管理方法などが書かれます。
違いを一言で言うと、CPは“方針”、CPSは“具体的な運用手順”です。たとえるなら、CPは「安全に証明書を発行します」という約束、CPSは「そのために申請確認・鍵管理・失効処理をこう行います」という実務マニュアルです。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:認証局が発行するデジタル証明書の所有者が策定したセキュリティ宣言
⇒証明書の所有者が策定する、という点で違います。CPSは認証局の運用に関する文書です。
イ:認証局でのデジタル証明書発行手続を代行する事業者が策定したセキュリティ宣言
⇒発行手続を代行する事業者の文書、という点で違います。CPSは認証局が行う認証業務の実施方針を示す文書です。
エ:認証局を監査する第三者機関の運用などに関する詳細を規定した文書
⇒監査機関の運用文書、という点で違います。CPSは認証局自身の証明書発行・管理などの運用を規定する文書です。