ホーム > 情報処理安全確保支援士試験 > 2023年 秋期
情報処理安全確保支援士試験 2023年 秋期 午前2 問09
公開鍵基盤におけるCPS(Certification Practice Statement)に該当するものはどれか。
ア:認証局が発行するデジタル証明書の所有者が策定したセキュリティ宣言
イ:認証局でのデジタル証明書発行手続を代行する事業者が策定したセキュリティ宣言
ウ:認証局の認証業務の運用などに関する詳細を規定した文書(正解)
エ:認証局を監査する第三者機関の運用などに関する詳細を規定した文書
解説
公開鍵基盤におけるCPS(Certification Practice Statement)に該当するものはどれか【午前2 解説】
要点まとめ
- 結論:CPSは認証局の認証業務の運用に関する詳細を規定した文書です。
- 根拠:CPSは認証局がどのように証明書を発行・管理するかの具体的な手順やポリシーを示します。
- 差がつくポイント:CPSと類似文書の違いを理解し、認証局の運用文書であることを正確に把握することが重要です。
正解の理由
CPS(Certification Practice Statement)は、認証局(CA)が証明書発行や管理に関して実際にどのような手順や運用ルールを守っているかを詳細に記述した文書です。
これにより、証明書の信頼性や安全性を担保し、利用者が認証局の運用状況を理解できるようにします。
選択肢ウは「認証局の認証業務の運用などに関する詳細を規定した文書」とあり、CPSの定義に合致します。
これにより、証明書の信頼性や安全性を担保し、利用者が認証局の運用状況を理解できるようにします。
選択肢ウは「認証局の認証業務の運用などに関する詳細を規定した文書」とあり、CPSの定義に合致します。
よくある誤解
CPSは証明書所有者や代行事業者のセキュリティ宣言ではなく、認証局自身の運用ルールを示す文書です。
また、監査機関の運用規定ではなく、認証局の業務運用に関するものです。
また、監査機関の運用規定ではなく、認証局の業務運用に関するものです。
解法ステップ
- CPSの正式な定義を確認する。
- 選択肢の文言から「認証局の運用に関する詳細文書」を探す。
- 証明書所有者や代行事業者、監査機関に関する記述はCPSではないと判断する。
- 最もCPSの定義に合致する選択肢を選ぶ。
選択肢別の誤答解説
- ア: 証明書所有者が策定したセキュリティ宣言はCPSではなく、所有者のセキュリティポリシーに該当します。
- イ: 代行事業者のセキュリティ宣言はCPSではなく、認証局の外部委託先の運用方針です。
- ウ: 認証局の認証業務の運用などに関する詳細を規定した文書であり、CPSの正しい定義です。
- エ: 監査機関の運用規定はCPSではなく、第三者監査のための文書です。
補足コラム
公開鍵基盤(PKI)では、信頼の連鎖を確立するために「CP(Certification Policy)」と「CPS(Certification Practice Statement)」が重要です。
CPは認証局の証明書発行に関する方針を示し、CPSはその方針を具体的に運用する手順やルールを記述します。
CPSは利用者や監査者が認証局の運用状況を評価する際の重要な資料となります。
CPは認証局の証明書発行に関する方針を示し、CPSはその方針を具体的に運用する手順やルールを記述します。
CPSは利用者や監査者が認証局の運用状況を評価する際の重要な資料となります。
FAQ
Q: CPSとCPの違いは何ですか?
A: CPは認証局の証明書発行に関する基本方針を示し、CPSはその方針を具体的に実施する運用手順を記述します。
A: CPは認証局の証明書発行に関する基本方針を示し、CPSはその方針を具体的に実施する運用手順を記述します。
Q: 認証局以外の組織がCPSを作成することはありますか?
A: いいえ。CPSは認証局自身が自らの認証業務運用を明確にするために作成します。
A: いいえ。CPSは認証局自身が自らの認証業務運用を明確にするために作成します。
関連キーワード: 公開鍵基盤, CPS, 認証局, デジタル証明書, セキュリティポリシー, CP, PKI