情報処理安全確保支援士 2025年 秋期 午前2 問04

PKIを構成するRA(Registration Authority)の役割【午前2 解説】

要点まとめ

• 結論→RAは本人確認と発行申請の承認・却下を行う登録機関で、証明書の署名自体はCAが行います。
• 根拠→PKIは役割分担が明確で、RAは登録（identity vetting）、CAは公開鍵に対するデジタル署名や失効情報の発行を担当します。
• 差がつくポイント→CRL/OCSPや証明書の署名者(CA)とRAを混同せず、属性証明書や属性発行者(AA)の存在も区別することが大切です。

正解の理由

よくある誤解（2〜3 行）

解法ステップ

1. PKIの主要コンポーネント（CA, RA, CRL/OCSPなど）の基本役割を思い出す。
2. 各選択肢を「本人確認」「署名」「失効管理」「属性発行」などの役割に分類する。
3. 「署名」や「失効管理」はCA側の機能だと判断して該当選択肢を除外する。
4. 残った「本人確認・申請承認」の選択肢がRAの定義に合致するため正解とする。

選択肢別の誤答解説

• ア: デジタル証明書にデジタル署名を付与する。
  → 誤り。証明書への署名（発行）はCAの役割であり、RAは署名鍵を持って証明書に署名しません。
• イ: デジタル証明書に紐付けられた属性証明書を発行する。
  → 誤り。属性証明書は属性認証局（Attribute Authority）など別の機能が担当することが一般的で、RAは主に本人確認を行います。
• ウ: デジタル証明書の失効リストを管理し、デジタル証明書の有効性を確認する。
  → 誤り。CRLやOCSPによる失効情報の発行・運用はCAやOCSPレスポンダの責任で、RAの主業務ではありません。
• エ: 本人確認を行い、デジタル証明書の発行申請の承認又は却下を行う。
  → 正解。RAは登録機関として申請者の身元照会や承認判断を行い、CAに発行指示を与える役割を担います。

補足コラム（関連知識など）

• PKIの代表的な仕様はX.509で、証明書の構造や拡張、属性証明書の扱いが定義されています。
• 典型的なPKI構成要素はCA（証明書発行・失効管理）、RA（登録・認証）、リポジトリ（証明書公開）、クライアント／サーバー（利用者）です。
• セキュリティ上の分離（役割分担）は鍵の漏洩リスクを下げ、監査や責任分界を明確にします。RAは組織内部や外部の委託先が担うことがあります。
• 失効情報の配信はCRL（Certificate Revocation List）方式とOCSP（Online Certificate Status Protocol）方式があり、運用要件に応じて使い分けられます。

FAQ