ETSI認定

ETSI認定

現在、企業内認証局からパブリック証明書(注1)を発行することはできません。
JIPDECでは、業務に多数のパブリック証明書を使用したい企業・団体様向けに次のようにETSI認定(注2・注3)及びパブリック証明書を発行できるルートCAとのチェイニング(注4)のご支援します。

  1.ETSI認定およびチェイニングをトータルでサポートします。
  2.受審に向けた改修費用算出のご支援として事前確認を行います。
  3.CPS等の上位ドキュメントをご用意します。
※JIPDECはTUV Informationstechnik GmbH(ETSI により認可された審査機関)のパートナーであり、TUV Informationstechnik GmbHを通してETSI 認定の合格証を発行することができます。

用語
(注1)パブリック証明書 : インターネットを利用してWebサーバへのアクセスや電子メールに使える証明書です
(注2)ETSI(European Telecommunications Standards Institute): EU圏の電気通信における標準仕様を策定するために設立された標準化団体です
(注3)ETSI認定 : ETSI TS 102 042等の審査を受けて認定されることです
(注4)チェイニング:異なるデータセンター間で電子証明書のパスをつなげることです

ETSI認定 事前確認項目(外部委託先でも可)

発行局について

予定されるRAサーバ、IAサーバ(以下、両者合わせてCAサーバという)、およびそれらを外部のネットワークと接続する際に使用するファイアウォール、侵入検知装置、CA署名鍵の管理装置(HSM)とそれら設備を収容する建物、室について、ETSI TS 102 042に基づき安全性、信頼性を確保する観点で確認します。(今後の予定でも結構です)

(1)CA室への入退室管理
CA設備を設置している室に権限を有する者以外が入室できない仕組みを確認します。

(2)CA設備への通信上の不正アクセスの防止
ファイアウォールおよび侵入検知装置等の設置状況について、また、CA設備間の通信における相互の認証・暗号化・完全性確保措置について確認します。(論理ネットワーク図要)

(3)CA設備に対する物理的アクセス管理
操作者の認証とその操作者に与えられている権限が設定されていること、これらの各操作を履歴が記録されることについて確認します。

(4)暗号装置(HSM)
CA署名鍵は、生成から破棄までのライフサイクルの間、暗号装置内で管理されていることが必要であり、FIPS(Federal Information Processing Standard)が定めている140-2レベル3以上に適合していることを確認します。(FIPSの認証番号を教えてください)

(5)災害等の被害からの防止措置
CA設備およびそれを収容する建物等は、地震、火災、水害、停電等の災害に対して被害を受けないように、防止措置が取られている必要があるため、それを確認します。(ISMS認証登録番号を教えてください)

(6)CA実施のための組織、体制
業務の詳細手続き、業務に従事する者の責任、権限、業務委託および災害等への危機対策等に関する事項、業務実施に必要な専門知識を有する者の配置、認証局に関する資産リスト等必要帳簿の作成、保存、定期的な監査等を行う体制について確認します。

登録局について

(1)EE署名鍵について
証明書発行申請が行われた後、End Entity(以下、「EE」と言う。)に代わってCAがEE署名鍵を生成し電子証明書を発行します。この場合、EE署名鍵がCAの手元に残り、不正な電子署名が行われる可能性を排除するために、生成したEE署名鍵の消去がどのように行われるか確認します。さらに、生成したEE署名鍵が利用者本人以外の者が受け取る方法を確認します。

(2)電子証明書について
証明書のプロファイルはJCANの仕様に合わせて頂く必要があります。署名アルゴリズムはSHA-256With RSAEncryptionであるか確認します。なお、EE証明書の有効期間は3年を超えることは出来ません。

リポジトリについて

(1)CA証明書及びCP、CPS及び利用者規程の公開方法について確認します。

(2)電子証明書の失効情報は広く公開する必要があります。失効情報の公開方式(CRL、OCSP)について確認します。利用者からの失効請求時、および電子証明書の内容に事実と異なる点が発見された時は、24時間以内に失効手続きを行い、公開する必要があります。また失効情報の更新は遅くて72時間以内には更新する必要がある(LCP採用の場合)ため、公開方法、公開する設備についても確認します。