富士ゼロックス SDES認証局

証明書ポリシー及び認証実施規定

Fuji Xerox SDES Certification Authority

Certificate Policy and Certification Practice Statement

平成 25年 2月 1日

February 1, 2013

（空白頁）

1. はじめに－INTRODUCTION ............................................................................................ 1

1.1. 概要－Overview ............................................................................................................ 1 1.1.1. SDES認証局の目的 ............................................................................................... 1 1.1.2. SDES認証局の趣旨 ............................................................................................... 2 1.1.3. SDES認証局の業務の概要 .................................................................................... 3

1.2. 文書の名称と識別－Document name and identification ............................................ 3 1.3. 当 PKIの当事者－PKI participants ............................................................................. 4

1.3.1. 認証局－Certification authorities ......................................................................... 4 1.3.2. 登録機関－Registration authorities ..................................................................... 4 1.3.3. 証明書の被発行者－Subscribers............................................................................ 4 1.3.4. 証明書利用者－Relying parties ............................................................................. 4 1.3.5. その他の参加者－Other participants ................................................................... 4

1.4. 証明書の使用－Certificate usage ................................................................................. 4 1.4.1. 証明書の適切な使用－Appropriate certificate uses ............................................. 4 1.4.2. 禁止される証明書の使用－Prohibited certificate uses ........................................ 4

1.5. ポリシーの管理―Policy administration ...................................................................... 5 1.5.1. 本文書の管理部門―Organization administering the document ........................ 5 1.5.2. 照会に対する受付担当者－Contact person ........................................................... 5 1.5.3. 認証実施規定のポリシーへの準拠の判断 －Person determining CPS suitability

for the policy .......................................................................................................... 5 1.5.4. 認証実施規定の承認手続き－CPS approval procedures ...................................... 5

1.6. 定義－Definitions and acronyms ................................................................................. 6 2. 情報公開及びレポジトリに関する責任 －PUBLICATION AND REPOSITORY

RESPONSIBILITIES ...................................................................................................... 10 2.1. レポジトリ－Repositories ........................................................................................... 10 2.2. 認証情報の公開－Publication of certification information ....................................... 10 2.3. 情報開示の時期と頻度－Time or frequency of publication ....................................... 10 2.4. レポジトリへのアクセス制御－Access controls on repositories ............................... 11

3. 識別と認証－IDENTIFICATION AND AUTHENTICATION ....................................... 12 3.1. 名前の取扱い－Naming .............................................................................................. 12

3.1.1. 名前の型－Types of names .................................................................................. 12 3.1.2. 名前の有意性に対する要求－Need for names to be meaningful ....................... 12 3.1.3. 証明書被発行者による匿名又は別名使用 －Anonymity or pseudonymity of

subscribers ........................................................................................................... 12 3.1.4. 様々な名前形式を解釈するための規則 －Rules for interpreting various name

forms..................................................................................................................... 12 3.1.5. 名前の一意性－Uniqueness of names ................................................................. 12 3.1.6. 商標の認識、認証、及び、役割 －Recognition, authentication, and role of

trademarks .......................................................................................................... 12 3.2. 初期登録時の認証－Initial identity validation .......................................................... 12

3.2.1. 秘密鍵所有の検証方法－Method to prove possession of private key ................ 12 3.2.2. 組織の認証－Authentication of organization identity ...................................... 12 3.2.3. エンドエンティティの認証－Authentication of individual identity ................. 12 3.2.4. 検証対象でない被発行者情報－Non-verified subscriber information ............... 13

3.2.5. 権限の検証－Validation of authority .................................................................. 13 3.2.6. 相互運用のための基準－Criteria for interoperation .......................................... 13

3.3. 鍵更新のための識別と認証 －Identification and authentication for re-key requests .................................................................................................................................... 13

3.3.1. 通常の鍵更新－Identification and authentication for routine re-key .............. 13 3.3.2. 失効後の鍵更新－Identification and authentication for re-key after revocation

.............................................................................................................................. 13 3.4. 失効要求のための識別と認証 －Identification and authentication for revocation

request ........................................................................................................................ 13 4. 証明書ライフサイクル管理のための要件 － CERTIFICATE LIFE-CYCLE

OPERATIONAL REQUIREMENTS .............................................................................. 14 4.1. 証明書発行要求－Certificate Application .................................................................. 14

4.1.1. 証明書発行の要求者－Who can submit a certificate application ...................... 14 4.1.2. 登録処理と責任－Enrollment process and responsibilities .............................. 14

4.2. 証明書発行要求の処理－Certificate application processing ..................................... 14 4.2.1. 識別と認証－Performing identification and authentication functions ............ 14 4.2.2. 証明書発行の可否の判断－Approval or rejection of certificate applications.... 14 4.2.3. 証明書発行要求の処理に要する時間－Time to process certificate applications

.............................................................................................................................. 14 4.3. 証明書の発行－Certificate issuance........................................................................... 14

4.3.1. 証明書発行における認証局の処理－CA actions during certificate issuance .... 14 4.3.2. 認証局による被発行者への証明書発行の通知 －Notification to subscriber by

the CA of issuance of certificate ......................................................................... 15 4.4. 証明書の受理－Certificate acceptance ....................................................................... 15

4.4.1. 証明書の受理を構成する行為－Conduct constituting certificate acceptance .. 15 4.4.2. 認証局による証明書の開示－Publication of the certificate by the CA ............. 15 4.4.3. 認証局による他の機関への証明書発行の通知 －Notification of certificate

issuance by the CA to other entities .................................................................. 15 4.5. 鍵ペア及び証明書の利用－Key pair and certificate usage ....................................... 15

4.5.1. 被発行者による秘密鍵と証明書の利用－Subscriber private key and certificate usage .................................................................................................................... 15

4.5.2. 証明書利用者による公開鍵と証明書の利用 －Relying party public key and certificate usage .................................................................................................. 15

4.6. 証明書の再発行－Certificate renewal ........................................................................ 15 4.6.1. 再発行の事由となる状況－Circumstance for certificate renewal ..................... 15 4.6.2. 再発行の要求者－Who may request renewal ..................................................... 16 4.6.3. 再発行要求の処理－Processing certificate renewal requests ............................ 16 4.6.4. 再発行された証明書の受理を構成する行為 －Conduct constituting acceptance

of a renewal certificate ........................................................................................ 16 4.6.5. 認証局による再発行証明書の開示－Publication of the renewal certificate by the

CA ......................................................................................................................... 16 4.6.6. 認証局による他の機関への証明書再発行の通知 －Notification of certificate

issuance by the CA to other entities .................................................................. 16 4.7. 証明書の鍵更新－Certificate re-key ........................................................................... 16

4.7.1. 鍵更新の事由となる状況－Circumstance for certificate re-key ........................ 16

4.7.2. 更新の要求者－Who may request certification of a new public key ................. 16 4.7.3. 鍵更新要求の処理－Processing certificate re-keying requests ......................... 16 4.7.4. 被発行者への新証明書発行の通知 －Notification of new certificate issuance to

subscriber ............................................................................................................. 16 4.7.5. 更新証明書の受理を構成する行為 －Conduct constituting acceptance of a

re-keyed certificate .............................................................................................. 17 4.7.6. 規定しない。認証局による更新証明書の開示 －Publication of the re-keyed

certificate by the CA ........................................................................................... 17 4.7.7. 認証局による他の機関への証明書発行の通知 －Notification of certificate

issuance by the CA to other entities .................................................................. 17 4.8. 証明書の変更－Certificate modification .................................................................... 17

4.8.1. 変更の事由となる状況－Circumstance for certificate modification ................. 17 4.8.2. 変更の要求者－Who may request certificate modification ............................... 17 4.8.3. 変更要求の処理－Processing certificate modification requests ........................ 17 4.8.4. 被発行者への新証明書発行の通知 －Notification of new certificate issuance to

subscriber ............................................................................................................. 17 4.8.5. 変更済証明書の受理を構成する行為 －Conduct constituting acceptance of

modified certificate .............................................................................................. 17 4.8.6. 認証局による変更済証明書の開示 －Publication of the modified certificate by

the CA .................................................................................................................. 17 4.8.7. 認証局による他の機関への証明書発行の通知 －Notification of certificate

issuance by the CA to other entities .................................................................. 18 4.9. 証明書の失効及び一時停止－Certificate revocation and suspension ....................... 18

4.9.1. 失効の事由となる状況－Circumstances for revocation ..................................... 18 4.9.2. 失効の要求者－Who can request revocation ...................................................... 18 4.9.3. 失効要求の手続き－Procedure for revocation request ...................................... 18 4.9.4. 失効要求の猶予期間－Revocation request grace period .................................... 18 4.9.5. 認証局が失効要求を処理する時間 －Time within which CA must process the

revocation request ............................................................................................... 18 4.9.6. 証明書使用者が失効証明書を確認する手段 －Revocation checking requirement

for relying parties ................................................................................................ 19 4.9.7. 証明書失効リスト発行の頻度－CRL/ARL issuance frequency (if applicable) .. 19 4.9.8. 証明書失効リストの作成から発行までの猶予期間 －Maximum latency for

CRL/ARLs (if applicable) .................................................................................... 19 4.9.9. オンラインによる失効及びステータス検査 －On-line revocation/status

checking availability ........................................................................................... 19 4.9.10. オンラインによる失効検査要求－On-line revocation checking requirements . 19 4.9.11. 失効告知の他の形態－Other forms of revocation advertisements available ... 19 4.9.12. 認証局秘密鍵の危殆化に関する特別な要件 －Special requirements re-key

compromise .......................................................................................................... 19 4.9.13. 一時停止を行う状況－Circumstances for suspension ....................................... 20 4.9.14. 一時停止の要求者－Who can request suspension ............................................. 20 4.9.15. 一時停止要求の手続き－Procedure for suspension request .............................. 20 4.9.16. 一時停止期間の上限－Limits on suspension period .......................................... 20

4.10. 証明書ステータスサービス－Certificate status services .......................................... 20

4.10.1. 処理上の特徴－Operational characteristics ....................................................... 20 4.10.2. サービスの可用性－Service availability ............................................................. 20 4.10.3. オプションの機能－Optional features ................................................................ 20

4.11. 一時停止の終了－End of subscription ....................................................................... 20 4.12. 鍵の預託と回復－Key escrow and recovery ............................................................... 20

4.12.1. 鍵の預託と回復に関するポリシーと実施 －Key escrow and recovery policy and practices ............................................................................................................... 20

4.12.2. セッション鍵のカプセル化及び回復のポリシーと実施 －Session key encapsulation and recovery policy and practices .............................................. 20

5. 設備、運用、操作に関する管理 －FACILITY, MANAGEMENT, AND OPERATIONAL CONTROLS ...................................................................................................................... 21

5.1. 物理的な管理－Physical controls ............................................................................... 21 5.1.1. 設置場所と建物構造－Site location and construction ....................................... 21 5.1.2. 物理的アクセス－Physical access ....................................................................... 21 5.1.3. 電源設備と空調設備－Power and air conditioning ............................................ 21 5.1.4. 水害対策－Water exposures ................................................................................ 21 5.1.5. 防火及び火災対策－Fire prevention and protection .......................................... 21 5.1.6. 記憶媒体－Media storage .................................................................................... 21 5.1.7. 廃棄物処理－Waste disposal ............................................................................... 21 5.1.8. オフサイトバックアップ－Off-site backup ......................................................... 21

5.2. 手続き面での管理－Procedural controls .................................................................... 21 5.2.1. 役割－Trusted roles ............................................................................................. 21 5.2.2. 業務ごとの必要員数－Number of persons required per task ........................... 22 5.2.3. 役割ごとの識別と認証－Identification and authentication for each role ........ 22 5.2.4. 業務の分離に関する要件－Roles requiring separation of duties ...................... 22

5.3. 人事面での管理－Personnel controls ......................................................................... 22 5.3.1. 資格・経験・認可に関する要件 －Qualifications, experience, and clearance

requirements ....................................................................................................... 22 5.3.2. 背景審査手続き－Background check procedures ............................................... 22 5.3.3. 教育に関する要件－Training requirements ....................................................... 22 5.3.4. 継続教育の頻度と要件－Retraining frequency and requirements ................... 22 5.3.5. 業務のローテーションと順序－Job rotation frequency and sequence ............. 22 5.3.6. 不正行為への制裁－Sanctions for unauthorized actions ................................... 22 5.3.7. 業務委託等に関する要件－Independent contractor requirements ................... 22 5.3.8. 要員に提供される文書－Documentation supplied to personnel ....................... 22

5.4. 監査手順－Audit logging procedures ......................................................................... 22 5.4.1. 監査ログに記録されるイベント－Types of events recorded .............................. 23 5.4.2. 監査ログを処理する頻度－Frequency of processing log .................................... 23 5.4.3. 監査ログの保持期間－Retention period for audit log ........................................ 23 5.4.4. 監査ログの保護－Protection of audit log ............................................................ 23 5.4.5. 監査ログのバックアップの手順－Audit log backup procedures ....................... 23 5.4.6. 監査ログ収集システム－Audit collection system (internal vs. external) ......... 23 5.4.7. イベントを引き起こした操作者への通知－Notification to event-causing subject

.............................................................................................................................. 23

5.4.8. 脆弱性のアセスメント－Vulnerability assessments .......................................... 23 5.5. データのアーカイブ－Records archival ..................................................................... 23

5.5.1. アーカイブするべき記録の種別－Types of records archived ............................. 23 5.5.2. アーカイブの保持期間－Retention period for archive ....................................... 23 5.5.3. アーカイブの保護－Protection of archive .......................................................... 23 5.5.4. アーカイブのバックアップの手順－Archive backup procedures ...................... 23 5.5.5. 記録へのタイムスタンプに関する要求－Requirements for time-stamping of

records .................................................................................................................. 24 5.5.6. アーカイブの収集システム－Archive collection system (internal or external) 24 5.5.7. アーカイブの検証手続き－Procedures to obtain and verify archive information

.............................................................................................................................. 24 5.6. 鍵の交換－Key changeover ........................................................................................ 24 5.7. 危殆化及び災害からの復旧－Compromise and disaster recovery ............................ 24

5.7.1. 事故及び危殆化を処理する手順－ Incident and compromise handling procedures ............................................................................................................ 24

5.7.2. 機器、ソフトウェア、或いは、データが危殆化した場合の手順 －Computing resources, software, and/or data are corrupted ................................................ 24

5.7.3. 認証局秘密鍵が危殆化した場合の手順－Entity private key compromise procedures ............................................................................................................ 24

5.7.4. 災害後の業務継続の能力－Business continuity capabilities after a disaster .. 24 5.8. 認証局或いは登録機関の終了－CA or RA termination .............................................. 24

6. 技術的な管理－TECHNICAL SECURITY CONTROLS................................................ 25 6.1. 鍵ペアの生成と設定－Key pair generation and installation ................................... 25

6.1.1. 鍵ペアの生成－Key pair generation ................................................................... 25 6.1.2. 被発行者への秘密鍵の配送－Private key delivery to subscriber ...................... 25 6.1.3. 証明書発行者への公開鍵の配送－Public key delivery to certificate issuer ...... 25 6.1.4. 証明書使用者への認証局公開鍵の配送－CA public key delivery to relying

parties .................................................................................................................. 25 6.1.5. 鍵長－Key sizes ................................................................................................... 25 6.1.6. 公開鍵パラメータの生成と品質検査 －Public key parameters generation and

quality checking .................................................................................................. 25 6.1.7. 鍵の使用目的－Key usage purposes (as per X.509 v3 key usage field) ............ 25

6.2. 秘密鍵の保護と暗号モジュールによる管理 －Private Key Protection and Cryptographic Module Engineering Controls ......................................................... 25

6.2.1. 暗号モジュールの標準と制御－Cryptographic module standards and controls .............................................................................................................................. 25

6.2.2. 秘密鍵の複数人による管理－Private key (n out of m) multi-person control ... 25 6.2.3. 秘密鍵の預託－Private key escrow ..................................................................... 25 6.2.4. 秘密鍵のバックアップ－Private key backup ..................................................... 25 6.2.5. 秘密鍵のアーカイブ－Private key archival ....................................................... 26 6.2.6. 暗号モジュールへの秘密鍵の入出力 －Private key transfer into or from a

cryptographic module.......................................................................................... 26 6.2.7. 暗号モジュール中での秘密鍵の保持－Private key storage on cryptographic

module .................................................................................................................. 26 6.2.8. 秘密鍵を活性化する方法－Method of activating private key ........................... 26

6.2.9. 秘密鍵を非活性化する方法－Method of deactivating private key .................... 26 6.2.10. 秘密鍵を廃棄する方法－Method of destroying private key .............................. 26 6.2.11. 暗号モジュールの評価－Cryptographic Module Rating .................................... 26

6.3. その他、鍵ペアの管理に関連する事項 －Other aspects of key pair management . 26 6.3.1. 公開鍵のアーカイブ－Public key archival ......................................................... 26 6.3.2. 証明書と公開鍵ペアの有効期間 －Certificate operational periods and key pair

usage periods ....................................................................................................... 26 6.4. アクティベーションデータ－Activation data ............................................................ 26

6.4.1. アクティベーションデータの生成と設定－Activation data generation and installation ........................................................................................................... 26

6.4.2. アクティベーションデータの保護－Activation data protection ........................ 26 6.4.3. アクティベーションデータに関する他の規則－Other aspects of activation data

.............................................................................................................................. 27 6.5. コンピュータセキュリティ管理－Computer security controls ................................. 27

6.5.1. コンピュータセキュリティに関する技術的要件 －Specific computer security technical requirements ....................................................................................... 27

6.5.2. コンピュータセキュリティの評価 Computer security rating ............................ 27 6.6. ライフサイクルに関する技術的制御－Life cycle technical controls ......................... 27

6.6.1. システム開発に関する管理－System development controls ............................. 27 6.6.2. セキュリティマネジメントに関する管理－Security management controls ..... 27 6.6.3. ライフサイクルのセキュリティに関する管理－Life cycle security controls ..... 27

6.7. ネットワークセキュリティに関する管理－Network security controls ..................... 27 6.8. タイムスタンプ－Time-stamping ............................................................................... 27

7. 証明書・証明書失効リスト及び OCSP のプロファイル －CERTIFICATE, CRL/ARL, AND OCSP PROFILES ................................................................................................... 28

7.1. 証明書のプロファイル－Certificate profile................................................................ 28 7.1.1. バージョン番号－Version number(s) .................................................................. 28 7.1.2. 証明書の拡張項目－Certificate extensions ......................................................... 28 7.1.3. アルゴリズムのオブジェクト識別子－Algorithm object identifiers .................. 28 7.1.4. 名前の形式－Name forms .................................................................................... 28 7.1.5. 名前の制約－Name constraints .......................................................................... 28 7.1.6. 証明書ポリシーのオブジェクト識別子－Certificate policy object identifier .... 28 7.1.7. ポリシー制限拡張の使用－Usage of Policy Constraints extension ................... 28 7.1.8. ポリシークォリファイアの書式と定義－Policy qualifiers syntax and semantics

.............................................................................................................................. 28 7.1.9. クリティカル証明書ポリシー拡張のためのセマンティクスの処理 －Processing

semantics for the critical Certificate Policies extension .................................. 28 7.2. 証明書失効リストのプロファイル－CRL/ARL profile ............................................... 29

7.2.1. バージョン番号－Version number(s) .................................................................. 29 7.2.2. 証明書失効リスト及び証明書失効リストの拡張項目 －CRL/ARL and CRL/ARL

entry extensions .................................................................................................. 29 7.3. OCSPプロファイル－OCSP profile ........................................................................... 29

7.3.1. バージョン番号－Version number(s) .................................................................. 29 7.3.2. OCSP拡張項目－OCSP extensions .................................................................... 29

8. 証明書ポリシー及び認証実施規定への適合性監査及びその他の評価 －COMPLIANCE

AUDIT AND OTHER ASSESSMENTS ......................................................................... 30 8.1. 評価の頻度と環境－Frequency or circumstances of assessment ............................. 30 8.2. 評価実行者の識別或いは資格－Identity/qualifications of assessor .......................... 30 8.3. 評価実行者と評価項目との関係－Assessor’s relationship to assessed entity ......... 30 8.4. 評価項目－Topics covered by assessment .................................................................. 30 8.5. 違反が発見された場合の対応－Actions taken as a result of deficiency ................... 30 8.6. 評価結果の報告－Communication of results ............................................................. 30

9. その他、ビジネス及び法律に関わる事項 －OTHER BUSINESS AND LEGAL MATTERS ........................................................................................................................ 31

9.1. 料金－Fees ................................................................................................................... 31 9.1.1. 証明書の発行及び再発行料金－Certificate issuance or renewal fees ............... 31 9.1.2. 証明書へのアクセス料金－Certificate access fees ............................................. 31 9.1.3. 失効及びステータス情報へのアクセスの料金 －Revocation or status

information access fees ....................................................................................... 31 9.1.4. 他のサービスへの料金－Fees for other services ................................................ 31 9.1.5. 払い戻し－Refund policy ..................................................................................... 31

9.2. 経済的な責任－Financial responsibility .................................................................... 31 9.2.1. 保険によるカバー－Insurance coverage ............................................................. 31 9.2.2. 他の資産－Other assets ....................................................................................... 31 9.2.3. 保険等による補償－Insurance or warranty coverage for end-entities ............. 31

9.3. ビジネス情報の機密性－Confidentiality of business information ........................... 31 9.3.1. 機密情報の範囲－Scope of confidential information ......................................... 31 9.3.2. 機密情報に分類されない情報 － Information not within the scope of

confidential information ..................................................................................... 31 9.3.3. 機密情報の保護に関する責任－ Responsibility to protect confidential

information .......................................................................................................... 32 9.4. 個人情報の保護－Privacy of personal information ................................................... 32

9.4.1. プライバシーに関する規則－Privacy plan ......................................................... 32 9.4.2. プライバシーに分類される情報－Information treated as private .................... 32 9.4.3. プライバシーに分類されない情報－Information not deemed private .............. 32 9.4.4. 個人情報保護に対する責任－Responsibility to protect private information .... 32 9.4.5. 個人情報利用に関する合意－Notice and consent to use private information .. 32 9.4.6. 法的措置或いは行政措置において求められる情報開示 －Disclosure pursuant to

judicial or administrative process ...................................................................... 32 9.4.7. 情報開示に関する他の要件－Other information disclosure circumstances ..... 32

9.5. 知的財産権－Intellectual property rights ................................................................. 32 9.6. 契約の意思表示と保証－Representations and warranties ....................................... 32

9.6.1. 認証局による意思表示と保証－CA representations and warranties ................ 32 9.6.2. 登録機関による意思表示と保証－RA representations and warranties ............ 32 9.6.3. 被発行者による意思表示と保証－Subscriber representations and warranties 32 9.6.4. 証明書利用者による意思表示と保証－Relying party representations and

warranties ............................................................................................................ 33 9.6.5. 他の参加者による意思表示の保証 －Representations and warranties of other

participants .......................................................................................................... 33 9.7. 保証の拒否－Disclaimers of warranties .................................................................... 33

9.8. 責任限界－Limitations of liability ............................................................................. 33 9.9. 賠償－Indemnities ...................................................................................................... 33 9.10. 本文書の有効期間と終了－Term and termination .................................................... 33

9.10.1. 有効期間－Term ................................................................................................... 33 9.10.2. 終了－Termination .............................................................................................. 33 9.10.3. 終了及び終了猶予の効果－Effect of termination and survival ......................... 33

9.11. 関係者間の個別通知と連絡－ Individual notices and communications with participants ................................................................................................................ 33

9.12. 本文書の改定－Amendments ..................................................................................... 33 9.12.1. 改定のための手続き－Procedure for amendment .............................................. 33 9.12.2. 改定の通知－Notification mechanism and period ............................................. 34 9.12.3. オブジェクト識別子を変更すべき状況 －Circumstances under which OID

must be changed .................................................................................................. 34 9.13. 紛争の解決手段－Dispute resolution provisions ....................................................... 34 9.14. 準拠法－Governing law .............................................................................................. 34 9.15. 法律への準拠－Compliance with applicable law ...................................................... 34 9.16. その他の要項－Miscellaneous provisions .................................................................. 34

9.16.1. 契約一般－Entire agreement .............................................................................. 34 9.16.2. 役割－Assignment ............................................................................................... 34 9.16.3. 分離可能性－Severability .................................................................................... 34 9.16.4. 遵守（弁護費用及び権利の放棄） －Enforcement (attorneys’ fees and waiver of

rights) ................................................................................................................... 34 9.16.5. 不可抗力－Force Majeure.................................................................................... 34

9.17. その他の条項－Other provisions ................................................................................ 35

1

1. はじめに－INTRODUCTION

本文書は、富士ゼロックス SDES認証局 (Fuji Xerox SDES Certification Authority) の認証業務を定

めることを目的とし、証明書ポリシー（Certificate Policy）と認証実施規定（Certification Practice

Statement）とを内容に含む。

証明書ポリシーは、認証業務を構成する各項目について、目的・方針・環境・制約・リスク・手段を記述

し、認証業務を定義する。

認証実施規定は、証明書ポリシーに定義された認証業務を実施するための具体的な規則を規定する。

本文書の構成は、インターネットにおける標準化団体である IETF（Internet Engineering Task Force）が

発行する RFC 3647に準拠する。

RFC 3647の正式な文書名と入手先を以下に示す。

RFC 3647. (2003) Internet X.509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework, Internet Engineering Task Force, Network Working Group,

ftp://ftp.rfc-editor.org/in-notes/rfc3647.txt

また、PDF 化された文書は http://www.faqs.org/rfcs/rfc3647.html から取得することができる（平成 19

年 4月 2７日現在）。

本文書では、RFC 3647中に規定されている各節の見出し語を独自に翻訳し、各節の見出し語とした。但し、

RFC 3647 を手引きとして利用する際に便利なように、英文の見出し語も併記する。

本文書中で適用しない項目であっても、RFC 3647 に規定されている節を省略することはせず、本文書で

は規定しない旨を記述することとした。

逆に必要であると判断された場合には、RFC 3647 に規定されている以外に独自に節を追加し、本文書を

理解する上での利便に供することとした。本文書で独自に設けた節には見出し語に英訳を付与しない。

1.1. 概要－Overview

1.1.1. SDES認証局の目的 SDES 認証局は、富士ゼロックス株式会社（以下、FX）と「契約」を結んだ組織/企業を対象として公開

鍵証明書を発行することを主業務とする。

2

1.1.2. SDES認証局の趣旨 近年になりインターネット技術に基礎を置く LAN（Local Area Network）やWAN（Wide Area Network）

などのネットワーク環境が浸透するに伴い、コンピュータを利用してネットワークを介して業務を遂行する光

景は、日常茶飯のものとなってきた。

例えば、取引先とのコミュニケーションに電子メールを利用したり、インターネットブラウザを利用してリモート

端末からネットワーク経由で社内システムへアクセスしたりする等がある。

しかし、インターネット技術の開放性に起因するセキュリティの問題を看過する訳にはいかない。例えば、イ

ンターネットにおいては、クライアントとサーバとの通信の安全を確保するために、SSL（Secure Socket

Layer）や TLS（Transport Layer Security）など、暗号技術によりセキュリティ機能が付与されたプロトコ

ルが利用されている。また、住民基本台帳カードや電子決済などでも電子署名や暗号化といったセキュリテ

ィ機能が必須であるとされる。これらの動向は、まさに、インターネットがはらむセキュリティ上の問題に由来

する。

LAN や WAN はインターネットのような公衆性を有してはいないものの、同じ技術に立脚し、同じセキュリテ

ィ上の危険を内包している。また、LAN や WAN への外部からの侵入が依然として大きな脅威であることに

加えて、情報漏洩の 80％以上が内部からによるものであることを考えると、LAN や WAN の閉鎖性を安全

の根拠にする訳にはいかない。

さて、ネットワーク通信における脅威としては、なりすまし、盗聴、改ざん、否認、サービス不能（Denial of

Service）の 5項目が認識されているが（表 1）、これらのうち、サービス不能攻撃を除く全ての脅威に対する

対策は確実な認証機能の上に構築される必要がある。その意味で、認証機能はネットワーク通信のセキュリ

ティにおける基盤機能であるといえる。

表 1 ネットワーク通信の脅威

脅威 内容

なりすまし 攻撃者が身許を詐称して、本来アクセスするべきでない通信内容にアクセスする。

盗聴 通信を傍受し、不正に通信内容を取得する。

改ざん 通信を途中で横取りし、通信内容を変更して受信者に送信する。

否認 送信者が、通信内容の送信の事実を事後に否定する。

サービス不能 通信を集中させサーバをダウンさせる等の方法で、通信の実行そのものを妨害する。

3

これらの脅威全てに対抗するためには、健全な認証機能を必要とするが、その実現方法として PKI（Public

Key Infrastructure、公開鍵認証基盤）を利用するのはほぼ必然の選択である。PKIは、インターネットに

おける標準的な認証機能の実現手法であり、相互接続性の観点から圧倒的な利点を有するからである。

しかし、PKI を運用するためには、利用者に対して公開鍵証明書を発行し、発行された公開鍵証明書を検

証するための信用基盤が必要となる。そこで、FXは SDES認証局を運用し、同社と契約を結んだ組織/企業

の個人やシステムに対する証明書発行業務をサービスとして提供する。

1.1.3. SDES認証局の業務の概要

この節では、SDES認証局の業務について概観する。

本節の記述は、あくまで読者の理解を助けることを目的としており、SDES 認証局の証明書ポリシー及び認

証実施規定を定めるものではない。

(1) 証明書の発行要求の受付

SDES認証局は、顧客からの証明書発行申請を受け取ることで、証明書の発行要求を認識する。

(2) SDES認証局における証明書発行要求の処理

SDES 認証局では、顧客からの証明書発行申請に対する契約内容やユーザ情報などから証明書発行

の可否を決定する。

(3) 証明書の発行

証明書発行が認められた場合、SDES認証局は証明書を生成して、申請者またはユーザに対して発行

する。

1.2. 文書の名称と識別－Document name and identification 本文書は、日本語で「富士ゼロックス SDES 認証局：証明書ポリシー及び認証実施規定」、英語で「Fuji

Xerox SDES Certification Authority: Certificate Policy and Certification Practices Statement」の名称を有す

る。

また、以下のオブジェクト識別子（OID）を有する。

1.3.6.1.4.1.297.1.5.1.７

4

1.3. 当 PKIの当事者－PKI participants

1.3.1. 認証局－Certification authorities

SDES認証局は、FXと契約を結んだ組織/企業の個人やシステムに対して証明書を発行することを主業務と

する。SDES認証局が発行した証明書を SDES証明書と呼ぶ。

SDES 認証局は富士ゼロックスが運用する FXCAP(富士ゼロックス認証局プラットフォーム)の個別認証局に

位置づけられる。FXCAP は SDES 認証局の発行局としての業務を担当し、SDES 認証局の秘密鍵を管理/

運用する。

1.3.2. 登録機関－Registration authorities

SDES認証局は登録機関の機能を有さない。SDES認証局の登録機関は 2012年 9月 30日でその機能を

終了した。

1.3.3. 証明書の被発行者－Subscribers

SDES証明書の被発行者は、FX と契約を結んだ組織/企業の個人またはシステムである。

1.3.4. 証明書利用者－Relying parties

SDES証明書の利用者は、FX と契約を結んだ組織/企業の個人またはシステムである。

1.3.5. その他の参加者－Other participants

特になし。

1.4. 証明書の使用－Certificate usage

1.4.1. 証明書の適切な使用－Appropriate certificate uses

SDES 証明書の利用は、PKI の一般的な利用の範囲および FX との契約に基づく利用の範囲に限定され

る。

一般的な利用の範囲とは、例えば、ネットワークを介して機器、サーバ、或いは、ユーザが協調して処理を

実行する際に利用する通信プロトコル（HTTPS、SSL/TLS、S/MIME など）における PKI 機能のために利用

される。SDES 認証局がサポートする公開鍵暗号アルゴリズムやパラメータに制限はあるが、原理的には通

信プロトコルを限定しないので、認証・秘匿・改ざん検知・否認拒否いずれの目的にも使用される。

1.4.2. 禁止される証明書の使用－Prohibited certificate uses

1.4.1に規定された目的以外での証明書の使用を禁止する。

5

1.5. ポリシーの管理―Policy administration

1.5.1. 本文書の管理部門―Organization administering the document

本文書（証明書ポリシー及び認証実施規定）の承認と廃止、及び、本文書の内容の改定は、SDES 認証局

が行う。

1.5.2. 照会に対する受付担当者－Contact person

本文書に関する照会、及び、相互認証に関する照会を受け付ける SDES サポート窓口は、2012 年 9 月 30

日でその機能を終了した。

1.5.3. 認証実施規定のポリシーへの準拠の判断 －Person determining CPS suitability for the policy

本文書では証明書ポリシーと認証実施規定とを分離しないので、本文書の承認をもって、認証実施規定の

ポリシーへの準拠が判断されるものとする。

1.5.4. 認証実施規定の承認手続き－CPS approval procedures

本文書の改訂及び廃止、並びに、承認は、SDES認証局において審議、決裁による。

6

1.6. 定義－Definitions and acronyms 用語 定義

レポジトリ SDES 認証局の認証業務に必要なデータを記録するデータベース。

証明書の失効 証明書を無効にすること。証明書失効リストに証明書の識別情報

を記載することで実施する。

証明書の発行 証明書の被発行者に対して証明書を発行すること。

証明書の再発行 発行済みの証明書に対して、公開鍵を含む記載内容が同一の証明

書を発行する機能。但し、シリアル番号など、認証局のポリシー

によって値が変更されるフィールドは除く。

証明書の鍵更新 発行済みの証明書に対して、公開鍵を更新した新たな証明書を発

行する機能。

証明書の変更 発行済みの証明書に対して、記載の公開鍵を除く、記載事項の一

部或いは全部を変更した新たな証明書を発行する機能。

自己署名証明書 認証局公開鍵に対して、対応する認証局秘密鍵で署名した証明

書。認証局の公開鍵を利用者に開示する目的で利用する。

リンク証明書 認証局公開鍵ペアを更新した際、更新前の公開鍵に対して、更新

後の秘密鍵で署名した証明書、および更新後の公開鍵に対して、

更新前の秘密鍵で署名した証明書。

証明書失効リスト 失効した証明書のリストに対して、認証局秘密鍵で署名したデー

タオブジェクト。

認証局失効リスト 失効した CA証明書のリストに対して、認証局秘密鍵で署名したデータオブジェクト。

ハードウェアセキュリティモジ

ュール 秘密鍵の管理を安全に行うためのハードウェア。秘密鍵の管理に

は、生成・維持・利用・破棄を含む。HSMの操作は、物理鍵を用いた活性化、システム的なアクセス制御等、厳密な安全措置の

もとに管理される。

認証局公開鍵ペア 認証局公開鍵と認証局秘密鍵のペア。

認証局公開鍵 認証局に帰属し、認証局が発行する証明書に付与される署名を検

証するための公開鍵。

認証局秘密鍵 認証局が発行する証明書への署名を生成するための秘密鍵。

エンドエンティティ公開鍵ペア エンドエンティティあるいは認証局が生成するエンドエンティティの公開鍵と秘密鍵のペア。

エンドエンティティ公開鍵 エンドエンティティに帰属し、証明書に指定される公開鍵。

エンドエンティティ公開鍵ペアを構成する公開鍵。

7

用語 定義

エンドエンティティ秘密鍵 エンドエンティティに帰属し、エンドエンティティに安全に記録される

秘密鍵。

エンドエンティティ公開鍵ペアを構成する秘密鍵。

監査ログ 認証業務が正しく実行されていることを検証するために記録さ

れるイベントの記録。

監査ログ収集システム 監査ログを収集するためのシステムであり、SDES認証局システムの一部。

公開鍵ペア 公開鍵暗号システムにおいて、公開鍵と秘密鍵とから構成される

鍵ペア。

公開鍵 公開鍵暗号の公開鍵ペアを構成する鍵のひとつ。証明書に記載し

て公開する。

認証局公開鍵ペアの公開鍵は、証明書の署名検証の目的に用いら

れ、署名検証鍵と呼ぶこともある。

秘密鍵 公開鍵暗号の公開鍵ペアを構成する鍵のひとつ。所有者以外に知

られないよう安全に保管される。

認証局公開鍵ペアの秘密鍵は、証明書の署名の目的に用いられる

ため、署名鍵或いは署名生成鍵と呼ばれることもある。

一般に、秘密鍵の呼称としては、個人鍵、私有鍵、プライベート

鍵などが用いられるが、本文書においては秘密鍵という呼称を用

いる。共通鍵暗号の秘密鍵と混同しないように注意すること。

署名生成鍵 公開鍵ペアの秘密鍵であって、署名の目的に限定して利用する。

署名検証鍵 公開鍵ペアの公開鍵であって、署名検証の目的に限定して利用す

る。

証明書 公開鍵とその他の属性から構成されるデータであり、認証局が署

名を付すことにより、公開鍵の所有者が当認証局のポリシーに準

拠した審査を合格し、当認証局に登録されていることを保証す

る。

SDES証明書 SDES認証局がエンドエンティティに対して発行する証明書。

CA証明書 認証局に対して発行される証明書で、被発行者である認証局が発

行する証明書の署名検証の目的のみで用いられる証明書。

サイト証明書 サイトの認証の根拠として利用される証明書。例えば、SSL/TLSのサイト認証において、クライアントがサイトを認証する際に利

用する。

（証明書）発行者 証明書被発行者の公開鍵を指定した証明書に署名を行う認証局。

証明書中の “Issuer”フィールドに記載されるエンティティであ

8

用語 定義

る。

（証明書）被発行者 認証局が署名する証明書の保有者。証明書中の “Subject” フィールドに記載されるエンティティである。

証明書利用者 証明書を利用して、証明書被発行者を認証する当事者。例えば、

SSL/TLS において、サイトに対して発行されたサイト証明書の利用者はクライアントである。

証明書発行要求申請 SDES証明書の発行を SDES認証局に要求するための申請。

証明書失効要求申請 SDES証明書の失効を SDES認証局に要求するための申請。

証明書ポリシー及び認証実

施規定 認証局の機能・業務・運用に関して、ポリシーと実施規定を定め、

認証局の利用者による参照に供される文書。RFC 3647に準拠して作成されることが推奨される。

英語では、 Certificate Policy and Certification Practices Statementsであり、CP/CPSと略される。

活性化 秘密鍵や HSM等を利用可能な状態にすること。

例えば、認証局秘密鍵は、活性化された状態でのみ、証明書への

署名に利用することが可能である。

また、HSMの活性化とは、公開鍵ペアの生成、削除、秘密鍵の利用等、HSMの機能を利用できる状態にすることである。

非活性化 利用可能な状態にある秘密鍵や HSM 等を利用不能な状態にす

ること。

富士ゼロックス認証局 SDES認証局の上位に位置し、SDES認証局に対し CA証明書を発行する認証局。

FXCAP 富士ゼロックス認証局プラットフォーム

富士ゼロックスによる運用される認証局共通機能を提供するプ

ラットフォームである。SDES認証局の発行局としての業務を担当し、SDES認証局の秘密鍵を管理/運用する。

CP/CPS Certificate Policy and Certification Practices Statements の略。証明書ポリシー及び認証実施規定に同じ。

CSR Certificate Signing Requestの略称。証明書の発行を要求している主体の情報と、署名対象となる公開鍵とを指定するデータ。イ

ンターネットで標準の書式に従う。

CRL Certificate Revocation Listの略称。証明書失効リストに同じ。

ARL Authority Revocation Listの略称。認証局失効リストに同じ。

HSM Hardware Security Moduleの略称。ハードウェアセキュリティ

9

用語 定義

モジュールに同じ。

S/MIME メッセージ秘匿、完全性、否認拒否等のセキュリティ機能を備え

た電子メールの書式及びプロトコルの規定。

SSL Secure Socket Layerの略。

ネットワーク通信において、サーバ（クライアント）認証、メッ

セージの秘匿、改ざん防止の機能を提供するプロトコル。

TLS Transport Layer Securityの略。

SSL 3.0の安全性を強化したプロトコル。

最新のバージョンは以下の規格文書で与えられる。

RFC5246 The TLS Protocol Version 1.2, IETF

10

2. 情報公開及びレポジトリに関する責任 －PUBLICATION AND REPOSITORY RESPONSIBILITIES

2.1. レポジトリ－Repositories SDES認証局のレポジトリは、少なくとも、以下の情報を保持する。

(1) リンク証明書

認証局公開鍵ペアの更新時に生成される証明書。更新後の認証局秘密鍵によって署名された更新前

の認証局公開鍵の証明書、及び、更新前の認証局秘密鍵によって署名された更新後の認証局公開鍵

の証明書。

(2) SDES証明書

公開鍵証明書。

(3) 証明書失効リスト

失効したプロダクト証明書のリスト。

(4) CA証明書

FX CAが SDES認証局に対して発行した証明書。

2.2. 認証情報の公開－Publication of certification information SDES認証局の認証業務に関わる以下の情報を公開する。

(1) レポジトリに記録されている証明書失効リスト

(2) レポジトリに記録されている CA証明書

(3) 本文書による証明書ポリシー及び認証実施規定

公開される認証情報へのアクセスは、以下の手段によるものとする。

http://www.fujixerox.co.jp/product/cap/fxsdesca.html

2.3. 情報開示の時期と頻度－Time or frequency of publication 開示対象となる情報が更新される都度、速やかに更新する。

11

2.4. レポジトリへのアクセス制御－Access controls on repositories レポジトリに記録された情報の追加・削除・変更等のアクセスは、権限を有する担当者に限る。

また、レポジトリ中の開示対象として指定された情報に関しては、Web ページ等を用いて、アクセス制御を設

けることなく広く一般に開示する。

12

3. 識別と認証－IDENTIFICATION AND AUTHENTICATION

3.1. 名前の取扱い－Naming

3.1.1. 名前の型－Types of names

証明書の発行者（ issuer）及び主体者（subject）フィールドに指定される名前は、X.500 識別名（DN:

Distinguished Name）に準拠する。

3.1.2. 名前の有意性に対する要求－Need for names to be meaningful

証明書の主体者（subject）フィールドに指定される名前は、一意に特定できるように定める。

3.1.3. 証明書被発行者による匿名又は別名使用 －Anonymity or pseudonymity of subscribers

証明書の主体者（subject）フィールドに指定される匿名又は別名は、一意に特定できるように定める。

3.1.4. 様々な名前形式を解釈するための規則 －Rules for interpreting various name forms

規定しない。

3.1.5. 名前の一意性－Uniqueness of names

証明書に記載される名前は、被発行者を一意に特定できるように定める。

3.1.6. 商標の認識、認証、及び、役割 －Recognition, authentication, and role of trademarks

規定しない。

3.2. 初期登録時の認証－Initial identity validation

3.2.1. 秘密鍵所有の検証方法－Method to prove possession of private key

公開鍵ペアを申請者が生成する場合、証明書発行要求申請により秘密鍵所有を検証する。

公開鍵ペアを SDES認証局が生成する場合、秘密鍵所有の検証は実施しない。

3.2.2. 組織の認証－Authentication of organization identity

SDES 認証局は、証明書発行要求申請の正当性を契約情報などから検証することにより、被発行者の組織

を認証する。

3.2.3. エンドエンティティの認証－Authentication of individual identity

SDES 認証局は、証明書発行要求申請の正当性を契約情報、ユーザ情報などから検証することにより、被

発行者となるエンドエンティティを認証する。

13

3.2.4. 検証対象でない被発行者情報－Non-verified subscriber information

規定しない。

3.2.5. 権限の検証－Validation of authority

規定しない。

3.2.6. 相互運用のための基準－Criteria for interoperation

規定しない。

3.3. 鍵更新のための識別と認証 －Identification and authentication for re-key requests

3.3.1. 通常の鍵更新－Identification and authentication for routine re-key

3.2の規定に従う。

3.3.2. 失効後の鍵更新－Identification and authentication for re-key after revocation

3.2の規定に従う。

3.4. 失効要求のための識別と認証 －Identification and authentication for revocation request

3.2の規定に従う。

14

4. 証明書ライフサイクル管理のための要件 －CERTIFICATE LIFE-CYCLE OPERATIONAL REQUIREMENTS

4.1. 証明書発行要求－Certificate Application

4.1.1. 証明書発行の要求者－Who can submit a certificate application

FXと契約した組織/企業の管理者は、証明書発行要求申請を SDES認証局に送付することにより、SDES証

明書の発行を要求する。

SDES 証明書に記載される公開鍵は、被発行者であるエンドエンティティが生成した公開鍵ペアまたは

SDES 認証局が生成した公開鍵ペアの公開鍵である。この公開鍵ペアをエンドエンティティ公開鍵ペア、更

に、エンドエンティティ公開鍵ペアを構成する公開鍵をエンドエンティティ公開鍵、エンドエンティティ公開鍵

ペアを構成する秘密鍵をエンドエンティティ秘密鍵と呼ぶ。

4.1.2. 登録処理と責任－Enrollment process and responsibilities

FX と契約した組織/企業の管理者は、契約情報、ユーザ情報に基づき、証明書発行要求申請を実施しなけ

ればならない。

4.2. 証明書発行要求の処理－Certificate application processing SDES認証局システムは、証明書発行要求の処理を提供しない。SDES認証局システムは、2012年 9月 30

日でその機能を終了した。

4.2.1. 識別と認証－Performing identification and authentication functions

規定しない。

4.2.2. 証明書発行の可否の判断－Approval or rejection of certificate applications

規定しない。

4.2.3. 証明書発行要求の処理に要する時間－Time to process certificate applications

規定しない。

4.3. 証明書の発行－Certificate issuance SDES認証局システムは、証明書の発行機能を提供しない。SDES認証局システムは、2012年 9月 30日で

その機能を終了した。

4.3.1. 証明書発行における認証局の処理－CA actions during certificate issuance

規定しない。

15

4.3.2. 認証局による被発行者への証明書発行の通知 －Notification to subscriber by the CA of issuance of certificate

規定しない。

4.4. 証明書の受理－Certificate acceptance

4.4.1. 証明書の受理を構成する行為－Conduct constituting certificate acceptance

SDES証明書の送付により、証明書の受理を認識する。

4.4.2. 認証局による証明書の開示－Publication of the certificate by the CA

規定しない。

4.4.3. 認証局による他の機関への証明書発行の通知 －Notification of certificate issuance by the CA to other entities

規定しない。

4.5. 鍵ペア及び証明書の利用－Key pair and certificate usage

4.5.1. 被発行者による秘密鍵と証明書の利用－Subscriber private key and certificate usage

SDES証明書に対する秘密鍵は、PKIの一般的な利用の範囲および FXとの契約に基づく利用の範囲に限

定される。

一般的な利用の範囲とは、例えば、ネットワークを介して機器、サーバ、或いは、ユーザが協調して処理を

実行する際に利用する通信プロトコル（HTTPS、SSL/TLS、S/MIME など）における PKI 機能のために利用

される。SDES 認証局がサポートする公開鍵暗号アルゴリズムやパラメータに制限はあるが、原理的には通

信プロトコルを限定しないので、認証・秘匿・改ざん検知・否認拒否いずれの目的にも使用される。

4.5.2. 証明書利用者による公開鍵と証明書の利用 －Relying party public key and certificate usage

SDES証明書は、PKIの一般的な利用の範囲および FX との契約に基づく利用の範囲に限定される。

4.6. 証明書の再発行－Certificate renewal SDES認証局は、証明書の再発行の機能は提供しない。

ここでいう証明書の再発行とは、鍵の更新を行わずに新たな証明書を発行することである。

4.6.1. 再発行の事由となる状況－Circumstance for certificate renewal

規定しない。

16

4.6.2. 再発行の要求者－Who may request renewal

規定しない。

4.6.3. 再発行要求の処理－Processing certificate renewal requests

規定しない。

4.6.4. 再発行された証明書の受理を構成する行為 －Conduct constituting acceptance of a renewal certificate

規定しない。

4.6.5. 認証局による再発行証明書の開示－Publication of the renewal certificate by the CA

規定しない。

4.6.6. 認証局による他の機関への証明書再発行の通知 －Notification of certificate issuance by the CA to other entities

規定しない。

4.7. 証明書の鍵更新－Certificate re-key SDES認証局は、証明書の鍵更新の機能を提供しない。SDES認証局は、2012年 9月 30日でその機能を

終了した。

ここでいう証明書の鍵更新とは、被発行者を特定する情報(例えば証明書の主体者（subject）フィールドやメ

ールアドレス)の変更は行わず、更新された公開鍵に対する証明書を発行することである。

4.7.1. 鍵更新の事由となる状況－Circumstance for certificate re-key

規定しない。

4.7.2. 更新の要求者－Who may request certification of a new public key

規定しない。

4.7.3. 鍵更新要求の処理－Processing certificate re-keying requests

規定しない。

4.7.4. 被発行者への新証明書発行の通知 －Notification of new certificate issuance to subscriber

規定しない。

17

4.7.5. 更新証明書の受理を構成する行為 －Conduct constituting acceptance of a re-keyed certificate

規定しない。

4.7.6. 規定しない。認証局による更新証明書の開示 －Publication of the re-keyed certificate by the CA

規定しない。

4.7.7. 認証局による他の機関への証明書発行の通知 －Notification of certificate issuance by the CA to other entities

規定しない。

4.8. 証明書の変更－Certificate modification SDES認証局は、証明書の変更の機能を提供しない。SDES認証局は、2012年 9月 30日でその機能を終

了した。

ここでいう証明書の変更とは、被発行者を特定する情報(例えば証明書の主体者（subject）フィールドやメー

ルアドレス)の変更を伴い、証明書を発行することである。

4.8.1. 変更の事由となる状況－Circumstance for certificate modification

規定しない。

4.8.2. 変更の要求者－Who may request certificate modification

規定しない。

4.8.3. 変更要求の処理－Processing certificate modification requests

規定しない。

4.8.4. 被発行者への新証明書発行の通知 －Notification of new certificate issuance to subscriber

規定しない。

4.8.5. 変更済証明書の受理を構成する行為 －Conduct constituting acceptance of modified certificate

規定しない。

4.8.6. 認証局による変更済証明書の開示 －Publication of the modified certificate by the CA

規定しない。

18

4.8.7. 認証局による他の機関への証明書発行の通知 －Notification of certificate issuance by the CA to other entities

規定しない。

4.9. 証明書の失効及び一時停止－Certificate revocation and suspension SDES認証局は証明書の一時停止の機能を提供しない。

4.9.1. 失効の事由となる状況－Circumstances for revocation

以下の状況を事由として、SDES証明書の失効処理を行う。

(1) SDES認証局の認証局秘密鍵が危殆化した場合

4.9.2. 失効の要求者－Who can request revocation

失効の事由となる状況に応じて、以下のように、SDES証明書の失効の要求者を定める。

(1) SDES認証局の認証局秘密鍵が危殆化した場合

SDES認証局責任者により失効の要求が実施される。

4.9.3. 失効要求の手続き－Procedure for revocation request

失効の事由となる状況に応じて、失効要求の手続きを以下のように定める。

(1) SDES認証局の認証局秘密鍵が危殆化した場合

SDES 認証局責任者に対して認証局秘密鍵の危殆化の事実を報告し、その指示に基づいて危殆化し

た秘密鍵により署名された有効な全ての証明書の失効処理を行う。

4.9.4. 失効要求の猶予期間－Revocation request grace period

失効の事由となる状況に応じて、失効の要求者は、事由の認識した時点から下記の猶予期間内に失効の

要求を行わなければならない。

(1) SDES認証局の認証局秘密鍵が危殆化した場合

SDES 認証局責任者は、認証局秘密鍵の危殆化、或いは、その恐れを認識した時点から、可能な限り

速やかに SDES証明書の失効の要求を行う。

4.9.5. 認証局が失効要求を処理する時間 －Time within which CA must process the revocation request

失効の事由となる状況に応じて、SDES認証局は下記の期間内に失効の処理を行わなければならない。

19

(1) SDES認証局の認証局秘密鍵が危殆化した場合

SDES 認証局は、SDES 認証局責任者からの指示を受領後、可能な限り速やかに失効処理を完了す

る。

4.9.6. 証明書使用者が失効証明書を確認する手段 －Revocation checking requirement for relying parties

証明書使用者は、SDES認証局が開示する CRLを参照することで、失効した証明書を確認する。

4.9.7. 証明書失効リスト発行の頻度－CRL/ARL issuance frequency (if applicable)

48時間を有効期限とする CRLを 24時間ごとに発行する。

4.9.8. 証明書失効リストの作成から発行までの猶予期間 －Maximum latency for CRL/ARLs (if applicable)

規定しない。

4.9.9. オンラインによる失効及びステータス検査 －On-line revocation/status checking availability

CRLは、アクセスに一切制限を加えることなく、任意のユーザが原則 365日 24時間、参照することができる

ように公開する。

CRLへのアクセスは、2.2で定める手段による。

4.9.10. オンラインによる失効検査要求－On-line revocation checking requirements

規定しない。

4.9.11. 失効告知の他の形態－Other forms of revocation advertisements available

規定しない。

4.9.12. 認証局秘密鍵の危殆化に関する特別な要件 －Special requirements re-key compromise

認証局秘密鍵が危殆化した場合には、SDES認証局は、下記を含む必要な措置をとる。

認証局の閉鎖と認証業務の停止

認証局秘密鍵の更新

必要な証明書の新規発行

更に、認証局秘密鍵が危殆化した事実とそれに対する措置を速やかに開示する。

20

4.9.13. 一時停止を行う状況－Circumstances for suspension

規定しない。

4.9.14. 一時停止の要求者－Who can request suspension

規定しない。

4.9.15. 一時停止要求の手続き－Procedure for suspension request

規定しない。

4.9.16. 一時停止期間の上限－Limits on suspension period

規定しない。

4.10. 証明書ステータスサービス－Certificate status services 証明書失効リストの開示を除いて、SDES認証局は証明書ステータスサービスを提供しない。

4.10.1. 処理上の特徴－Operational characteristics

規定しない。

4.10.2. サービスの可用性－Service availability

規定しない。

4.10.3. オプションの機能－Optional features

規定しない。

4.11. 一時停止の終了－End of subscription 規定しない。

4.12. 鍵の預託と回復－Key escrow and recovery 鍵の預託と回復を行わない。

4.12.1. 鍵の預託と回復に関するポリシーと実施 －Key escrow and recovery policy and practices

規定しない。

4.12.2. セッション鍵のカプセル化及び回復のポリシーと実施 －Session key encapsulation and recovery policy and practices

規定しない。

21

5. 設備、運用、操作に関する管理 －FACILITY, MANAGEMENT, AND OPERATIONAL CONTROLS

5.1. 物理的な管理－Physical controls

5.1.1. 設置場所と建物構造－Site location and construction

規定しない。

5.1.2. 物理的アクセス－Physical access

規定しない。

5.1.3. 電源設備と空調設備－Power and air conditioning

規定しない。

5.1.4. 水害対策－Water exposures

規定しない。

5.1.5. 防火及び火災対策－Fire prevention and protection

規定しない。

5.1.6. 記憶媒体－Media storage

規定しない。

5.1.7. 廃棄物処理－Waste disposal

規定しない。

5.1.8. オフサイトバックアップ－Off-site backup

規定しない。

5.2. 手続き面での管理－Procedural controls

5.2.1. 役割－Trusted roles 5.2.1.1. FX CAP委員会 規定しない。 5.2.1.2. FX CAP運用グループ 規定しない。 5.2.1.3. 監査グループ 規定しない。

22

5.2.2. 業務ごとの必要員数－Number of persons required per task

規定しない。

5.2.3. 役割ごとの識別と認証－Identification and authentication for each role

規定しない。

5.2.4. 業務の分離に関する要件－Roles requiring separation of duties

規定しない。

5.3. 人事面での管理－Personnel controls

5.3.1. 資格・経験・認可に関する要件 －Qualifications, experience, and clearance requirements

規定しない。

5.3.2. 背景審査手続き－Background check procedures

規定しない。

5.3.3. 教育に関する要件－Training requirements

規定しない。

5.3.4. 継続教育の頻度と要件－Retraining frequency and requirements

規定しない。

5.3.5. 業務のローテーションと順序－Job rotation frequency and sequence

規定しない。

5.3.6. 不正行為への制裁－Sanctions for unauthorized actions

規定しない。

5.3.7. 業務委託等に関する要件－Independent contractor requirements

規定しない。

5.3.8. 要員に提供される文書－Documentation supplied to personnel

規定しない。

5.4. 監査手順－Audit logging procedures 規定しない。

23

5.4.1. 監査ログに記録されるイベント－Types of events recorded

規定しない。

5.4.2. 監査ログを処理する頻度－Frequency of processing log

規定しない。

5.4.3. 監査ログの保持期間－Retention period for audit log

規定しない。

5.4.4. 監査ログの保護－Protection of audit log

規定しない。

5.4.5. 監査ログのバックアップの手順－Audit log backup procedures

規定しない。

5.4.6. 監査ログ収集システム－Audit collection system (internal vs. external)

規定しない。

5.4.7. イベントを引き起こした操作者への通知－Notification to event-causing subject

規定しない。

5.4.8. 脆弱性のアセスメント－Vulnerability assessments

規定しない。

5.5. データのアーカイブ－Records archival 規定しない。

5.5.1. アーカイブするべき記録の種別－Types of records archived

規定しない。

5.5.2. アーカイブの保持期間－Retention period for archive

規定しない。

5.5.3. アーカイブの保護－Protection of archive

規定しない。

5.5.4. アーカイブのバックアップの手順－Archive backup procedures

規定しない。

24

5.5.5. 記録へのタイムスタンプに関する要求－Requirements for time-stamping of records

規定しない。

5.5.6. アーカイブの収集システム－Archive collection system (internal or external)

規定しない。

5.5.7. アーカイブの検証手続き－Procedures to obtain and verify archive information

規定しない。

5.6. 鍵の交換－Key changeover 規定しない。

5.7. 危殆化及び災害からの復旧－Compromise and disaster recovery

5.7.1. 事故及び危殆化を処理する手順－Incident and compromise handling procedures

規定しない。

5.7.2. 機器、ソフトウェア、或いは、データが危殆化した場合の手順 －Computing resources, software, and/or data are corrupted

規定しない。

5.7.3. 認証局秘密鍵が危殆化した場合の手順－Entity private key compromise procedures

規定しない。

5.7.4. 災害後の業務継続の能力－Business continuity capabilities after a disaster

規定しない。

5.8. 認証局或いは登録機関の終了－CA or RA termination 規定しない。

25

6. 技術的な管理－TECHNICAL SECURITY CONTROLS

6.1. 鍵ペアの生成と設定－Key pair generation and installation

6.1.1. 鍵ペアの生成－Key pair generation

規定しない。

6.1.2. 被発行者への秘密鍵の配送－Private key delivery to subscriber

規定しない。

6.1.3. 証明書発行者への公開鍵の配送－Public key delivery to certificate issuer

規定しない。

6.1.4. 証明書使用者への認証局公開鍵の配送－CA public key delivery to relying parties

規定しない。

6.1.5. 鍵長－Key sizes

規定しない。

6.1.6. 公開鍵パラメータの生成と品質検査 －Public key parameters generation and quality checking

規定しない。

6.1.7. 鍵の使用目的－Key usage purposes (as per X.509 v3 key usage field)

規定しない。

6.2. 秘密鍵の保護と暗号モジュールによる管理 －Private Key Protection and Cryptographic Module Engineering Controls

6.2.1. 暗号モジュールの標準と制御－Cryptographic module standards and controls

規定しない。

6.2.2. 秘密鍵の複数人による管理－Private key (n out of m) multi-person control

規定しない。

6.2.3. 秘密鍵の預託－Private key escrow

規定しない。

6.2.4. 秘密鍵のバックアップ－Private key backup

規定しない。

26

6.2.5. 秘密鍵のアーカイブ－Private key archival

規定しない。

6.2.6. 暗号モジュールへの秘密鍵の入出力 －Private key transfer into or from a cryptographic module

規定しない。

6.2.7. 暗号モジュール中での秘密鍵の保持－Private key storage on cryptographic module

規定しない。

6.2.8. 秘密鍵を活性化する方法－Method of activating private key

規定しない。

6.2.9. 秘密鍵を非活性化する方法－Method of deactivating private key

規定しない。

6.2.10. 秘密鍵を廃棄する方法－Method of destroying private key

規定しない。

6.2.11. 暗号モジュールの評価－Cryptographic Module Rating

規定しない。

6.3. その他、鍵ペアの管理に関連する事項 －Other aspects of key pair management

6.3.1. 公開鍵のアーカイブ－Public key archival

規定しない。

6.3.2. 証明書と公開鍵ペアの有効期間 －Certificate operational periods and key pair usage periods

規定しない。

6.4. アクティベーションデータ－Activation data

6.4.1. アクティベーションデータの生成と設定－Activation data generation and installation

規定しない。

6.4.2. アクティベーションデータの保護－Activation data protection

規定しない。

27

6.4.3. アクティベーションデータに関する他の規則－Other aspects of activation data

規定しない。

6.5. コンピュータセキュリティ管理－Computer security controls

6.5.1. コンピュータセキュリティに関する技術的要件 －Specific computer security technical requirements

規定しない。

6.5.2. コンピュータセキュリティの評価 Computer security rating

規定しない。

6.6. ライフサイクルに関する技術的制御－Life cycle technical controls

6.6.1. システム開発に関する管理－System development controls

規定しない。

6.6.2. セキュリティマネジメントに関する管理－Security management controls

規定しない。

6.6.3. ライフサイクルのセキュリティに関する管理－Life cycle security controls

規定しない。

6.7. ネットワークセキュリティに関する管理－Network security controls 規定しない。

6.8. タイムスタンプ－Time-stamping 規定しない。

28

7. 証明書・証明書失効リスト及び OCSPのプロファイル －CERTIFICATE, CRL/ARL, AND OCSP PROFILES

7.1. 証明書のプロファイル－Certificate profile

7.1.1. バージョン番号－Version number(s)

SDES認証局が発行する証明書は、X.509 v3に準拠する。

7.1.2. 証明書の拡張項目－Certificate extensions

規定しない。

7.1.3. アルゴリズムのオブジェクト識別子－Algorithm object identifiers

SDES認証局は、以下の識別子で特定されるアルゴリズムに準拠して、証明書への署名を生成する。

sha-1WithRSAEncryption {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)

pkcs-1(1) 5}

7.1.4. 名前の形式－Name forms

SDES認証局が発行するプロダクト証明書中の発行者名 (Issuer) 及び被発行者名 (Subject) フィールドに

指定される名前は、X.500 識別名（DN: Distinguished Name）に準拠する。

7.1.5. 名前の制約－Name constraints

規定しない。

7.1.6. 証明書ポリシーのオブジェクト識別子－Certificate policy object identifier

SDES認証局が発行するプロダクト証明書には、以下の証明書ポリシーのオブジェクト識別子を記載する。

SDES認証局 証明書ポリシーおよび認証実施規定 1.3.6.1.4.1.297.1.5.1.7

7.1.7. ポリシー制限拡張の使用－Usage of Policy Constraints extension

規定しない。

7.1.8. ポリシークォリファイアの書式と定義－Policy qualifiers syntax and semantics

規定しない。

7.1.9. クリティカル証明書ポリシー拡張のためのセマンティクスの処理 －Processing semantics for the critical Certificate Policies extension

規定しない。

29

7.2. 証明書失効リストのプロファイル－CRL/ARL profile

7.2.1. バージョン番号－Version number(s)

SDES認証局が発行する証明書失効リストは、X.509 v2に準拠する。

7.2.2. 証明書失効リスト及び証明書失効リストの拡張項目 －CRL/ARL and CRL/ARL entry extensions

規定しない

7.3. OCSPプロファイル－OCSP profile SDES認証局では、OCSPによる証明書ステータスの参照サービスを提供しない。

7.3.1. バージョン番号－Version number(s)

規定しない。

7.3.2. OCSP拡張項目－OCSP extensions

規定しない。

30

8. 証明書ポリシー及び認証実施規定への適合性監査及びその他の評

価 －COMPLIANCE AUDIT AND OTHER ASSESSMENTS

8.1. 評価の頻度と環境－Frequency or circumstances of assessment SDES認証局の登録機関は、2012年9月30日でその機能を終了しているため、適合性監査は実施しない。

SDES認証局の発行局の適合性監査は FXCAPが定める監査を持って代用する。

8.2. 評価実行者の識別或いは資格－Identity/qualifications of assessor 規定しない。

8.3. 評価実行者と評価項目との関係－Assessor’s relationship to assessed entity 規定しない。

8.4. 評価項目－Topics covered by assessment 規定しない。

8.5. 違反が発見された場合の対応－Actions taken as a result of deficiency 規定しない。

8.6. 評価結果の報告－Communication of results 規定しない。

31

9. その他、ビジネス及び法律に関わる事項 －OTHER BUSINESS AND LEGAL MATTERS

9.1. 料金－Fees

9.1.1. 証明書の発行及び再発行料金－Certificate issuance or renewal fees

規定しない。

9.1.2. 証明書へのアクセス料金－Certificate access fees

規定しない。

9.1.3. 失効及びステータス情報へのアクセスの料金 －Revocation or status information access fees

規定しない。

9.1.4. 他のサービスへの料金－Fees for other services

規定しない。

9.1.5. 払い戻し－Refund policy

規定しない。

9.2. 経済的な責任－Financial responsibility

9.2.1. 保険によるカバー－Insurance coverage

規定しない。

9.2.2. 他の資産－Other assets

規定しない。

9.2.3. 保険等による補償－Insurance or warranty coverage for end-entities

規定しない。

9.3. ビジネス情報の機密性－Confidentiality of business information

9.3.1. 機密情報の範囲－Scope of confidential information

規定しない。

9.3.2. 機密情報に分類されない情報 －Information not within the scope of confidential information

規定しない。

32

9.3.3. 機密情報の保護に関する責任－Responsibility to protect confidential information

規定しない。

9.4. 個人情報の保護－Privacy of personal information

9.4.1. プライバシーに関する規則－Privacy plan

規定しない。

9.4.2. プライバシーに分類される情報－Information treated as private

規定しない。

9.4.3. プライバシーに分類されない情報－Information not deemed private

規定しない。

9.4.4. 個人情報保護に対する責任－Responsibility to protect private information

規定しない。

9.4.5. 個人情報利用に関する合意－Notice and consent to use private information

規定しない。

9.4.6. 法的措置或いは行政措置において求められる情報開示 －Disclosure pursuant to judicial or administrative process

規定しない。

9.4.7. 情報開示に関する他の要件－Other information disclosure circumstances

規定しない。

9.5. 知的財産権－Intellectual property rights 規定しない。

9.6. 契約の意思表示と保証－Representations and warranties

9.6.1. 認証局による意思表示と保証－CA representations and warranties

規定しない。

9.6.2. 登録機関による意思表示と保証－RA representations and warranties

規定しない。

9.6.3. 被発行者による意思表示と保証－Subscriber representations and warranties

規定しない。

33

9.6.4. 証明書利用者による意思表示と保証－Relying party representations and warranties

規定しない。

9.6.5. 他の参加者による意思表示の保証 －Representations and warranties of other participants

規定しない。

9.7. 保証の拒否－Disclaimers of warranties 規定しない。

9.8. 責任限界－Limitations of liability 規定しない。

9.9. 賠償－Indemnities 規定しない。

9.10. 本文書の有効期間と終了－Term and termination

9.10.1. 有効期間－Term

規定しない。

9.10.2. 終了－Termination

規定しない。

9.10.3. 終了及び終了猶予の効果－Effect of termination and survival

規定しない。

9.11. 関係者間の個別通知と連絡－Individual notices and communications with participants

規定しない。

9.12. 本文書の改定－Amendments

9.12.1. 改定のための手続き－Procedure for amendment

SDES認証局は、本文書を改訂する権限を有する。

SDES認証局が改訂された文書を承認した後、改訂された文書が 2.2で定める手段により公開された時点を

もって、改訂内容を有効とする。

34

9.12.2. 改定の通知－Notification mechanism and period

改定された文書を 2.2 で定める手段により公開することで改定の通知とし、事前の通知は原則として行わな

い。

但し、改定内容が既存の設置先に重大な影響を及ぼすと判断された場合には、SDES 認証局が定める手

段によって事前に通知することを妨げない。

9.12.3. オブジェクト識別子を変更すべき状況 －Circumstances under which OID must be changed

規定しない。

9.13. 紛争の解決手段－Dispute resolution provisions 規定しない。

9.14. 準拠法－Governing law 規定しない。

9.15. 法律への準拠－Compliance with applicable law 規定しない。

9.16. その他の要項－Miscellaneous provisions

9.16.1. 契約一般－Entire agreement

規定しない。

9.16.2. 役割－Assignment

規定しない。

9.16.3. 分離可能性－Severability

規定しない。

9.16.4. 遵守（弁護費用及び権利の放棄） －Enforcement (attorneys’ fees and waiver of rights)

規定しない。

9.16.5. 不可抗力－Force Majeure

規定しない。

35

9.17. その他の条項－Other provisions 規定しない。