ISO/IEC 27099:2022 情報技術—公開鍵インフラストラクチャ—実践とポリシーフレームワーク (2022.07.08)

こんにちは、丸山満彦です。

公開鍵インフラストラクチャ—実践とポリシーフレームワークに関する標準が公表されていました。。。

• 金融サービスのPKI標準ISO21188：2018から派生したもので、 ISO / IEC 9594-8、ISO / IEC 19790、RFC 3647に基づいて、ISMSを通じて運用、ベースラインのコントロールと実践の実装を促進する。
   
  
  • ISO 21188:2018 の条項の主な変更点については、附属書 E を参照
    
  • 参照されているISMSは、ISO/IEC 27002:2013の構造
    
    
• 電子署名、認証またはデータ暗号化のための鍵確立に使用される公開鍵証明書のライフサイクルについて記述する。
  
  
• ルートCAと中間CAにも適用できる
  
  
• 公開鍵証明書の使用に基づく認証方法、否認防止要件、鍵管理プロトコルについては言及しない。
  
  
• 属性証明書については、適用されない。
  

 

● International Organization for Standardization; ISO

・2022.07.08 ISO/IEC 27099:2022 Information technology — Public key infrastructure — Practices and policy framework

 ・Preview

ABSTRACT	要約
This document sets out a framework of requirements to manage information security for Public key infrastructure (PKI) trust service providers through certificate policies, certificate practice statements, and, where applicable, their internal underpinning by an information security management system (ISMS). The framework of requirements includes the assessment and treatment of information security risks, tailored to meet the agreed service requirements of its users as specified through the certificate policy. This document is also intended to help trust service providers to support multiple certificate policies.	本文書は、証明書ポリシー、証明書実務記述書、および該当する場合、情報セキュリティ管理システム（ISMS）による内部的な裏付けを通じて、公開鍵基盤（PKI）信頼サービスプロバイダの情報セキュリティを管理するための要求事項の枠組みを規定するものである。要求事項の枠組みには、証明書ポリシーで規定される利用者の合意されたサービス要件を満たすように調整された情報セキュリティリスクの評価と対処が含まれる。また、本書は、信頼できるサービスプロバイダが複数の証明書ポリシーをサポートするための一助となることを意図している。
This document addresses the life cycle of public key certificates that are used for digital signatures, authentication, or key establishment for data encryption. It does not address authentication methods, non-repudiation requirements, or key management protocols based on the use of public key certificates. For the purposes of this document, the term “certificate” refers to public key certificates. This document is not applicable to attribute certificates.	本文書は、電子署名、認証またはデータ暗号化のための鍵確立に使用される公開鍵証明書のライフサイクルについ て記述する。公開鍵証明書の使用に基づく認証方法、否認防止要件、鍵管理プロトコルについ ては言及しない。本文書において、「証明書」という用語は、公開鍵証明書を指す。属性証明書については、本書は適用されない。
This document uses concepts and requirements of an ISMS as defined in the ISO/IEC 27000 family of standards. It uses the code of practice for information security controls as defined in ISO/IEC 27002. Specific PKI requirements (e.g. certificate content, identity proofing, certificate revocation handling) are not addressed directly by an ISMS such as defined by ISO/IEC 27001 [26].	本文書は、ISO/IEC 27000 規格群に定義される ISMS の概念および要件を使用する。ISO/IEC 27002 で定義されている情報セキュリティ管理に関する実践規範を使用している。特定の PKI 要件（証明書の内容、ID の証明、証明書の失効処理など）は、ISO/IEC 27001 [26]で定義されているような ISMS では直接扱われない。
The use of an ISMS or equivalent is adapted to the application of PKI service requirements specified in the certificate policy as described in this document.	ISMS または同等のものの使用は、本文書に記載される証明書ポリシーに規定される PKI サービス要件の適用に適応される。
A PKI trust service provider is a special class of trust service for the use of public key certificates.	PKI トラスト・サービス・プロバイダは、公開鍵証明書を使用するための特別なクラスのトラスト・ サービスである。
This document draws a distinction between PKI systems used in closed, open and contractual environments. This document is intended to facilitate the implementation of operational, baseline controls and practices in a contractual environment. While the focus of this document is on the contractual environment, application of this document to open or closed environments is not specifically precluded.	本文書は、クローズド、オープン、および契約上の環境で使用される PKI システムを区別してい る。本文書は、契約環境における運用、基準管理および実務の実施を促進することを意図している。本文書の焦点は契約環境にあるが、本文書をオープンまたはクローズド環境に適用することは特に妨げ られるものではない。

 

目次...

Foreword	序文
Introduction	はじめに
1 Scope	1 適用範囲
2 Normative references	2 引用規格
3 Terms and definitions	3 用語及び定義
4 Abbreviated terms	4 略語
5 Public key infrastructure (PKI) general concepts	5 公開鍵基盤(PKI)の一般的な概念
5.1 General	5.1 一般
5.2 What is PKI?	5.2 PKI とは何か？
5.2.1 General	5.2.1 一般
5.2.2 Public key infrastructure process flow	5.2.2 公開鍵基盤のプロセスフロー
5.3 Use of PKI Service components within example business flows	5.3 ビジネスフロー例における PKI サービスコンポーネントの使用
5.3.1 General	5.3.1 一般
5.3.2 Illustration of certificate application in a contractual PKI environment	5.3.2 契約上の PKI 環境における証明書アプリケーションの図解
5.4 Certification authority (CA)	5.4 認証機関 (CA)
5.5 Business perspectives	5.5 ビジネス上の観点
5.5.1 General	5.5.1 一般
5.5.2 Business risks	5.5.2 ビジネスリスク
5.5.3 Applicability	5.5.3 適用可能性
5.5.4 Legal issues	5.5.4 法的問題
5.5.5 Regulatory issues	5.5.5 規制上の問題
5.5.6 Business usage issues	5.5.6 ビジネス利用上の問題
5.5.7 Interoperability issues	5.5.7 相互運用上の問題
5.6 Certificate policy (CP)	5.6 証明書ポリシー(CP)
5.6.1 General	5.6.1 一般
5.6.2 Policy Authority and certificate policy usage	5.6.2 ポリシー機関及び証明書ポリシーの使用法
5.6.3 Certificate policies within a hierarchy of trust	5.6.3 信頼の階層内の証明書ポリシー
5.6.4 Certificate status	5.6.4 証明書のステータス
5.7 Certification practice statement (CPS)	5.7 認証業務運用規程(CPS)
5.7.1 General	5.7.1 一般
5.7.2 CPS creation	5.7.2 CPS の作成
5.7.3 Purpose	5.7.3 目的
5.7.4 Level of specificity	5.7.4 具体性のレベル
5.7.5 Approach	5.7.5アプローチ
5.7.6 Audience and access	5.7.6 想定読者及びアクセス
5.8 Agreements	5.8 合意事項
5.9 Time-stamping	5.9 タイムスタンプ
5.10 Trust models	5.10 信頼モデル
5.10.1 Trust model considerations	5.10.1 信頼モデルの考慮事項
5.10.2 Wildcard certificate considerations	5.10.2 ワイルドカード証明書に関する考察
5.10.3 Relying party considerations	5.10.3 リライングパーティー に関する考察
5.11 Component services	5.11 コンポーネント・サービス
5.12 PKI hierarchies and independently managed CAs	5.12 PKI 階層および独立に管理される認証機関
5.13 Root CA	5.13 ルート CA
5.13.1 General	5.13.1 一般
5.13.2 CA relationships and PKI hierarchies	5.13.2 認証機関の関係および PKI 階層
6 Certificate policy (CP), certification practice statement (CPS) and their relationship to information security management system (ISMS)	6 証明書ポリシー（CP）、認証業務運用規程（CPS）、および情報セキュリティ管理システム（ISMS） とそれらの関係
6.1 General	6.1 一般
6.2 Certificate policy (CP) guidance	6.2 証明書ポリシー(CP)の手引き
6.3 Certification practice statement (CPS) guidance	6.3 認証業務運用規程(CPS)ガイダンス
7 Certification authority objectives and controls	7 認証機関の目的及び管理
7.1 General	7.1 一般
7.2 Certification practice statement and certificate policy management	7.2 認証業務運用規程及び認証書ポリシーの管理
7.2.1 Certificate policy management	7.2.1 証明書ポリシー管理
7.2.2 CPS and CA management	7.2.2 CPS および認証局の管理
7.2.3 Subscriber and relying party agreements	7.2.3 利用者及び依拠当事者規約
7.3 Information security	7.3 情報セキュリティ
7.4 Asset classification and management	7.4 資産の分類および管理
7.5 Human resources security	7.5 人的資源のセキュリティ
7.6 Physical and environmental security	7.6 物理的及び環境的セキュリティ
7.7 Operations security	7.7 運用セキュリティ
7.8 Access control	7.8 アクセス管理
7.9 System acquisition development and maintenance	7.9 システムの取得・開発・保守
7.10 Business continuity management	7.10 事業継続管理
7.11 Monitoring, conformance and compliance	7.11 監視、適合性、コンプライアンス
7.12 Audit journal security assurance	7.12 監査ジャーナルセキュリティ保証
7.13 CA key life cycle management controls	7.13 CA 鍵のライフサイクル管理の管理
7.13.1 CA key generation	7.13.1 認証機関鍵の生成
7.13.2 CA key storage, back-up, and recovery	7.13.2 認証機関鍵の保管、バックアップ、およびリカバリ
7.13.3 CA public key distribution	7.13.3 認証機関公開鍵の配布
7.13.4 CA key usage	7.13.4 認証機関鍵の使用
7.13.5 CA key archival and destruction	7.13.5 認証機関鍵のアーカイブおよび破壊
7.13.6 CA key compromise	7.13.6 認証機関鍵の危殆化
7.14 Subject key life cycle management controls	7.14 サブジェクト鍵のライフサイクル管理の管理
7.14.1 CA-provided subject key generation services (if supported)	7.14.1 CA が提供するサブジェクト鍵生成サービス（サポートされる場合）
7.14.2 CA-provided subject key storage and recovery services (if supported)	7.14.2 認証機関が提供するサブジェクト鍵の保管およびリカバリ・サービス（サポートされる場合）
7.14.3 Hardware token life cycle management if outsourced to an external service (if supported)	7.14.3 外部サービスに委託している場合は、ハードウェア・トークンのライフサイクル管理（サポートさ れている場合）
7.14.4 Subject key management, if supported	7.14.4 サブジェクト鍵の管理（サポートされる場合）
7.15 Certificate life cycle management controls	7.15 証明書ライフサイクル管理の管理
7.15.1 Subject registration	7.15.1 サブジェクトの登録
7.15.2 Certificate renewal (if supported)	7.15.2 証明書の更新（サポートされる場合）
7.15.3 Certificate rekey	7.15.3 証明書のリキー
7.15.4 Certificate issuance	7.15.4 証明書の発行
7.15.5 Certificate distribution	7.15.5 証明書の配布
7.15.6 Certificate revocation	7.15.6 証明書の失効
7.15.7 Certificate suspension (if supported)	7.15.7 証明書の一時停止（サポートされる場合）
7.15.8 Revocation status information service	7.15.8 失効ステータス情報サービス
7.15.9 Controlled CA termination	7.15.9 管理された認証局の終了
7.16 Root CA controls	7.16 ルート認証局の管理
7.16.1 Physical and environmental security	7.16.1 物理的および環境的なセキュリティ
7.16.2 Operations security	7.16.2 運用セキュリティ
7.16.3 Access control	7.16.3 アクセス管理
7.16.4 Root CA key generation	7.16.4 認証機関鍵の生成
7.16.5 Generation of root CA keys script requirements	7.16.5 ルート認証機関鍵の生成 スクリプトの要件
7.16.6 Root CA public key distribution	7.16.6 ルート認証機関公開鍵の配布
7.16.7 Root CA key compromise	7.16.7 認証局鍵の危殆化
7.17 CA certificate life cycle management controls – subordinate CA certificate	7.17 認証機関証明書のライフサイクル管理の管理 - 下位認証機関証明書
Annex A Management by certificate policy	附属書 A 証明書ポリシーによる管理
A.1 Purpose of certificate policies	A.1 証明書ポリシーの目的
A.2 Definition of a certificate policy	A.2 証明書ポリシーの定義
A.3 Establishing policies in certificates	A.3 証明書にポリシーを設定する
A.4 Certificate applicability under a named certificate policy	A.4 指定された証明書ポリシーに基づく証明書の適用性
A.5 Cross-certification, certificate chains, policy mapping and certificate policies	A.5 相互認証、証明書チェーン、ポリシーマッピング、及び証明書ポリシー
A.5.1 Cross-certification	A.5.1 相互認証
A.5.2 Certificate chains	A.5.2 証明書チェーン
A.5.3 Certificate policy mapping	A.5.3 証明書ポリシーのマッピング
A.5.4 Policy constraints	A.5.4 ポリシー制約
A.6 Certificate classes and naming	A.6 証明書クラスと命名
A.7 Certificate policy provisions	A.7 証明書ポリシー規定
A.7.1 General	A.7.1 一般
A.7.2 Interpretation	A.7.2 解釈
A.7.3 Obligations	A.7.3 義務
A.7.4 Enforcement	A.7.4 強制執行
A.7.5 Liability	A.7.5 責任
A.7.6 Operational requirements	A.7.6 運用要件
A.8 Certificate policy management	A.8 認証書ポリシー管理
Annex B CA key generation ceremony	附属書 B CA 鍵生成式
B.1 General	B.1 一般
B.2 Roles and responsibilities	B.2 役割と責任
B.2.1 General	B.2.1 一般
B.2.2 Operating system administrator	B.2.2 オペレーティングシステム管理者
B.2.3 CA application administrator	B.2.3 CA アプリケーション管理者
B.2.4 Cryptographic materials custodian	B.2.4 暗号化資料保管者
B.2.5 Key shareholders	B.2.5 鍵の所有者
B.2.6 Master of ceremonies	B.2.6 式典の司会者
B.2.7 Policy authority	B.2.7 ポリシー権限者
B.2.8 Independent observer	B.2.8 独立オブザーバ
B.3 CA key generation ceremony script	B.3 CA 鍵生成セレモニースクリプト
B.3.1 General	B.3.1 一般
B.3.2 CA key generation ceremony procedures	B.3.2 CA 鍵生成セレモニー手順
Annex C Certification authority audit journal contents and use	附属書 C 認証機関の監査ジャーナルの内容および使用方法
C.1 General	C.1 一般
C.2 Elements to be included in all journal entries	C.2 すべてのジャーナル・エントリに記載されるべき要素
C.3 Certificate application information to be journalized by an RA or CA	C.3 RA あるいは CA によって記録される認証書申請情報
C.4 Events to be journalized	C.4 ジャーナルに記載されるイベント
C.5 Security-sensitive events to be journalized	C.5 ジャーナルに記録されるべきセキュリティ上重要なイベント
C.6 Messages and data to be journalized	C.6 ジャーナルされるメッセージおよびデータ
C.7 Audit journal backup	C.7 監査ジャーナルのバックアップ
C.8 Audit journal use	C.8 監査ジャーナルの使用
Annex D Certificate and PKI roles	附属書 D 証明書および PKI の役割
D.1 Short-term certificate (STC)	D.1 短期証明書(STC)
D.2 Long-term certificate (LTC)	D.2 長期証明書(LTC)
D.3 PKI role overview	D.3 PKI の役割の概要
D.3.1 Policy authority (PA)	D.3.1 ポリシー機関(PA)
D.3.2 Certificate authority (CA)	D.3.2 認証機関 (CA)
D.3.3 Registration authority (RA)	D.3.3 登録機関(RA)
D.3.4 Subject	D.3.4 サブジェクト
D.3.5 Relying party (RP)	D.3.5 依拠当事者(RP)
D.3.6 Subject cryptographic mechanism provider (SCMP)	D.3.6 サブジェクト暗号メカニズムプロバイダ (SCMP)
Annex E Changes to ISO 21188:2018 to produce ISO/IEC 27099	附属書 E ISO/IEC 27099 を生成するための ISO 21188:2018 の変更点
Bibliography	参考文献

 

 

● JIS

・2022.07.16 ISO/IEC 27099:2022 情報技術—公開鍵インフラストラクチャ—実践とポリシーフレームワーク

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」（IT委員会実務指針第9号）とそのQ&A（IT委員会研究報告第55号）の改訂案

 

15年ほど前

・2008.11.11 政府認証基盤(GPKI)が「WebTrust for CA」検証報告書を取得

・2008.07.09 地方公共団体組織認証基盤（LGPKI）が「WebTrust for CA」検証報告書を取得

・2005.11.29 検査機関、監査法人はトラストアンカーか・・・

・2005.01.20 IEが表示する「信頼する会社」とは・・・