設備、運営、運用統制 - 国立情報学研究所オープンドメイン認証局証明書ポリシ第 2.80 版平成 31 年 3 月 15 日

5.1 建物及び物理的管理

5.1.1 施設の所在と建物構造

本項については、CPSに規定する。

5.1.2 物理的アクセス

本項については、CPSに規定する。

5.1.3 電源及び空調設備

本項については、CPSに規定する。

5.1.4 水害

本項については、CPSに規定する。

5.1.5 火災防止及び保護対策

本項については、CPSに規定する。

5.1.6 媒体保管場所

本項については、CPSに規定する。

5.1.7 廃棄物の処理

本項については、CPSに規定する。

5.1.8 オフサイトバックアップ本項については、CPSに規定する。

5.2 手続き的管理

5.2.1 信頼される役割

本項については、CPSに規定される役割以外に下記の役割を定める。

（1） RA責任者

RA責任者は、RA管理者を任命することができる。

（2） RA管理者

RA管理者は、事前の作業として、以下のことを行うことができる。

・サービス利用機関の実在性の確認

・サービス利用機関で取り扱うドメインの実在性の確認

・確認実施手順の審査

・登録担当者の本人性の確認

（3）証明書自動発行支援システム

証明書自動発行支援システムは、申請の都度の作業として、以下のことを行うことができる。

・登録担当者の本人性の確認

・証明書の申請に関する情報の審査

・証明書の発行・更新・失効操作

（4）登録担当者

登録担当者は、申請の都度の作業として、以下のことを行うことができる。

・証明書の発行申請

・証明書の更新申請

・証明書の失効申請

5.2.2 職務ごとに必要とされる人数

本項については、CPSに規定される以外に下記のとおりとする。

（1） RA責任者

RA責任者は、1名とする。

（2） RA管理者

RA管理者は、複数名とする。

（3）証明書自動発行支援システム

証明書自動発行支援システムは、1系統とする。

5.2.3 個々の役割に対する識別と認証

本CAは、本CAのシステムへのアクセスに関し、クライアント認証によって、アクセス権限者の識別と認証及び認可された権限の操作であることを確認する。

クライアント認証に用いるクライアント証明書は、NIIが別に定めるCAから発行する。

5.2.4 職務の分割を必要とする役割本項については、CPSに規定する。

また、RA管理者の任命はRA責任者のみを可能とする。

RA責任者とRA管理者は職務を兼務することを可能とする。

5.3 要員管理

5.3.1 資格、経験及び身分証明の要件本項については、CPSに準ずる。

5.3.2 経歴の調査手続

本項については、CPSに準ずる。

5.3.3 研修要件

本項については、CPSに準ずる。

5.3.4 再研修の頻度及び要件本項については、CPSに準ずる。

5.3.5 職務のローテーションの頻度及び要件本項については、CPSに準ずる。

5.3.6 認められていない行動に対する制裁本項については、CPSに準ずる。

5.3.7 独立した契約者の要件本項については、CPSに準ずる。

5.3.8 要員へ提供する資料

本項については、CPSに準ずる。

5.4 監査ログ記録手順

5.4.1 記録される事項

本項については、CPSに準ずる。

5.4.2 監査ログを処理する頻度本項については、CPSに準ずる。

5.4.3 監査ログを保存する期間本項については、CPSに準ずる。

5.4.4 監査ログの保護

本項については、CPSに準ずる。

5.4.5 監査ログのバックアップ手続本項については、CPSに準ずる。

5.4.6 監査ログの収集システム（内部又は外部）

本項については、CPSに準ずる。

5.4.7 イベントを起こしたサブジェクトへの通知本項については、CPSに準ずる。

5.4.8 脆弱性評価

本項については、CPSに準ずる。

5.5 記録のアーカイブ化

5.5.1 アーカイブ記録の種類本項については、CPSに準ずる。

5.5.2 アーカイブを保存する期間本項については、CPSに準ずる。

5.5.3 アーカイブの保護

本項については、CPSに準ずる。

5.5.4 アーカイブのバックアップ手続本項については、CPSに準ずる。

5.5.5 記録にタイムスタンプをつける要件本項については、CPSに準ずる。

5.5.6 アーカイブ収集システム（内部又は外部）

本項については、CPSに準ずる。

5.5.7 アーカイブ情報を入手し検証する手続き本項については、CPSに準ずる。

5.6 鍵の切り替え

本CAの秘密鍵は、秘密鍵に対応する証明書の有効期間が本CAから発行する証明書の最大有効期間よりも短くなる前に新たな秘密鍵の生成及び証明書の発行を行う。新しい秘密鍵が生成された後は、新しい秘密鍵を使って証明書及びCRLの発行を行う。

5.7 危殆化及び災害復旧

本CAは、本CAの秘密鍵が危殆化した場合又は事故・災害等により本CAの運用の停止を伴う事象が発生した場合は、速やかに業務復旧に向けた対応を行うとともに、サービス利用機関、登録担当者、利用管理者、利用者及びその他関係者に対し、必要情報を連絡する。

5.7.1 事故及び危殆化の取り扱い手続き上記に含む。

5.7.2 コンピュータの資源、ソフトウェア、データが破損した場合の対処上記に含む。

5.7.3 CA秘密鍵が危殆化した場合の対処

上記に含む。

5.7.4 災害等発生後の事業継続性上記に含む。

5.8 CA又はRAの廃業

本CA又はRAを終了する場合、終了する30日前にサービス利用機関、登録担当者、利用管理者、利用者及びその他関係者に対して終了の事実を通知又は公表し、所定の終了手続を行う。ただし、緊急等やむをえない場合、この期間を短縮できるものとする。

ドキュメント内国立情報学研究所オープンドメイン認証局証明書ポリシ第 2.80 版平成 31 年 3 月 15 日 (ページ 40-46)