監査要件 - Microsoft の信頼されたルート証明書プログラム
このページでは、Microsoft の信頼されたルート証明書プログラムに参加する証明機関 (CA) の要件と、Microsoft が Microsoft 信頼されたルート証明書プログラム (プログラム) の一環で現在サポートしている各 EKU を利用する要件を設定します。
以下に、商用 CA と Government CA の両方に対しする要求と、Government CA を構成する内容に関する情報を示します。 (以下の「定義」を参照してください)。 さらに、政府 CA に対する要求がどのように変化しているかに関する情報が確認できます。
Note
このページをブックマークする: https://aka.ms/auditreqs
一般的な要件
Microsoft では、すべての CA が、CA とその PKI チェーン内の制限されていないルートに対して、毎年、適格な監査の証拠を提出することを要求しています。 資格監査は、次の 5 つの主要な要件を満たしている必要があります。
- 監査担当者は有資格者であること。
- 監査は、適切な範囲で実施すること。
- 監査は、適切な標準を用いて実施すること。
- 監査を実行する必要があり、適切な期間内に認証書類を発行すること。
- 監査担当者は、適格な資格証明書を完了し提出すること。
CA には、いち早く監査結果としている資格証明書と監査要件への準拠を Microsoft に提出する責任があります。
A. 監査担当者の資格
マイクロソフトは、証明機関の監査を、(1) ウェブトラスト、(2) これに相当する国家機関 (https://aka.ms/ena で公開)、または (3) 政府機関 CA の場合は政府機関自身のいずれかによって実施することを認定された独立した個人または会社である場合に、監査担当者を認定監査担当者とみなします。 (政府 CA の詳細については、後述の「政府 CA の要件」を参照してください)。
CA が ウェブトラスト 監査を取得することを選択した場合、Microsoft は CA に対し、監査を実行するために ウェブトラストライセンス監査人を保持するよう要求します。 ウェブとラストによってライセンスされた監査担当者の全リストについては、「https://aka.ms/webtrustauditors」を参照してください。 CA が ETSI ベースの監査を取得する場合、Microsoft では、CA が ウェブトラストに相当する国立機関 (ENA) の認定を受けた機関から監査を受けることを必須としています。 利用できる ENA のカタログは、https://aka.ms/ena の一覧に基づいています。 CA が ウェブトラストに相当する国立機関 がない国で操業されている場合、Microsoft は、監査人の母国にある同等の国立機関の認定を受けた監査人が実行する監査を認めます。
B. 監査の範囲
監査のスコープには、検証済みの 領域に制限されているサブルートを除き、ルートの下にすべてのルート、制限されていないサブルート、およびクロス署名された非登録ルートが含まれている必要があります。 監査では、完全な PKI 階層も文書化する必要があります。 最終的な監査ステートメントは、パブリックにアクセスできる場所にあり、監査期間の開始日と終了日を含める必要があります。 ウェブトラスト 監査の場合、ウェブラスト シールもパブリックにアクセス可能な場所にある必要があります。
C: 期限内準備完了評価
Microsoft では、商用運用を開始する前に監査が必要です。 証明書の発行者として 90 日以上運用されていない商用 CA の場合、Microsoft は、有資格監査者によって実施された特定の時点の準備監査を受け入れます。 CA が特定の時点の準備状況監査を使用している場合、Microsoft は CA が最初の証明書を発行してから 90 日以内にフォローアップ監査を要求します。 新しいルートを適用するために使用するプログラムに既に含まれている商用 CA は、新しいルートの特定の時点および期間の監査要件から除外されています。 代わりに、プログラム内の既存のルートの監査について最新の状態にする必要があります。
D. 評価を受けてから監査人が証明書を発行するまでの期間
Microsoft では、CA が年に 1 回準拠した監査を受ける必要があります。 CA の現在のビジネス プラクティスを正確に反映する情報を Microsoft が持っていることを確認するには、監査から生じる認証レターの日付を、認証レターで指定された終了日から 3 か月以内に Microsoft が受け取る必要があります。
E. 会計監査の証明書類
Microsoft では、各監査担当者が完了し、認定証明書を Microsoft に提出することを求めています。 適格な構成証明では、監査者が適格な構成証明書書簡を完成させる必要があります。
Microsoft では、監査文字を自動的に解析して、適格な構成証明書書簡の精度を検証するツールを使用します。 このツールは、共通の証明機関データベース (CCADB) にあります。 監査担当者と協力して、適格な構成証明書書簡が次の要件を満たしていることを確認してください。 これらのカテゴリのいずれでも監査書書簡が失敗した場合は、監査レターを修正するように要求するメッセージが CA に送り返されます。
すべての CA
- 監査レターは英語で記述する必要があります
- 監査レターは、「テキスト検索可能な」 PDF 形式である必要があります。
- 監査レターでは、CCADB に記録されている監査レターに監査担当者名が含まれている必要があります。
- 監査レターは、SHA1 ハンコまたは監査ルートの SHA256 をハンコ一覧表示する必要があります。
- 監査レターは、監査レターが書き込まれた日付を一覧表示する必要があります。
- 監査レターは、監査された期間の開始日と終了日を示す必要があります。 これは監査担当者が現場にいた期間ではないことに注意してください。
- 監査レターには、CCADB に記録された CA のフルネームが含まれている必要があります。
- 監査レターには、監査中に使用された監査標準を一覧表示する必要があります。 WebTrust/ETSI ガイドラインまたは https://aka.ms/auditreqsを参照して、参照されている監査基準のフル ネームとバージョンを一覧表示してください。
CA が ウェブトラスト 監査を提出刷る
- 認定ウェブトラスト監査担当者によって実施される監査では、監査レターを https://cert.webtrust.orgにアップロードする必要があります。
CA が ウェブトラストに相当する国立機関の監査を提出する
- 認定 ETSI 監査担当者によって実施される監査には、監査レターが監査担当者の Web サイトにアップロードされている必要があります。 監査担当者が Web サイトに投稿しない場合、CA は監査レターの送信時に監査者の名前と電子メールを提供する必要があります。 Microsoft の担当者が監査担当者に連絡して、レターの信頼性を確認します。
- CA は、EN 319 411-2 または411-2 ポリシーを使用して監査を提出する場合があります。
F. 監査の提出
年次監査を提出するには、「https://ccadb.org/cas/updates」で説明されている監査事例を作成する方法に関する CCADB の指示を参照してください。
CA がルート ストアに適用されていて、CCADB に存在しない場合は、監査証明書を msrootmsroot@microsoft.commicrosoft.com に電子メールで提出する必要があります。
従来の CA 監査基準
このプログラムは、ウェブトラスト と これに相当する国立機関 という 2 種類の監査基準を受け入れます。 左側の EKU ごとに、Microsoft では、マークされた標準に準拠した監査が必要です。
注意: 2024 年 2 月の時点で、CA プロバイダーは、S/MIME が有効なルート CA と、S/MIME 証明書を発行できるすべての下位 CA が最新バージョン (少なくとも以下の基準一式のいずれか) に対して監査を継続していることを確認する必要があります。
- WebTrust Principles and Criteria for Certification Authorities – S/MIME
- ETSI EN 119 411-6 LCP、NCP、または NCP+
A. ウェブトラスト 監査
Microsoft では、証明機関に対して ウェブトラストの サービスの原則と条件を要求します。2018 年 1 月 1 日以降の期間におけるすべての監査明細書のコード署名です。 これは、コード署名 EKU がルートに対して有効になっているすべての CA に必要です。 ルートでコード署名 EKU が有効になっていても、コード署名証明書をアクティブに発行していない CA は、msrootmsroot@microsoft.commicrosoft.com に連絡して、 EKU ステータスを 「NotBefore」に設定することができます。
| 基準 | CA バージョン 2.1 の ウェブトラスト | ネットワークセキュリティ v2.3 を使用した SSL ベースライン | 拡張検証SSL v1.6.2 | 拡張検証 コード署名 v1.4.1 | 公的に信頼されているコード署名証明書 v1.0.1 | WebTrust Principles and Criteria for Certification Authorities – S/MIME |
|---|---|---|---|---|---|---|
| サーバー認証 (非 EV) | x | x | ||||
| サーバー認証およびクライアント認証 | x | x | ||||
| サーバー認証 (非 EV) | x | X | x | |||
| サーバー認証およびクライアント認証のみ | x | X | x | |||
| iOS コード署名 | x | x | ||||
| コード署名とタイム スタンプの使用 | x | x | ||||
| 暗号メール (S/MIME) | x | x | ||||
| クライアント認証 (サーバー認証なし) | x | |||||
| ドキュメントの署名 | x |
B. ウェブトラストに相当する国立機関ベースの監査
注 1: CA が ETSI ベースの監査を使用している場合は、毎年 完全 な監査を実行する必要があり、Microsoft は監視監査を受け入れません。 注 2: ETSI 監査のすべてのステートメントは、CA/ブラウザー フォーラムの要件に対して監査する必要があり、これらの要件への準拠は、監査レターに記載されている必要があります。 ACAB'c [https://acab-c.com] には、Microsoft の要件を満たすガイダンスが用意されています。
| 基準 | EN 319 411-1: DVCP、OVCP または PTC-BR ポリシー | EN 319 411-1: EVCP ポリシー | EN 319 411-2: QCP-w ポリシー (EN 319 411-1、EVCP に基づく) | EN 319 411-1: LCP、NCP、NCP+ ポリシー | EN 319 411-2: QCP-n、QCP-n-qscd、QCP-l, QCP-l-qscd ポリシー (EN 319 411-1、NCP/NCP+ に基づく) | EN 119 411-6: LCP、NCP、または NCP+ |
|---|---|---|---|---|---|---|
| サーバー認証 (非 EV) | x | |||||
| サーバー認証およびクライアント認証 | x | |||||
| サーバー認証 (非 EV) | x | |||||
| サーバー認証およびクライアント認証のみ | x | x | ||||
| iOS コード署名 | x | x | ||||
| コード署名とタイム スタンプの使用 | x | x | ||||
| 暗号メール (S/MIME) | x | X | x | |||
| クライアント認証 (サーバー認証なし) | x | x | ||||
| ドキュメントの署名 | x | x |
Government CA の要件
政府 CA は、商用 CA の必要な上記の ウェブトラスト または これに相当する国立機関の監査を受けるか、同等の監査を利用するかを選択できるようになります。 政府機関 CA が ウェブトラストまたは これに相当する国立機関の監査を取得することを選択した場合、Microsoft は政府機関 CA を商用 CA として扱います。 政府 CA は、発行された証明書を制限することなく動作できます。
A. 同等の監査に関する制限事項
政府 CA が ウェブトラスト または これに相当する国立機関の監査を使用しないことを選択した場合、同等の監査を受ける可能性があります。 同等の監査 (EA) の場合、政府 CA は監査を実行する第三者を選択します。 監査には 2 つの目的があります。(1) 政府 CA が証明機関の操業に関連する現地の法律と規制に準拠していると示すこと、および (2) 監査が関連する ウェブトラストおよび これに相当する国家機関の基準に実質的に準拠していると示すことです。
政府CA が EA を取得することを選択した場合、Microsoft は 政府 CA が発行する可能性がある証明書のスコープを制限します。 サーバー認証証明書を発行する 政府 CA では、ルートは政府が管理している領域に制限される必要があります。 政府は、他の証明書の発行を、その国が主権を持つ国コードISO3166に制限する必要があります。
また、政府機関 CA は、ルートの問題である証明書の種類に基づいて、CA の適切な CAB フォーラムベースライン要件を受け入れて採用する必要があります。 ただし、そのプログラム要件および監査要件と、それらの要件との間に何らかの矛盾がある場合、Microsoft の要件が常に優先されます。
プログラムに参加するすべての政府 CA は、上記の EA の要件に従う必要があります。 2015 年 6 月 1 日より前にプログラムに含まれるすべての政府機関 CA は、現在の監査が期限切れになると直ちに上記の EA 要件の対象となります。
B. 同等の監査レポートの内容
Microsoft では、EA を提出するすべての Government CA に対し、監査人から次の構成証明レターを提供するよう求めます。
- 監査を実行する政府 CA の政府の認定を受けた、独立した機関から発行されたことを証明している
- 監査人の認定に関する政府 CA の政府の基準と、監査人がその基準に合格していることを示す証明の一覧が記載されている
- 監査人が政府 CA の操業を評価するときに使用した具体的な法規、規則、または規制の一覧が記載されている
- 政府 CA が、指定された統制法、規則、または規制に記載されている要件に準拠していることを証明している
- 法規の要件が、WebTrust または ETSI の適切な監査と同等であることを説明する情報が記載されている
- 証明書チェーン内で政府 CA の代理で証明書を発行できることを、政府 CA が承認した証明機関とサードパーティの一覧が記載されている
- 完全な PKI 階層を文書化します。そして
- 監査期間の開始日と終了日を提供します。
定義
政府 CA
「政府 CA」は、政府機関プログラム契約に署名するエンティティです。
商用 CA
「商用 CA」は、商用プログラム契約に署名するエンティティです。
証明機関
「証明機関」または「CA」とは、現地の法律および規制に従ってデジタル証明書を発行する機関です。
現地の法律および規制
現地の法律と規制 とは、CA がデジタル証明書を発行する認定を受けるときに CA に適用される法律および規制であり、証明書の発行、保守、または失効に適用されるポリシー、規則、および基準 (監査の頻度、手順など) が設定されています。