英語で読む

次の方法で共有


監査要件 - Microsoft の信頼されたルート証明書プログラム

このページでは、Microsoft の信頼されたルート証明書プログラム ("プログラム") に参加する証明機関 (CA) の要件と、Microsoft が Microsoft の信頼されたルート証明書プログラムの一環で現在サポートしている各拡張キー使用法プロパティ (EKU) を使用するための要件について説明します。

商用 CA および政府 CA の要件と、政府 CA を構成しているもの、および政府 CA の要件がどのように変化しているかについては、定義のセクションを参照してください。

ヒント

このページをブックマークする: https://aka.ms/auditreqs

一般的な要件

Microsoft では、すべての CA が、CA とその公開キー基盤 (PKI) チェーン内の非制限ルートに対する資格認定監査の証拠を年に 1 回提出することを必須としています。 資格監査は、次の 5 つの主要な要件を満たしている必要があります。

  • 監査担当者は有資格者であること。
  • 監査は、適切な範囲で実施すること。
  • 監査は、適切な標準を使用して実施すること。
  • 監査を実行する必要があり、適切な期間内に構成証明書を発行すること。
  • 監査担当者は、適格証明書を完成させて、提出すること。

CA には、適切な期間内に監査結果と監査要件への準拠に関する適格証明書を Microsoft に提出する責任があります。

A. 監査担当者の資格

Microsoft は、証明機関の監査を、(1) WebTrust、(2) ETSI Equivalent National Authority (https://aka.ms/ena で公開)、または (3) 政府 CA の場合は政府機関自身のいずれかによって実施することを認定された独立した個人または会社である場合に、監査担当者を認定監査担当者とみなします。 (政府 CA の詳細については、「政府 CA の要件」を参照してください。)

CA が ウェブトラスト 監査を取得することを選択した場合、Microsoft は CA に対し、監査を実行するために ウェブトラストライセンス監査人を保持するよう要求します。 ウェブとラストによってライセンスされた監査担当者の全リストについては、「https://aka.ms/webtrustauditors」を参照してください。 CA が ETSI ベースの監査を取得する場合、Microsoft では、CA が ウェブトラストに相当する国立機関 (ENA) の認定を受けた機関から監査を受けることを必須としています。 利用できる ENA のカタログは、https://aka.ms/ena の一覧に基づいています。 CA が ETSI と同等の国立機関がない国で運営されている場合、Microsoft は、監査人の母国にある同等の国立機関の認定を受けた監査人が実行する監査を認めます。

B. 監査の範囲

監査の範囲には、すべてのルート、ルート以下にある無制限のサブルートとクロス署名済みの未登録ルート (検証済みドメインに制限されているサブルートを除く) が含まれます。 監査では、完全な PKI 階層も文書化する必要があります。 最終的な監査書は、公開されているアクセス可能な場所に置く必要があります。また、監査期間の開始日と終了日を含める必要があります。 WebTrust 監査の場合、公開されているアクセス可能な場所に WebTrust シールを表示する必要もあります。

C: 期限内準備完了評価

Microsoft では、商用運用を開始する前に監査が必要です。 90 日間以上、証明書の発行者として運用されていない商用 CA の場合、Microsoft は、資格を持つ監査人が実行した期限内準備完了監査を認めます。 CA が特定の時点の準備状況監査を使用している場合、Microsoft は CA が最初の証明書を発行してから 90 日以内にフォローアップ監査を要求します。 新しいルートを適用するために使用するプログラムに既に含まれている商用 CA は、新しいルートの特定の時点および期間の監査要件から除外されています。 代わりに、プログラム内の既存のルートの監査について最新の状態にする必要があります。

D. 評価を受けてから監査人が証明書を発行するまでの期間

Microsoft では、CA が年に 1 回準拠した監査を受ける必要があります。 CA の最新のビジネス慣行を正確に反映した情報を Microsoft が確実に得られるように、監査で作成した証明書は、証明書レターに記載された終了日から 3 か月以内の日付であり、その期間内に Microsoft が受領する必要があります。

E. 会計監査の証明書類

Microsoft では、各監査担当者が完了し、認定証明書を Microsoft に提出することを求めています。 適格な構成証明では、監査者が適格な構成証明書書簡を完成させる必要があります。

Microsoft では、監査文字を自動的に解析して、適格な構成証明書書簡の精度を検証するツールを使用します。 このツールは、共通の証明機関データベース (CCADB) にあります。 監査担当者と協力して、適格証明書レターが次の要件を満たしていることを確認してください。 監査レターがこれらのカテゴリのいずれかで失敗した場合は、監査レターを更新するように要求するメールが CA に送り返されます。

すべての CA

  • 監査レターは英語で記述する必要があります
  • 監査レターは、「テキスト検索可能な」 PDF 形式である必要があります。
  • 監査レターでは、CCADB に記録されている監査レターに監査担当者名が含まれている必要があります。
  • 監査レターは、SHA1 ハンコまたは監査ルートの SHA256 をハンコ一覧表示する必要があります。
  • 監査レターは、監査レターが書き込まれた日付を一覧表示する必要があります。
  • 監査レターは、監査された期間の開始日と終了日を示す必要があります。 この期間は監査担当者が現場にいた期間ではないことに注意してください。
  • 監査レターには、CCADB に記録された CA のフルネームが含まれている必要があります。
  • 監査レターには、監査中に使用された監査標準を一覧表示する必要があります。 WebTrust/ETSI ガイドラインまたは https://aka.ms/auditreqs を参照して、参照されている監査基準のフル ネームとバージョンを一覧表示してください。

CA が ウェブトラスト 監査を提出刷る

認定ウェブトラスト監査担当者によって実施される監査では、監査レターを https://cert.webtrust.orgにアップロードする必要があります。

CA が ウェブトラストに相当する国立機関の監査を提出する

  • 認定 ETSI 監査担当者によって実施される監査には、監査レターが監査担当者の Web サイトにアップロードされている必要があります。 監査担当者が Web サイトに投稿しない場合、CA は監査レターの送信時に監査担当者の名前と電子メールを提供する必要があります。 Microsoft の担当者が監査担当者に連絡して、レターの信頼性を確認します。
  • CA は、EN 319 411-2 または411-2 ポリシーを使用して監査を提出する場合があります。

F. 監査の提出

年次監査を提出するには、「https://ccadb.org/cas/updates」で説明されている監査事例を作成する方法に関する CCADB の指示を参照してください。

CA がルート ストアに適用されていて、CCADB に存在しない場合は、監査証明書を msroot@microsoft.com に電子メールで提出する必要があります。

従来の CA 監査基準

このプログラムは、ウェブトラスト と これに相当する国立機関 という 2 種類の監査基準を受け入れます。 左側の EKU ごとに、Microsoft では、マークされた標準に準拠した監査が必要です。

注意

2024 年 2 月の時点で、CA プロバイダーは、S/MIME が有効なルート CA と、S/MIME 証明書を発行できるすべての下位 CA が、最新バージョン (少なくとも以下の基準一式のいずれか) に対して監査されており、今後も監査されることを確認する必要があります。

  • WebTrust Principles and Criteria for Certification Authorities – S/MIME
  • ETSI EN 119 411-6 LCP、NCP、または NCP+

A. ウェブトラスト 監査

Microsoft では、証明機関に対して ウェブトラストの サービスの原則と条件を要求します。2018 年 1 月 1 日以降の期間におけるすべての監査明細書のコード署名です。 これは、コード署名 EKU がルートに対して有効になっているすべての CA に必要です。 ルートでコード署名 EKU が有効になっていても、コード署名証明書をアクティブに発行していない CA は、msroot@microsoft.com に連絡して、EKU ステータスを 「NotBefore」に設定することができます。

基準 CA バージョン 2.1 の ウェブトラスト ネットワークセキュリティ v2.3 を使用した SSL ベースライン 拡張検証SSL v1.6.2 拡張検証 コード署名 v1.4.1 公的に信頼されているコード署名証明書 v1.0.1 WebTrust Principles and Criteria for Certification Authorities – S/MIME
サーバー認証 (非 EV) x x
サーバー認証およびクライアント認証 x x
サーバー認証 (非 EV) x X x
サーバー認証およびクライアント認証のみ x X x
iOS コード署名 x x
コード署名とタイム スタンプの使用 x x
暗号メール (S/MIME) x x
クライアント認証 (サーバー認証なし) x
ドキュメントの署名 x

B. ウェブトラストに相当する国立機関ベースの監査

注 1: CA が ETSI ベースの監査を使用している場合は、毎年完全な監査を実行する必要があり、Microsoft はサーベイランス監査を受け入れません。 注 2: ETSI 監査のすべてのステートメントは、CA/ブラウザー フォーラムの要件に対して監査する必要があり、これらの要件への準拠は、監査レターに記載されている必要があります。 ACAB'c (https://acab-c.com) には、Microsoft の要件を満たすガイダンスが用意されています。

基準 EN 319 411-1: DVCP、OVCP または PTC-BR ポリシー EN 319 411-1: EVCP ポリシー EN 319 411-2: QCP-w/QEVCP-w ポリシー (EN 319 411-1、EVCP に基づく) EN 319 411-1: LCP、NCP、NCP+ ポリシー EN 319 411-2: QCP-n、QCP-n-qscd、QCP-l, QCP-l-qscd ポリシー (EN 319 411-1、NCP/NCP+ に基づく) ETSI TS 119 411-6 によって修正された ETSI EN 319 411-1、LCP、NCP、または NCP+ ポリシー、または ETSI TS 411-6 によって修正された ETSI EN 319 411-2、QCP-n、QCP-I、QCP-n-qscd、または QCP-I-qscd ポリシー
サーバー認証 (非 EV) x
サーバー認証およびクライアント認証 x
サーバー認証 (非 EV) x
サーバー認証およびクライアント認証のみ x x
iOS コード署名 x x
コード署名とタイム スタンプの使用 x x
暗号メール (S/MIME) x X x
クライアント認証 (サーバー認証なし) x x
ドキュメントの署名 x x

Government CA の要件

政府 CA は、商用 CA に必要な上記の WebTrust または ETSI ベースの監査を受けるか、同等の監査を利用するかを選択できます。 政府機関 CA が ウェブトラストまたは これに相当する国立機関の監査を取得することを選択した場合、Microsoft は政府機関 CA を商用 CA として扱います。 政府 CA は、発行された証明書を制限することなく動作できます。

A. 同等の監査に関する制限事項

政府 CA が ウェブトラスト または これに相当する国立機関の監査を使用しないことを選択した場合、同等の監査を受ける可能性があります。 同等の監査 ("EA") の場合、政府 CA は監査を実行する第三者を選択します。 監査には 2 つの目的があります。(1) 政府 CA が証明機関の操業に関連する現地の法律と規制に準拠していると示すこと、および (2) 監査が関連する ウェブトラストおよび これに相当する国家機関の基準に実質的に準拠していると示すことです。

政府 CA が EA を受ける場合、Microsoft は、政府 CA が発行できる証明書の範囲を制限します。 サーバー認証証明書を発行する 政府 CA では、ルートは政府が管理している領域に制限される必要があります。 政府は、他の証明書の発行を、その国が主権を持つ国コードISO3166に制限する必要があります。

また、政府機関 CA は、ルートの問題である証明書の種類に基づいて、CA の適切な CAB フォーラムベースライン要件を受け入れて採用する必要があります。 ただし、そのプログラム要件および監査要件と、それらの要件との間に何らかの矛盾がある場合、Microsoft の要件が常に優先されます。

プログラムに参加するすべての政府 CA は、上記の EA の要件に従う必要があります。 2015 年 6 月 1 日より前にプログラムに参加していたすべての政府 CA は、現在の監査の有効期限が切れるとすぐに上記の EA の要件に従う必要があります。

B. 同等の監査レポートの内容

Microsoft では、EA を提出するすべての Government CA に対し、監査人から次の構成証明レターを提供するよう求めます。

  • 監査を実行する政府 CA の政府の認定を受けた、独立した機関から監査が発行されていることを証明している。
  • 監査担当者の認定に関する政府 CA の政府の基準の一覧を表示し、監査担当者がその基準を見たいしていることをに合格していることを証明している。
  • 監査担当者が政府 CA の運用を評価するときに使用した具体的な法規、規則、または規制の一覧が記載されている。
  • 政府 CA が、指定された統制法、規則、または規制に記載されている要件に準拠していることを証明している。
  • 法規の要件が、WebTrust または ETSI の適切な監査と同等であることを説明する情報が記載されている。
  • 証明書チェーン内で政府 CA の代理で証明書を発行できることを、政府 CA が承認した証明機関とサードパーティの一覧が記載されている。
  • すべての PKI 階層が文書化されている。
  • 監査期間の開始日と終了日を提供します。

定義

政府 CA

「政府 CA」は、政府機関プログラム契約に署名するエンティティです。

商用 CA

「商用 CA」は、商用プログラム契約に署名するエンティティです。

証明機関

「証明機関」または「CA」とは、現地の法律および規制に従ってデジタル証明書を発行する機関です。

現地の法律および規制

現地の法律と規制 とは、CA がデジタル証明書を発行する認定を受けるときに CA に適用される法律および規制であり、証明書の発行、保守、または失効に適用されるポリシー、規則、および基準 (監査の頻度、手順など) が設定されています。