次の方法で共有

セキュリティ インシデント対応要件 - Microsoft の信頼されたルート プログラム

定義

  1. 「侵害」とは、認証機関、サブ認証機関、またはクロスシグネチャの非登録ルートに影響を与え、ハードウェア、ソフトウェア、または物理的なアクセスの問題を含む、PKIのセキュリティステータスの実際のまたは潜在的な低下を引き起こす直接的または間接的なイベントを指します。

  2. 「セキュリティインシデント」または「インシデント」とは、CAまたはサブCAで発生する以下のいずれかを意味します。

    1. 秘密鍵の侵害。
    2. 誤って発行された証明書。
    3. 既知または合理的に知り得る、公に報告された侵害。
    4. CA インフラストラクチャの物理的な侵害 (物理的なアクセス制御の失敗、建物のセキュリティ侵害、データ センター内の HVAC の失敗など)。
    5. Microsoft が CA の整合性または信頼性に疑問を投げ掛けるものとして特定するその他の問題。

  3. 「特別な状況」とは、多数のMicrosoft顧客のセキュリティ状況に影響を与えるためにPKIが侵害されたとMicrosoftが判断した事象を指します。

インシデントが発生した場合の CA の責任

すべての CA は、インシデント管理のために、少なくとも 1 つの週 24/7 時間監視された連絡先または別名を持つ必要があります。

セキュリティインシデントが発生した場合、CAは以下を行う必要があります:

  1. 以下の質問を完了し、完了した回答を送信することにより、できるだけ早く、ただしセキュリティインシデントが検出されてから24時間以内にMicrosoftに通知しますmsroot@microsoft.com。 フォームには、次の情報が必要です (その時点でわかっている場合)。

    • 誰が事件を察知したのか。
    • 可能であれば、誰が事件を起こしたのか。
    • CAが事件を発見したとき。
    • 事件が起こった場所。
    • インシデントの影響を受けたルート、サブ CA、エンドユーザー証明書の数。
    • CAが事件の根本原因と信じているもの。
    • CAがインシデントの根本原因に対処すると信じている、CAが取ったまたは取る予定の是正措置は何ですか。
    • CA が適切であると考えているその他の情報。
    • 最初の通知に応答したときにMicrosoftが要求したその他の情報。
    • エンドユーザーのセキュリティを強化したり、痛みを和らげるためにCAがMicrosoftに要求する情報やアクション。

  2. Microsoft の要請により、CAはインシデントの結果として誤って発行されたすべての証明書のリストを提供する必要があります。

  3. Microsoft の依頼により、CA は、Microsoft が指定した間隔で Microsoft に定期的なレポートを提供する必要があります。 Microsoft が特定の依頼をしない場合、CA は、インシデントが修復されるまで 24 時間ごとに最新情報を Microsoft に提供する必要があります。

  4. インシデントが解決された場合、CA は次のものを含む最終的なセキュリティ インシデント レポートを Microsoft に提供する必要があります。

    • 侵害に関与した証明書とドメインのリスト。
    • CAは事件をどのように検出しましたか? CAが侵害を検出しなかった場合、誰が検出し、なぜCAが検出しなかったのですか?
    • 時間の経過とともにレポートに不一致があった場合、なぜですか?
    • エクスプロイトの詳細な説明。
    • どのインフラストラクチャが侵害されたかに関する詳細。
    • どのようにインフラストラクチャが侵害されたかに関する詳細。
    • イベントの詳細なタイムライン。
    • 違反を犯した人物のCAの解釈。
    • CA の通常の運用によってその脆弱性は検出されたか? そうでなかった場合は、その理由を説明してください。
    • 直近の監査でその脆弱性は発見されたか? そうである場合で、脆弱性が修復されたかどうかの情報を提供してください。 脆弱性が修復されなかった場合は、その理由に関する情報を提供してください。
    • この脆弱性は最新の監査で検出されましたか? そうでなかった場合は、その理由を説明してください。
    • 最新の監査で脆弱性が検出された場合、修正されましたか? そうでない場合は、その理由を説明してください。
    • CAはCP/CPSポリシーにどのような変更を加えますか?
    • イシューがどのように閉じられたかについての詳細な説明。

  5. セキュリティ侵害に関する完全な調査と技術レポート (Microsoft によって依頼された場合)。

インシデントが発生した場合の Microsoft の権利

セキュリティインシデントが発生した場合、マイクロソフトは独自の判断により、以下のいずれかを行うことがあります。

  1. 例外的な状況では、CA または任意のサブ CA がプログラムに登録した証明書を直ちに削除または禁止 (あるいはその両方を実行) します。それ以外の場合、CA に対して 7 日前に通知した後、任意の証明書を削除または禁止 (あるいはその両方を実行) できます。
  2. Microsoft は、感染した証明書によって署名されたファイルをマルウェアとしてマークしたり、感染したサーバー認証証明書を使用するサイトへのWebナビゲーションをブロックしたりするなどの対策を講じる場合がありますが、これらに限定されません。
  3. Microsoft が決定する一定の間隔で CA に特定のレポートを作成するように依頼してください。
  4. CA が Microsoft に最終的なセキュリティ インシデント レポートを送信する期限を指定します。
  5. 影響を受けるサードパーティと連絡を取ります。
  6. セキュリティインシデントを調査し、最終的なセキュリティインシデント報告書を作成するために、CAの費用で第三者の調査員を雇用するようCAに要求してください。
  7. 任意の資格認定監査を不適格とし、CA 単独の負担で新しい資格認定監査を実行するように CA に求めます。

セキュリティ インシデントが発生した場合の Microsoft の責任

Microsoft が上記のいずれかの権利を行使した場合、Microsoft は次のことを行います。

  1. 例外的な状況を除き、Microsoft はアクションを実行する 7 日前に、その意図を書面で CA に通知します。この場合、Microsoft はアクションを実行する前に CA と連絡を取るために適切な努力をします。そして

  2. CA が一連の代替アクションを提案することを受け入れます。この場合、Microsoft は妥当な代替案を検討しますが、提案された一連のアクションが顧客にとって最善ではないと考えられる場合は、そのような提案を拒否する権利を留保します。