セキュリティ インシデント対応の要件 - Microsoft の信頼されたルート プログラム

定義

  1. "侵害" とは、CA、サブ CA、または相互署名された非登録ルートのいずれかに影響を与える直接的または間接的なインシデントを意味します。これにより、ハードウェア、ソフトウェア、物理的なアクセスの問題を含む PKI のセキュリティ統計が実際または潜在的に低下します。

  2. "セキュリティ インシデント" または "インシデント" とは、CA またはサブ CA で発生する次のいずれかを意味します。

    1. 秘密キーの侵害。
    2. 誤って発行された証明書。
    3. 既知または合理的に知られている、パブリックに報告された侵害。
    4. CA インフラストラクチャの物理的な侵害 (物理的なアクセス制御の失敗、建物の侵害、データ センターでの HVAC の障害など)。
    5. Microsoft が CA の信頼性または信頼性に疑問を呈するものとして特定したその他の問題。

  3. "例外的な状況" とは、Microsoft が PKI が侵害され、多数の Microsoft のお客様のセキュリティ体制に影響を与えていると Microsoft が判断するインシデントを意味します。

インシデントが発生した場合の CA の責任

すべての CA には、インシデント管理用の 24 時間 365 日監視対象の連絡先またはエイリアスが少なくとも 1 つ必要です。

セキュリティ インシデントが発生した場合、CA は次の手順を実行する必要があります。

  1. 以下の質問を完了し、完了した応答を msroot@microsoft.comに送信して、セキュリティ インシデント検出の時点から 24 時間以内に、実用的な状態になったらすぐに Microsoft に通知します。 フォームには、次の情報が必要です (その時点でわかっていれば)。

    • インシデントを検出したユーザー。
    • 使用可能な場合は、だれがインシデントを実行したか。
    • CA がインシデントを検出したとき。
    • インシデントが発生した場所。
    • インシデントの影響を受けたルート、サブ CA、およびエンド ユーザー証明書の数。
    • CA がインシデントの根本的な原因であると考えているもの。
    • CA が実行した修復措置、または CA がインシデントの根本的な原因に対処すると CA が考えている対策。
    • CA が適切であると判断するその他の情報。
    • Microsoft が最初の通知に応答したときに要求したその他の情報。
    • セキュリティを強化したり、エンドユーザーの負担を軽減したりするために、CA が Microsoft に要求する情報またはアクション。

  2. Microsoft の要求に応じて、CA は、インシデントの結果として誤って発行されたすべての証明書の一覧を提供する必要があります。

  3. Microsoft の要求に応じて、CA は Microsoft によって指定された間隔で定期的なレポートを Microsoft に提供する必要があります。 Microsoft が特定の要求を行わない場合、CA は、インシデントが修復されるまで 24 時間ごとに Microsoft に更新プログラムを提供する必要があります。

  4. インシデントが解決されたら、CA は、次を含む最終的なセキュリティ インシデント レポートを Microsoft に提供する必要があります。

    • 侵害に関連する証明書とドメインの一覧。
    • CA はどのようにしてインシデントを検出しましたか? CA が侵害を検出しなかった場合、誰が、なぜ CA を検出しなかったのですか?
    • 時間の経過と同時にレポートに不一致があった場合、なぜでしょうか。
    • 悪用の詳細な説明。
    • 侵害されたインフラストラクチャの詳細。
    • インフラストラクチャが侵害された方法に関する詳細。
    • イベントの詳細なタイムライン。
    • 誰が違反を犯したかの CA の解釈。
    • CA の通常の操作によってこの脆弱性が検出されましたか? そうでない場合は、理由を説明してください。
    • この脆弱性は最新の監査で検出されましたか? "はい" の場合は、脆弱性が修復された場合に情報を提供します。 脆弱性が修復されなかった場合は、その理由に関する情報を提供してください。
    • この脆弱性は最新の監査によって検出されましたか? そうでない場合は、理由を説明してください。
    • 最新の監査で脆弱性が検出された場合、修復されましたか? そうでない場合は、理由を説明してください。
    • CA が CP/CPS ポリシーにどのような変更を加えますか?
    • 問題がクローズされた方法の詳細な説明。

  5. Microsoft から要求された場合は、侵害の完全な調査と技術的なレポート。

インシデントが発生した場合の Microsoft の権利

セキュリティ インシデントが発生した場合、Microsoft は独自の裁量で、次のいずれかの操作を行うことができます。

  1. 例外的な状況では、CA またはサブ CA がプログラムに登録した証明書を直ちに削除または禁止します。それ以外の場合は、CA に 7 日間の通知を提供した後、証明書を削除または禁止することができます。
  2. Microsoft は、侵害された証明書によって署名されたファイルをマルウェアとしてマークする、侵害されたサーバー認証証明書で提供されるサイトへの Web ナビゲーションをブロックするなど、アクションを実行する場合があります (これに限定されません)。
  3. MICROSOFT によって決定されるように、CA が定期的に特定のレポートを作成するように要求します。
  4. CA が最終的なセキュリティ インシデント レポートを Microsoft に送信する期限を指定します。
  5. 影響を受ける第三者と通信します。
  6. CA が CA の費用で、セキュリティ インシデントを調査し、最終的なセキュリティ インシデント レポートを準備するために、サードパーティの調査担当者を雇用するよう CA に要求します。
  7. CAに対し、CAの費用負担で新しい適格監査を実施するよう求めます。適格監査を失格とします。

セキュリティ インシデントが発生した場合の Microsoft の責任

Microsoft が上記のいずれかの権利を行使した場合、Microsoft は以下を行います。

  1. 例外的な状況を除き、Microsoft が行動を起こす 7 日前に CA に書面で通知します。その場合、Microsoft は、アクションを実行する前に CA と通信するための合理的な努力を行います。そして

  2. CA が代替措置を提案することを許可します。その場合、Microsoft は合理的な代替手段を検討しますが、提案された措置が顧客の最善の利益にならないと判断した場合は、そのような提案を拒否する権利を留保します。

  • Last updated on