富士ゼロックス Xnet認証局 - G2

証明書ポリシー及び認証実施規程

Fuji Xerox Xnet Certification Authority - G2

Certificate Policy and Certification Practice Statement

Rev.1

平成 27年 07月 13日 July 13, 2015

発行 1.0版

（空白頁）

1. はじめに－INTRODUCTION ........................................................................................ 1 1.1. 概要－Overview ........................................................................................................ 1

1.1.1. Xnet認証局 - G2の目的 .................................................................................... 1 1.1.2. Xnet認証局 - G2の趣旨 .................................................................................... 2 1.1.3. Xnet認証局 - G2の業務の概要 .......................................................................... 3

1.2. 文書の名称と識別－Document name and identification ........................................... 4 1.3. PKIの当事者－PKI participants .............................................................................. 4

1.3.1. Xnet認証局 - G2－Certification authorities ..................................................... 4 1.3.2. 登録機関－Registration authorities ................................................................... 4 1.3.3. 証明書の被発行者－Subscribers ......................................................................... 4 1.3.4. 証明書利用者－Relying parties .......................................................................... 5 1.3.5. その他の参加者－Other participants ................................................................. 5

1.4. 証明書の使用－Certificate usage .............................................................................. 5 1.4.1. 証明書の適切な使用－Appropriate certificate uses ........................................... 5 1.4.2. 禁止される証明書の使用－Prohibited certificate uses ....................................... 5

1.5. ポリシーの管理―Policy administration ................................................................... 5 1.5.1. 本文書の管理部門―Organization administering the document........................ 5 1.5.2. 照会に対する受付担当者－Contact person ......................................................... 5 1.5.3. 認証実施規程のポリシーへの準拠の判断 －Person determining CPS suitability

for the policy ...................................................................................................... 5 1.5.4. 認証実施規程の承認手続き－CPS approval procedures ..................................... 5

1.6. 定義－Definitions and acronyms .............................................................................. 5 2. 情報公開及びレポジトリに関する責任 －PUBLICATION AND REPOSITORY

RESPONSIBILITIES .................................................................................................. 10 2.1. レポジトリ－Repositories ....................................................................................... 10 2.2. 認証情報の公開－Publication of certification information ..................................... 10 2.3. 情報開示の時期と頻度－Time or frequency of publication ..................................... 10 2.4. レポジトリへのアクセス制御－Access controls on repositories .............................. 10

3. 識別と認証－IDENTIFICATION AND AUTHENTICATION ..................................... 11 3.1. 名前の取扱い－Naming ........................................................................................... 11

3.1.1. 名前の型－Types of names ............................................................................... 11 3.1.2. 名前の有意性に対する要求－Need for names to be meaningful ...................... 11 3.1.3. 証明書被発行者による匿名又は別名使用 －Anonymity or pseudonymity of

subscribers ....................................................................................................... 11 3.1.4. 様々な名前形式を解釈するための規則 －Rules for interpreting various name

forms ................................................................................................................ 11 3.1.5. 名前の一意性－Uniqueness of names .............................................................. 11 3.1.6. 商標の認識、認証、及び、役割 －Recognition, authentication, and role of

trademarks ...................................................................................................... 11 3.2. 初期登録時の認証－Initial identity validation........................................................ 11

3.2.1. 秘密鍵所有の検証方法－Method to prove possession of private key ............... 11 3.2.2. 組織の認証－Authentication of organization identity ..................................... 11 3.2.3. 被発行者の認証－Authentication of individual identity .................................. 11 3.2.4. 検証対象でない被発行者情報－Non-verified subscriber information .............. 12

3.2.5. 権限の検証－Validation of authority ............................................................... 12 3.2.6. 相互運用のための基準－Criteria for interoperation ........................................ 12

3.3. 鍵更新のための識別と認証 －Identification and authentication for re-key requests ............................................................................................................................... 12

3.3.1. 通常の鍵更新－Identification and authentication for routine re-key .............. 12 3.3.2. 失効後の鍵更新－Identification and authentication for re-key after revocation

......................................................................................................................... 12 3.4. 失効要求のための識別と認証 －Identification and authentication for revocation

request ................................................................................................................... 12 4. 証明書ライフサイクル管理のための要件 － CERTIFICATE LIFE-CYCLE

OPERATIONAL REQUIREMENTS ........................................................................... 13 4.1. 証明書発行要求－Certificate Application ................................................................ 13

4.1.1. 証明書発行の要求者－Who can submit a certificate application ..................... 13 4.1.2. 登録処理と責任－Enrollment process and responsibilities ............................. 13

4.2. 証明書発行要求の処理－Certificate application processing.................................... 13 4.2.1. 識別と認証－Performing identification and authentication functions ........... 13 4.2.2. 証明書発行の可否の判断－Approval or rejection of certificate applications ... 13 4.2.3. 証明書発行要求の処理に要する時間－Time to process certificate applications

......................................................................................................................... 13 4.3. 証明書の発行－Certificate issuance ........................................................................ 13

4.3.1. 証明書発行における認証局の処理－CA actions during certificate issuance .... 13 4.3.2. 認証局による被発行者への証明書発行の通知 －Notification to subscriber by

the CA of issuance of certificate ...................................................................... 13 4.4. 証明書の受理－Certificate acceptance .................................................................... 13

4.4.1. 証明書の受理を構成する行為－Conduct constituting certificate acceptance .. 13 4.4.2. 認証局による証明書の開示－Publication of the certificate by the CA ............. 13 4.4.3. 認証局による他の機関への証明書発行の通知 －Notification of certificate

issuance by the CA to other entities ................................................................ 14 4.5. 鍵ペア及び証明書の利用－Key pair and certificate usage ...................................... 14

4.5.1. 被発行者による秘密鍵と証明書の利用－Subscriber private key and certificate usage ................................................................................................................ 14

4.5.2. 証明書利用者による公開鍵と証明書の利用 －Relying party public key and certificate usage ............................................................................................... 14

4.6. 証明書の再発行－Certificate renewal ..................................................................... 14 4.6.1. 再発行の事由となる状況－Circumstance for certificate renewal .................... 14 4.6.2. 再発行の要求者－Who may request renewal ................................................... 14 4.6.3. 再発行要求の処理－Processing certificate renewal requests........................... 14 4.6.4. 再発行された証明書の受理を構成する行為 －Conduct constituting acceptance

of a renewal certificate .................................................................................... 14 4.6.5. 認証局による再発行証明書の開示－Publication of the renewal certificate by the

CA .................................................................................................................... 14 4.6.6. 認証局による他の機関への証明書再発行の通知 －Notification of certificate

issuance by the CA to other entities ................................................................ 14 4.7. 証明書の鍵更新－Certificate re-key ........................................................................ 15

4.7.1. 鍵更新の事由となる状況－Circumstance for certificate re-key ....................... 15

4.7.2. 更新の要求者－Who may request certification of a new public key ................ 15 4.7.3. 鍵更新要求の処理－Processing certificate re-keying requests ........................ 15 4.7.4. 被発行者への新証明書発行の通知 －Notification of new certificate issuance to

subscriber ........................................................................................................ 15 4.7.5. 更新証明書の受理を構成する行為 －Conduct constituting acceptance of a

re-keyed certificate .......................................................................................... 15 4.7.6. 認証局による更新証明書の開示－Publication of the re-keyed certificate by the

CA .................................................................................................................... 15 4.7.7. 認証局による他の機関への証明書発行の通知 －Notification of certificate

issuance by the CA to other entities ................................................................ 15 4.8. 証明書の変更－Certificate modification ................................................................. 15

4.8.1. 変更の事由となる状況－Circumstance for certificate modification ................. 15 4.8.2. 変更の要求者－Who may request certificate modification .............................. 15 4.8.3. 変更要求の処理－Processing certificate modification requests ....................... 16 4.8.4. 被発行者への新証明書発行の通知 －Notification of new certificate issuance to

subscriber ........................................................................................................ 16 4.8.5. 変更済証明書の受理を構成する行為 －Conduct constituting acceptance of

modified certificate .......................................................................................... 16 4.8.6. 認証局による変更済証明書の開示 －Publication of the modified certificate by

the CA .............................................................................................................. 16 4.8.7. 認証局による他の機関への証明書発行の通知 －Notification of certificate

issuance by the CA to other entities ................................................................ 16 4.9. 証明書の失効及び一時停止－Certificate revocation and suspension ...................... 16

4.9.1. 失効の事由となる状況－Circumstances for revocation ................................... 16 4.9.2. 失効の要求者－Who can request revocation .................................................... 16 4.9.3. 失効要求の手続き－Procedure for revocation request ..................................... 17 4.9.4. 失効要求の猶予期間－Revocation request grace period................................... 17 4.9.5. 認証局が失効要求を処理する時間 －Time within which CA must process the

revocation request ........................................................................................... 18 4.9.6. 証明書使用者が失効証明書を確認する手段 －Revocation checking requirement

for relying parties ............................................................................................ 18 4.9.7. 証明書失効リスト発行の頻度－CRL/ARL issuance frequency (if applicable) .. 18 4.9.8. 証明書失効リストの作成から発行までの猶予期間 －Maximum latency for

CRL/ARLs (if applicable) ................................................................................. 18 4.9.9. オンラインによる失効及びステータス検査 －On-line revocation/status

checking availability ........................................................................................ 19 4.9.10. オンラインによる失効検査要求－On-line revocation checking requirements . 19 4.9.11. 失効告知の他の形態－Other forms of revocation advertisements available ... 19 4.9.12. 認証局秘密鍵の危殆化に関する特別な要件 －Special requirements re key

compromise ...................................................................................................... 19 4.9.13. 一時停止を行う状況－Circumstances for suspension ...................................... 19 4.9.14. 一時停止の要求者－Who can request suspension ............................................ 19 4.9.15. 一時停止要求の手続き－Procedure for suspension request ............................. 19 4.9.16. 一時停止期間の上限－Limits on suspension period ......................................... 19

4.10. 証明書ステータスサービス－Certificate status services ......................................... 19

4.10.1. 処理上の特徴－Operational characteristics ..................................................... 20 4.10.2. サービスの可用性－Service availability .......................................................... 20 4.10.3. オプションの機能－Optional features ............................................................. 20

4.11. 一時停止の終了－End of subscription ..................................................................... 20 4.12. 鍵の預託と回復－Key escrow and recovery ............................................................ 20

4.12.1. 鍵の預託と回復に関するポリシーと実施 －Key escrow and recovery policy and practices ........................................................................................................... 20

4.12.2. セッション鍵のカプセル化及び回復のポリシーと実施 －Session key encapsulation and recovery policy and practices ............................................ 20

5. 設備、運用、操作に関する管理 －FACILITY, MANAGEMENT, AND OPERATIONAL CONTROLS ................................................................................................................. 21

5.1. 物理的な管理－Physical controls ............................................................................ 21 5.1.1. 設置場所と建物構造－Site location and construction ...................................... 21 5.1.2. 物理的アクセス－Physical access .................................................................... 21 5.1.3. 電源設備と空調設備－Power and air conditioning .......................................... 21 5.1.4. 水害対策－Water exposures ............................................................................. 21 5.1.5. 防火及び火災対策－Fire prevention and protection ........................................ 21 5.1.6. 記憶媒体－Media storage ................................................................................. 21 5.1.7. 廃棄物処理－Waste disposal ............................................................................ 21 5.1.8. オフサイトバックアップ－Off-site backup ...................................................... 21

5.2. 手続き面での管理－Procedural controls ................................................................. 22 5.2.1. 役割－Trusted roles ......................................................................................... 22 5.2.2. 業務ごとの必要員数－Number of persons required per task .......................... 23 5.2.3. 役割ごとの識別と認証－Identification and authentication for each role ........ 24 5.2.4. 業務の分離に関する要件－Roles requiring separation of duties ..................... 24

5.3. 人事面での管理－Personnel controls ...................................................................... 24 5.3.1. 資格・経験・認可に関する要件 －Qualifications, experience, and clearance

requirements ................................................................................................... 24 5.3.2. 背景審査手続き－Background check procedures ............................................. 24 5.3.3. 教育に関する要件－Training requirements ..................................................... 25 5.3.4. 継続教育の頻度と要件－Retraining frequency and requirements .................. 25 5.3.5. 業務のローテーションと順序－Job rotation frequency and sequence ............. 25 5.3.6. 不正行為への制裁－Sanctions for unauthorized actions ................................. 25 5.3.7. 業務委託等に関する要件－Independent contractor requirements .................. 25 5.3.8. 要員に提供される文書－Documentation supplied to personnel ...................... 25

5.4. 監査手順－Audit logging procedures ...................................................................... 25 5.4.1. 監査ログに記録されるイベント－Types of events recorded ............................. 26 5.4.2. 監査ログを処理する頻度－Frequency of processing log................................... 26 5.4.3. 監査ログの保持期間－Retention period for audit log ...................................... 26 5.4.4. 監査ログの保護－Protection of audit log ......................................................... 26 5.4.5. 監査ログのバックアップの手順－Audit log backup procedures ...................... 26 5.4.6. 監査ログ収集システム－Audit collection system (internal vs. external) ......... 27 5.4.7. イベントを引き起こした操作者への通知－Notification to event-causing subject

......................................................................................................................... 27

5.4.8. 脆弱性のアセスメント－Vulnerability assessments ........................................ 27 5.5. データのアーカイブ－Records archival .................................................................. 27

5.5.1. アーカイブするべき記録の種別－Types of records archived ............................ 27 5.5.2. アーカイブの保持期間－Retention period for archive ..................................... 28 5.5.3. アーカイブの保護－Protection of archive ........................................................ 28 5.5.4. アーカイブのバックアップの手順－Archive backup procedures ..................... 28 5.5.5. 記録へのタイムスタンプに関する要求－Requirements for time-stamping of

records ............................................................................................................. 28 5.5.6. アーカイブの収集システム－Archive collection system (internal or external) 28 5.5.7. アーカイブの検証手続き－Procedures to obtain and verify archive information

......................................................................................................................... 28 5.6. 鍵の交換－Key changeover ..................................................................................... 28 5.7. 危殆化及び災害からの復旧－Compromise and disaster recovery ........................... 29

5.7.1. 事故及び危殆化を処理する手順－ Incident and compromise handling procedures ....................................................................................................... 29

5.7.2. 機器、ソフトウェア、或いは、データが危殆化した場合の手順 －Computing resources, software, and/or data are corrupted ............................................... 29

5.7.3. 認証局秘密鍵が危殆化した場合の手順－Entity private key compromise procedures ....................................................................................................... 29

5.7.4. 災害後の業務継続の能力－Business continuity capabilities after a disaster .. 29 5.8. 認証局或いは登録機関の終了－CA or RA termination ............................................ 29

6. 技術的な管理－TECHNICAL SECURITY CONTROLS .............................................. 30 6.1. 鍵ペアの生成と設定－Key pair generation and installation .................................. 30

6.1.1. 鍵ペアの生成－Key pair generation ................................................................ 30 6.1.2. 被発行者への秘密鍵の配送－Private key delivery to subscriber ..................... 30 6.1.3. 認証局への公開鍵の配送－Public key delivery to certificate issuer ................ 30 6.1.4. 証明書使用者への認証局公開鍵の配送－CA public key delivery to relying

parties .............................................................................................................. 30 6.1.5. 鍵長－Key sizes ................................................................................................ 30 6.1.6. 公開鍵パラメータの生成と品質検査 －Public key parameters generation and

quality checking............................................................................................... 30 6.1.7. 鍵の使用目的－Key usage purposes (as per X.509 v3 key usage field) ........... 30

6.2. Xnet 証明書に関する CRL への証明生成と検証 秘密鍵の保護と暗号モジュールによる管理 －Private Key Protection and Cryptographic Module Engineering Controls ............................................................................................................................... 30

6.2.1. 暗号モジュールの標準と制御－Cryptographic module standards and controls ......................................................................................................................... 30

6.2.2. 秘密鍵の複数人による管理－Private key (n out of m) multi-person control ... 30 6.2.3. 秘密鍵の預託－Private key escrow .................................................................. 30 6.2.4. 秘密鍵のバックアップ－Private key backup ................................................... 30 6.2.5. 秘密鍵のアーカイブ－Private key archival ..................................................... 31 6.2.6. 暗号モジュールへの秘密鍵の入出力 －Private key transfer into or from a

cryptographic module ...................................................................................... 31 6.2.7. 暗号モジュール中での秘密鍵の保持－Private key storage on cryptographic

module ............................................................................................................. 31

6.2.8. 秘密鍵を活性化する方法－Method of activating private key .......................... 31 6.2.9. 秘密鍵を非活性化する方法－Method of deactivating private key ................... 31 6.2.10. 秘密鍵を廃棄する方法－Method of destroying private key ............................. 31 6.2.11. 暗号モジュールの評価－Cryptographic Module Rating .................................. 31

6.3. その他、鍵ペアの管理に関連する事項 －Other aspects of key pair management . 31 6.3.1. 公開鍵のアーカイブ－Public key archival ....................................................... 31 6.3.2. 証明書と公開鍵ペアの有効期間 －Certificate operational periods and key pair

usage periods ................................................................................................... 31 6.4. アクティベーションデータ－Activation data .......................................................... 31

6.4.1. アクティベーションデータの生成と設定－Activation data generation and installation ...................................................................................................... 31

6.4.2. アクティベーションデータの保護－Activation data protection ....................... 31 6.4.3. アクティベーションデータに関する他の規則－Other aspects of activation data

......................................................................................................................... 31 6.5. コンピュータセキュリティ管理－Computer security controls ................................ 32

6.5.1. コンピュータセキュリティに関する技術的要件 －Specific computer security technical requirements .................................................................................... 32

6.5.2. コンピュータセキュリティの評価 Computer security rating ........................... 32 6.6. ライフサイクルに関する技術的制御－Life cycle technical controls ........................ 32

6.6.1. システム開発に関する管理－System development controls ............................ 32 6.6.2. セキュリティマネジメントに関する管理－Security management controls ..... 32 6.6.3. ライフサイクルのセキュリティに関する管理－Life cycle security controls ..... 32

6.7. ネットワークセキュリティに関する管理－Network security controls .................... 32 6.8. タイムスタンプ－Time-stamping ............................................................................ 32

7. 証明書・証明書失効リスト及び OCSP のプロファイル －CERTIFICATE, CRL/ARL, AND OCSP PROFILES ............................................................................................... 33

7.1. 証明書のプロファイル－Certificate profile ............................................................. 33 7.1.1. バージョン番号－Version number(s) ............................................................... 33 7.1.2. 証明書の拡張項目－Certificate extensions ...................................................... 33 7.1.3. アルゴリズムのオブジェクト識別子－Algorithm object identifiers ................. 33 7.1.4. 名前の形式－Name forms ................................................................................ 33 7.1.5. 名前の制約－Name constraints ....................................................................... 33 7.1.6. CPのオブジェクト識別子－Certificate policy object identifier ....................... 33 7.1.7. ポリシー制限拡張の使用－Usage of Policy Constraints extension .................. 33 7.1.8. ポリシークォリファイアの書式と定義－Policy qualifiers syntax and semantics

......................................................................................................................... 33 7.1.9. クリティカル証明書ポリシー拡張のためのセマンティクスの処理 －Processing

semantics for the critical Certificate Policies extension ................................. 33 7.2. 証明書失効リストのプロファイル－CRL/ARL profile ............................................. 34

7.2.1. バージョン番号－Version number(s) ............................................................... 34 7.2.2. 証明書失効リスト及び証明書失効リストの拡張項目 －CRL/ARL and CRL/ARL

entry extensions .............................................................................................. 34 7.3. OCSPプロファイル－OCSP profile ........................................................................ 34

7.3.1. バージョン番号－Version number(s) ............................................................... 34 7.3.2. OCSP拡張項目－OCSP extensions ................................................................. 34

8. 証明書ポリシー及び認証実施規程への適合性監査及びその他の評価 －COMPLIANCE AUDIT AND OTHER ASSESSMENTS ....................................................................... 35

8.1. 評価の頻度と環境－Frequency or circumstances of assessment ............................ 35 8.2. 評価実行者の識別或いは資格－Identity/qualifications of assessor ......................... 35 8.3. 評価実行者と評価項目との関係－Assessor’s relationship to assessed entity ......... 35 8.4. 評価項目－Topics covered by assessment ............................................................... 35 8.5. 違反が発見された場合の対応－Actions taken as a result of deficiency .................. 35 8.6. 評価結果の報告－Communication of results .......................................................... 36

9. その他、ビジネス及び法律に関わる事項 －OTHER BUSINESS AND LEGAL MATTERS .................................................................................................................... 37

9.1. 料金－Fees .............................................................................................................. 37 9.2. 経済的な責任－Financial responsibility ................................................................. 37 9.3. ビジネス情報の機密性－Confidentiality of business information .......................... 37

9.3.1. 機密情報の範囲－Scope of confidential information ........................................ 37 9.3.2. 機密情報に分類されない情報 － Information not within the scope of

confidential information .................................................................................. 37 9.3.3. 機密情報の保護に関する責任－ Responsibility to protect confidential

information ...................................................................................................... 37 9.4. 個人情報の保護－Privacy of personal information ................................................. 37 9.5. 知的財産権－Intellectual property rights ............................................................... 37 9.6. 意思表示と保証－Representations and warranties ................................................ 37

9.6.1. 認証局による意思表示と保証－CA representations and warranties ............... 37 9.6.2. 登録機関による意思表示と保証－RA representations and warranties ............ 37 9.6.3. 被発行者による意思表示と保証－Subscriber representations and warranties 38 9.6.4. 証明書利用者による意思表示と保証－Relying party representations and

warranties ....................................................................................................... 38 9.6.5. 他の参加者による意思表示の保証 －Representations and warranties of other

participants ..................................................................................................... 38 9.7. 保証の拒否－Disclaimers of warranties ................................................................. 38 9.8. 責任制限－Limitations of liability .......................................................................... 38 9.9. 賠償－Indemnities .................................................................................................. 38 9.10. 本文書の有効期間と終了－Term and termination .................................................. 38

9.10.1. 有効期間－Term ............................................................................................... 38 9.10.2. 終了－Termination ........................................................................................... 38 9.10.3. 終了及び終了猶予の効果－Effect of termination and survival ........................ 38

9.11. Individual notices and communications with participants .................................... 38 9.12. 本文書の改定－Amendments .................................................................................. 38

9.12.1. 改定のための手続き－Procedure for amendment ............................................ 38 9.12.2. 改定の通知－Notification mechanism and period ........................................... 39 9.12.3. オブジェクト識別子を変更すべき状況 －Circumstances under which OID

must be changed .............................................................................................. 39 9.13. 紛争の解決手段－Dispute resolution provisions ..................................................... 39 9.14. 準拠法－Governing law .......................................................................................... 39 9.15. 法律への準拠－Compliance with applicable law .................................................... 39 9.16. その他の要項－Miscellaneous provisions ............................................................... 39

9.16.1. 契約一般－Entire agreement ........................................................................... 39 9.16.2. 役割－Assignment ........................................................................................... 39 9.16.3. 分離可能性－Severability ................................................................................. 39 9.16.4. 遵守（弁護費用及び権利の放棄） －Enforcement (attorneys’ fees and waiver of

rights) .............................................................................................................. 39 9.16.5. 不可抗力－Force Majeure ................................................................................ 39

9.17. その他の条項－Other provisions ............................................................................. 39

1

1. はじめに－INTRODUCTION

本文書は、富士ゼロックス Xnet認証局 - G2(Fuji Xerox Xnet Certification Authority - G2)の認証業

務を定めることを目的とし、証明書ポリシー（Certificate Policy）と認証実施規程（Certification Practice

Statement ）とを内容に含む。

証明書ポリシー（以下、CP という）は、認証業務を構成する各項目について、目的・方針・環境・制約・リ

スク・手段を記述し、認証業務を定義する。

認証実施規程（以下、CPS という）は、CP に定義された認証業務を実施するための具体的な規則を規

定する。

本文書の構成は、インターネットにおける標準化団体である IETF（Internet Engineering Task Force）が

発行する RFC 3647に準拠する。

RFC 3647の正式な文書名と入手先を以下に示す。

RFC3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework

http://www.faqs.org/rfcs/rfc3647.htmlから取得することができる（平成 24年 6月 12日現在）。

本文書では、RFC 3647中に規定されている各節の見出し語を独自に翻訳し、各節の見出し語とした。但し、

RFC 3647を手引きとして利用する際に便利なように、RFC3647で使用する英語表記の見出し語も併記す

る。

RFC3647のうち、本文書中で適用されない項目であっても、RFC 3647に規定されている節の見出し語を

省略することはせず、本文書では規定しない旨を記述することとした。

他方で、RFC 3647に規定されている以外に、本文書で規定することが必要であると判断された場合には、

独自に節を追加し、本文書を理解する上での利便に供することとした。本文書で独自に設けた節には見出

し語に英訳を付与しない。

1.1. 概要－Overview

1.1.1. Xnet認証局 - G2の目的 富士ゼロックス Xnet 認証局 - G2（以下、本認証局という）は、富士ゼロックス株式会社（以下、FX とい

2

う）と FX の関連会社（以下、ALL-FX 関連会社）、FX 及び ALL-FX 関連会社と利用を合意した企業/

団体または組織と、FX及びALL-FX関連会社の情報システムを対象として公開鍵証明書を発行するこ

とを主業務とする。

1.1.2. Xnet認証局 - G2の趣旨(1) 本認証局設立の背景

近年になりインターネット技術に基礎を置く LAN（Local Area Network）や WAN（Wide Area

Network）などのネットワーク環境が浸透するに伴い、コンピュータを利用してネットワークを介して業務

を遂行する光景は、日常茶飯のものとなってきた。

例えば、取引先とのコミュニケーションに電子メールを利用したり、インターネットブラウザを利用してリモ

ート端末からネットワーク経由で社内システムへアクセスしたりする等がある。

しかし、インターネット技術の開放性に起因するセキュリティの問題を看過する訳にはいかない。例えば、

インターネットにおいては、クライアントとサーバとの通信の安全を確保するために、SSL（Secure

Socket Layer）や TLS（Transport Layer Security）など、暗号技術によりセキュリティ機能が付与さ

れたプロトコルが利用されている。また、住民基本台帳カードや電子決済などでも電子署名や暗号化と

いったセキュリティ機能が必須であるとされる。これらの動向は、まさに、インターネットがはらむセキュリ

ティ上の問題に由来する。

LANやWANはインターネットのような公衆性を有してはいないものの、同じ技術に立脚し、同じセキュ

リティ上の危険を内包している。また、LANやWANへの外部からの侵入が依然として大きな脅威であ

ることに加えて、情報漏洩の 80％以上が内部からによるものであることを考えると、LANや WAN の閉

鎖性を安全の根拠にする訳にはいかない。

さて、ネットワーク通信における脅威としては、なりすまし、盗聴、改ざん、否認、サービス不能（Denial

of Service）の 5項目が認識されているが（表 1）、これらのうち、サービス不能攻撃を除く全ての脅威に

対する対策は確実な認証機能の上に構築される必要がある。その意味で、認証機能はネットワーク通

信のセキュリティにおける基盤機能であるといえる。

3

表 1 ネットワーク通信の脅威

脅威 内容

なりすまし 攻撃者が身許を詐称して、本来アクセスするべきでない通信内容にアクセスする。

盗聴 通信を傍受し、不正に通信内容を取得する。

改ざん 通信を途中で横取りし、通信内容を変更して受信者に送信する。

否認 送信者が、通信内容の送信の事実を事後に否定する。

サービス不能 通信を集中させサーバをダウンさせる等の方法で、通信の実行そのものを妨害する。

これらの脅威全てに対抗するためには、健全な認証機能を必要とするが、その実現方法として公開鍵認証

基盤（Public Key Infrastructure以下、PKI という）を利用するのはほぼ必然の選択である。PKIは、イン

ターネットにおける標準的な認証機能の実現手法であり、相互接続性の観点から圧倒的な利点を有するか

らである。

しかし、PKI を運用するためには、利用者に対して公開鍵証明書を発行し、発行された公開鍵証明書を検

証するための信用基盤が必要となる。そこでFXは本認証局を運用し、FX及びALL-FX関連会社、FX及

びALL-FX関連会社と利用を合意した企業/団体または組織の個人と、FX及びALL-FX関連会社の情報

システムに対する証明書発行業務を行う。

(2) 中間認証機関

本認証局は富士ゼロックス認証局 - G2 より CA 証明書を発行された中間認証機関である。

よって本認証局は、当該上位認証局である富士ゼロックス認証局 - G2 の CP 及び CPS に準拠しなければ

ならない。

本文書は、上位認証局である富士ゼロックス認証局 - G2 の CP 及び CPS に準拠し公開している。

1.1.3. Xnet認証局 - G2の業務の概要

この節では、本認証局の業務について概観する。

本節の記述は、あくまで読者の理解を助けることを目的としており、本認証局のCP及びCPSを定めるもので

はない。

(1) 証明書の発行要求の受付

本認証局は、加入予定者からの証明書発行申請を受け取ることで、証明書の発行要求を認識する。

4

(2) 本認証局における証明書発行要求の処理

本認証局では、加入予定者の証明書発行申請に対する発行申請内容や個人情報などから証明書発

行の可否を決定する。

(3) 証明書のライフサイクル管理

証明書の発行、鍵更新、変更、失効一時停止を行う。

(4) CRL/ARLの発行

規程に従ったCRL/ARLを定期的に発行する。証明書の失効処理を行った時には、随時CRL/ARLへ

の更新リクエストを受付し、定期発行に反映する。

1.2. 文書の名称と識別－Document name and identification

本文書は、日本語で「富士ゼロックス Xnet 認証局 - G2：CP 及び CPS」、英語で「Fuji Xerox Xnet

Certification Authority - G2: Certificate Policy and Certification Practices Statements」の名称を有する。

また、本認証局が提供するサービスに関するオブジェクト識別子（OID）は以下の通りである。

・Xnet 証明書に記載する CertificatePolicies:1.3.6.1.4.1.297.1.5.1.19

1.3. PKIの当事者－PKI participants

1.3.1. Xnet認証局 - G2－Certification authorities

本認証局は、FX 及び ALL-FX 関連会社の企業/団体または組織の個人と、FX 及び ALL-FX 関連会社と

利用を合意した企業/団体または組織の個人と、FX及びALL-FX関連会社の情報システムに対して証明書

を発行することを主業務とする。本認証局が発行した証明書を Xnet証明書と呼ぶ。

本認証局は FX が運用する富士ゼロックス認証局プラットフォーム(Fuji Xerox Certification Authorities

Platform 以下、FXCAP という)の個別認証局に位置づけられる。FXCAP は本認証局の発行局としての業務

を担当し、本認証局の秘密鍵を管理/運用する。

1.3.2. 登録機関－Registration authorities

本認証局は登録機関の機能を有する。

本認証局は、証明書発行申請に対して申請内容、個人情報などを確認し、Xnet 証明書の発行に対する可

否判断を実施する。

1.3.3. 証明書の被発行者－Subscribers

Xnet 証明書の被発行者は、FX 及び ALL-FX 関連会社の企業/組織の個人と、FX 及び ALL-FX 関連会

社と利用を合意した企業/団体または組織の個人と、FX 及び ALL-FX 関連会社の情報システムである。

5

1.3.4. 証明書利用者－Relying parties

Xnet証明書の利用者は、FX及びALL-FX関連会社の企業/組織の個人と、FX及びALL-FX関連会社と

利用を合意した企業/団体または組織の個人と、FX 及び ALL-FX 関連会社の情報システムである。

1.3.5. その他の参加者－Other participants

規定せず。

1.4. 証明書の使用－Certificate usage

1.4.1. 証明書の適切な使用－Appropriate certificate uses

本認証局の発行する Xnet 証明書は、FX及び ALL-FX 関連会社、FX及び ALL-FX関連会社と利用を合

意した企業/団体または組織と FX 及び ALL-FX 関連会社間の業務を支援しその効率化を促進する目的

で、電子申請、電子調達、企業間電子商取引を含む情報の安全な通信あるいは交換に使用を限定する。

1.4.2.禁止される証明書の使用－Prohibited certificate uses

1.4.1に規定された目的以外での証明書の使用を禁止する。

1.5. ポリシーの管理―Policy administration

1.5.1. 本文書の管理部門―Organization administering the document

本文書（CP及び CPS）の維持・管理、及び本文書の内容の改定は、本認証局が行う。

1.5.2. 照会に対する受付担当者－Contact person

本文書に関する照会、及び相互認証に関する照会は、Xnet サポート窓口が担当する。

富士ゼロックス株式会社 Xnet サポート窓口

E-Mail Xnet-Support@fujixerox.co.jp

1.5.3. 認証実施規程のポリシーへの準拠の判断－Person determining CPS suitability for the policy

本文書では CP と CPS とを分離しないので、本文書の承認をもって、CPSのポリシーへの準拠が判断される

ものとする。

1.5.4. 認証実施規程の承認手続き－CPS approval procedures

本文書の改訂及び廃止は本認証局がおこない、Xnet 認証局 - G2 責任者の決裁により発行される。

1.6. 定義－Definitions and acronyms 用語 定義

FX 富士ゼロックス株式会社。

ALL-FX 関連会社 FX が議決権付き株式の過半数以上を保有する関連会社の総称。

6

用語 定義

従業員 役員および正社員ならびに期間契約社員等の正社員以外の直接雇用者、

派遣就業者、委託業務従事者、駐在員等、FX または ALL-FX 関連会社に

常駐する者。

レポジトリ Xnet 認証局 - G2 の認証業務に必要なデータを記録するデータベース。

証明書の失効 証明書を無効にすること。証明書失効リストに証明書の識別情報を記載する

ことで実施する。

証明書の発行 証明書の被発行者に対して証明書を発行すること。

証明書の再発行 発行済みの証明書に対して、公開鍵を含む記載内容が同一の証明書を発

行する機能。但し、シリアル番号など、認証局のポリシーによって値が変更さ

れるフィールドは除く。

証明書の鍵更新 発行済みの証明書に対して、公開鍵を更新した新たな証明書を発行する機

能。

証明書の変更 発行済みの証明書に対して、記載の公開鍵を除く、記載事項の一部或いは

全部を変更した新たな証明書を発行する機能。

自己署名証明書 認証局公開鍵に対して、対応する認証局秘密鍵で署名した証明書。認証

局の公開鍵を利用者に開示する目的で利用する。

リンク証明書 認証局公開鍵ペアを更新した際、更新前の公開鍵に対して、更新後の秘密

鍵で署名した証明書、および更新後の公開鍵に対して、更新前の秘密鍵で

署名した証明書。

証明書失効リスト 失効した証明書のリストに対して、認証局秘密鍵で署名したデータオブジェ

クト。

認証局失効リスト 失効した CA 証明書のリストに対して、認証局秘密鍵で署名したデータオブ

ジェクト。

ハードウェアセキュリテ

ィモジュール

（HSM）

秘密鍵の管理を安全に行うためのハードウェア。秘密鍵の管理には、生成・

維持・利用・破棄を含む。HSM の操作は、物理鍵を用いた活性化、システム

的なアクセス制御等、厳密な安全措置のもとに管理される。

認証局公開鍵ペア 認証局公開鍵と認証局秘密鍵のペア。

認証局公開鍵 認証局に帰属し、認証局が発行する証明書に付与される署名を検証するた

めの公開鍵。

認証局秘密鍵 認証局が発行する証明書への署名を生成するための秘密鍵。

監査ログ 認証業務が正しく実行されていることを検証するために記録されるイベント

の記録。

監査ログ収集システム 監査ログを収集するためのシステムであり、Xnet 認証局 - G2 システムの一

部。

公開鍵ペア 公開鍵暗号システムにおいて、公開鍵と秘密鍵とから構成される鍵ペア。

7

用語 定義

公開鍵 公開鍵暗号の公開鍵ペアを構成する鍵のひとつ。証明書に記載して公開

する。

認証局公開鍵ペアの公開鍵は、証明書の署名検証の目的に用いられ、署

名検証鍵と呼ぶこともある。

秘密鍵 公開鍵暗号の公開鍵ペアを構成する鍵のひとつ。所有者以外に知られな

いよう安全に保管される。

認証局公開鍵ペアの秘密鍵は、証明書の署名の目的に用いられるため、署

名鍵或いは署名生成鍵と呼ばれることもある。

一般に、秘密鍵の呼称としては、個人鍵、私有鍵、プライベート鍵などが用

いられるが、本文書においては秘密鍵という呼称を用いる。共通鍵暗号の

秘密鍵と混同しないように注意すること。

署名生成鍵 公開鍵ペアの秘密鍵であって、署名の目的に限定して利用する。

署名検証鍵 公開鍵ペアの公開鍵であって、署名検証の目的に限定して利用する。

証明書 公開鍵とその他の属性から構成されるデータであり、認証局が署名を付すこ

とにより、公開鍵の所有者が当認証局のポリシーに準拠した審査を合格し、

当認証局に登録されていることを保証する。

Xnet 証明書 Xnet 認証局 - G2 が証明書被発行者に対して発行する証明書。

CA 証明書 認証局に対して発行される証明書で、被発行者である認証局が発行する証

明書の署名検証の目的のみで用いられる証明書。

サービス証明書 システムの認証の根拠として利用される証明書。例えば、SSL/TLS のサイト

認証において、クライアントがサイトを認証する際に利用する。

（証明書）発行者 証明書被発行者の公開鍵を指定した証明書に署名を行う認証局。証明書

中の “Issuer”フィールドに記載されるエンティティである。

（証明書）被発行者 認証局が署名する証明書の保有者。証明書中の “Subject” フィールドに

記載される個人または情報システム機器である。

証明書利用者 証明書を利用して、証明書被発行者を認証する当事者。例えば、SSL/TLS

において、サイトに対して発行されたサイト証明書の利用者はクライアントで

ある。

加入予定者 Xnet 認証局 - G2 への加入を希望する者。

加入者 Xnet 証明書の発行を受けた者。

ローカル登録局（LRA） 本人の確認・審査、証明書発行申請処理及び証明書失効申請処理を行う

組織。

登録局 ローカル登録局（LRA）の登録・管理を行う組織。

8

用語 定義

発行局 証明書の発行及び秘密鍵の管理・運用を行う組織。

証明書発行要求申請 Xnet 証明書の発行を Xnet 認証局 - G2 に要求するための申請。

証明書失効要求申請 Xnet 証明書の失効を Xnet 認証局 - G2 に要求するための申請。

証明書ポリシー及び認

証実施規程

認証局の機能・業務・運用に関して、ポリシーと実施規程を定め、認証局の

利用者による参照に供される文書。RFC 3647 に準拠して作成されることが

推奨される。

英語では、Certificate Policy and Certification Practices Statements であり、

CP 及び CPS と略される。

活性化 秘密鍵やHSM等を利用可能な状態にすること。

例えば、認証局秘密鍵は、活性化された状態でのみ、証明書への署名に利

用することが可能である。

また、HSM の活性化とは、公開鍵ペアの生成、削除、秘密鍵の利用等、

HSM の機能を利用できる状態にすることである。

非活性化 利用可能な状態にある秘密鍵やHSM等を利用不能な状態にすること。

危殆化 秘密鍵に対するセキュリティレベルが著しく低下した状態

富士ゼロックス認証局

G2

Xnet認証局 - G2の上位に位置し、Xnet認証局 - G2に対しCA証明書を

発行する認証局。

FXCAP Fuji Xerox Certification Authorities Platform の略

富士ゼロックス認証局プラットフォーム

富士ゼロックスによる運用される認証局共通機能を提供するプラットフォーム

である。Xnet 認証局 G2 の発行局としての業務を担当し、Xnet 認証局 -

G2 の秘密鍵を管理/運用する。

FXCAP委員会 富士ゼロックス認証局 - G2の監督機関であり、認証業務の運用方針等、重要事項に関する決裁権を有する委員会。

CP 及びCPS Certificate Policy and Certification Practices Statements の略。証明書ポリシ

ー及び認証実施規程に同じ。

CSR Certificate Signing Request の略称。証明書の発行を要求している主体の情

報と、署名対象となる公開鍵とを指定するデータ。インターネットで標準の書

式に従う。

CRL Certificate Revocation List の略称。証明書失効リストに同じ。

ARL Authority Revocation List の略称。認証局失効リストに同じ。

HSM Hardware Security Module の略称。ハードウェアセキュリティモジュールに同

じ。

PKI 「公開鍵」暗号方式という技術を利用した、セキュリティの「基盤」

9

用語 定義

S/MIME メッセージ秘匿、完全性、否認拒否等のセキュリティ機能を備えた電子メー

ルの書式及びプロトコルの規定。

SSL Secure Socket Layer の略。

ネットワーク通信において、サーバ（クライアント）認証、メッセージの秘匿、改

ざん防止の機能を提供するプロトコル。

TLS Transport Layer Security の略。

SSL 3.0 の安全性を強化したプロトコル。

最新のバージョンは以下の規格文書で与えられる。

RFC2246 The TLS Protocol Version 1.0, IETF

10

2. 情報公開及びレポジトリに関する責任

－PUBLICATION AND REPOSITORY RESPONSIBILITIES

2.1. レポジトリ－Repositories

本認証局のレポジトリは、少なくとも、以下の情報を保持する。

(1) リンク証明書

認証局公開鍵ペアの更新時に生成される証明書。更新後の認証局秘密鍵によって署名された更新前

の認証局公開鍵の証明書、及び、更新前の認証局秘密鍵によって署名された更新後の認証局公開鍵

の証明書。

(2) Xnet証明書

公開鍵証明書。

(3) 証明書失効リスト

失効したＸｎｅｔ証明書のリスト。

(4) CA証明書

富士ゼロックス認証局 - G2が本認証局に対して発行した証明書。

2.2. 認証情報の公開－Publication of certification information 本認証局の認証業務に関わる以下の情報を公開する。

(1) レポジトリに記録されている証明書失効リスト

(2) 本文書（CP及び CPS）

公開される認証情報へのアクセスは、以下の手段によるものとする。

http://www.fujixerox.co.jp/product/cap/fxxnetca-ｇ2.html

2.3. 情報開示の時期と頻度－Time or frequency of publication 開示対象となる情報が更新される都度、速やかに更新する。

2.4. レポジトリへのアクセス制御－Access controls on repositories レポジトリに記録された情報の追加・削除・変更等のアクセスは、権限を有する担当者に限る。

また、レポジトリ中の開示対象として指定された情報に関しては、Web ページ等を用いて、アクセス制御を設

けることなく広く一般に開示する。

11

3. 識別と認証－IDENTIFICATION AND AUTHENTICATION

3.1. 名前の取扱い－Naming

3.1.1. 名前の型－Types of names

証明書の発行者（ issuer）及び主体者（subject）フィールドに指定される名前は、X.500 識別名（DN:

Distinguished Name）に準拠する。

3.1.2. 名前の有意性に対する要求－Need for names to be meaningful

証明書の主体者（subject）フィールドに指定される名前は、一意に特定できるように定める。

3.1.3. 証明書被発行者による匿名又は別名使用－Anonymity or pseudonymity of subscribers

匿名或いは別名使用は行わない。

3.1.4. 様々な名前形式を解釈するための規則－Rules for interpreting various name forms

規定しない

3.1.5. 名前の一意性－Uniqueness of names

証明書に記載される名前は、被発行者を一意に特定できるように定める。

3.1.6. 商標の認識、認証、及び、役割－Recognition, authentication, and role of trademarks

規定しない。

3.2. 初期登録時の認証－Initial identity validation

3.2.1. 秘密鍵所有の検証方法－Method to prove possession of private key

公開鍵ペアを申請者が生成する場合、証明書発行要求申請により秘密鍵所有を検証する。

公開鍵ペアを本認証局が生成する場合、秘密鍵所有の検証は実施しない。

3.2.2. 組織の認証－Authentication of organization identity

本認証局は、証明書発行要求申請の正当性を申請情報、個人情報などから検証することにより、被発行者

の組織を認証する。

3.2.3. 被発行者の認証－Authentication of individual identity

本認証局は、証明書発行要求申請の正当性を申請情報、個人情報などから検証することにより、被発行者

を認証する。

12

3.2.4. 検証対象でない被発行者情報－Non-verified subscriber information

規定しない。

3.2.5. 権限の検証－Validation of authority

規定しない。

3.2.6. 相互運用のための基準－Criteria for interoperation

規定しない。

3.3. 鍵更新のための識別と認証

－Identification and authentication for re-key requests

3.3.1. 通常の鍵更新－Identification and authentication for routine re-key

3.2の規定に従う。

3.3.2. 失効後の鍵更新－Identification and authentication for re-key after revocation

3.2の規定に従う。

3.4. 失効要求のための識別と認証

－Identification and authentication for revocation request 3.2の規定に従う。

13

4. 証明書ライフサイクル管理のための要件

－CERTIFICATE LIFE-CYCLE OPERATIONAL REQUIREMENTS

4.1. 証明書発行要求－Certificate Application

4.1.1. 証明書発行の要求者－Who can submit a certificate application

Xnet証明書は、Xnet登録局 - G2 が許可した LRAが発行要求することにより発行される。

4.1.2. 登録処理と責任－Enrollment process and responsibilities

各 LRAは、正当な個人情報に基づき、証明書発行要求申請を実施しなければならない。

4.2. 証明書発行要求の処理－Certificate application processing LRAが実施する証明書発行要求の処理は、登録局システムによって自動的に実行される。

4.2.1. 識別と認証－Performing identification and authentication functions

証明書被発行者の識別と認証は、LRAが実施する。

4.2.2. 証明書発行の可否の判断－Approval or rejection of certificate applications

証明書被発行者に対する証明書発行の可否判断は、LRAが実施する。

4.2.3. 証明書発行要求の処理に要する時間－Time to process certificate applications

登録局システムの障害を除き、証明書発行要求の処理は直ちに実行される。

4.3. 証明書の発行－Certificate issuance 証明書発行要求の処理に引き続き、証明書の発行は発行局システムによって自動的に実行される。

4.3.1. 証明書発行における認証局の処理－CA actions during certificate issuance

証明書発行要求の処理に引き続き、発行局システムは証明書発行処理を行う。

4.3.2. 認証局による被発行者への証明書発行の通知－Notification to subscriber by the CA of issuance of certificate

証明書発行の通知は、被発行者となる証明書被発行者に発行された証明書を送付することで通知とする。

4.4. 証明書の受理－Certificate acceptance

4.4.1. 証明書の受理を構成する行為－Conduct constituting certificate acceptance

Xnet証明書の送付により、証明書の受理を認識する。

4.4.2. 認証局による証明書の開示－Publication of the certificate by the CA

規定しない。

14

4.4.3. 認証局による他の機関への証明書発行の通知－Notification of certificate issuance by the CA to other entities

規定しない。

4.5. 鍵ペア及び証明書の利用－Key pair and certificate usage

4.5.1. 被発行者による秘密鍵と証明書の利用－Subscriber private key and certificate usage

Xnet 証明書に対する秘密鍵は、FX 及び ALL-FX 関連会社、FX 及び ALL-FX 関連会社と利用を合意し

た企業/組織と FX 及び ALL-FX 関連会社間の業務利用に限定される。

4.5.2. 証明書利用者による公開鍵と証明書の利用－Relying party public key and certificate usage

Xnet証明書は、FX及びALL-FX関連会社、FX及びALL-FX関連会社と利用を合意した企業/組織とFX

及び ALL-FX 関連会社間の業務利用に限定される。

4.6. 証明書の再発行－Certificate renewal

本認証局は、証明書の再発行の機能は提供しない。

ここでいう証明書の再発行とは、鍵の更新を行わずに一度発行した証明書と同一内容の証明書を再度発

行することである。

4.6.1. 再発行の事由となる状況－Circumstance for certificate renewal

規定しない。

4.6.2. 再発行の要求者－Who may request renewal

規定しない。

4.6.3. 再発行要求の処理－Processing certificate renewal requests

規定しない。

4.6.4. 再発行された証明書の受理を構成する行為－Conduct constituting acceptance of a renewal certificate

規定しない。

4.6.5. 認証局による再発行証明書の開示－Publication of the renewal certificate by the CA

規定しない。

4.6.6. 認証局による他の機関への証明書再発行の通知－Notification of certificate issuance by the CA to other entities

規定しない。

15

4.7. 証明書の鍵更新－Certificate re-key 本認証局は、証明書の鍵更新の機能を提供する。

ここでいう証明書の鍵更新とは、被発行者を特定する情報(例えば証明書の主体者（subject）フィールドやメ

ールアドレス)の変更は行わず、更新された公開鍵に対する証明書を発行することである。

4.7.1. 鍵更新の事由となる状況－Circumstance for certificate re-key

LRAからの申請により鍵更新の機能を提供する。

4.7.2. 更新の要求者－Who may request certification of a new public key

4.1.1 と同様である。

4.7.3. 鍵更新要求の処理－Processing certificate re-keying requests

4.2 と同様である。

4.7.4. 被発行者への新証明書発行の通知－Notification of new certificate issuance to subscriber

4.3.2 と同様である。

4.7.5. 更新証明書の受理を構成する行為－Conduct constituting acceptance of a re-keyed certificate

4.4.1 と同様である。

4.7.6. 認証局による更新証明書の開示－Publication of the re-keyed certificate by the CA

規定しない。

4.7.7. 認証局による他の機関への証明書発行の通知－Notification of certificate issuance by the CA to other entities

規定しない。

4.8. 証明書の変更－Certificate modification

本認証局は、証明書の変更の機能を提供する。

ここでいう証明書の変更とは、被発行者を特定する情報(例えば証明書の主体者（subject）フィールドやメー

ルアドレス)の変更を伴い、証明書を発行することである。

4.8.1. 変更の事由となる状況－Circumstance for certificate modification

LRAからの申請により証明書の変更の機能を提供する。

4.8.2. 変更の要求者－Who may request certificate modification

4.1.1に準じる。

16

4.8.3. 変更要求の処理－Processing certificate modification requests

4.2 と同様である。

4.8.4. 被発行者への新証明書発行の通知－Notification of new certificate issuance to subscriber

4.3.2 と同様である。

4.8.5. 変更済証明書の受理を構成する行為－Conduct constituting acceptance of modified certificate

4.4.1 と同様である。

4.8.6. 認証局による変更済証明書の開示－Publication of the modified certificate by the CA

規定しない。

4.8.7. 認証局による他の機関への証明書発行の通知－Notification of certificate issuance by the CA to other entities

規定しない。

4.9. 証明書の失効及び一時停止－Certificate revocation and suspension

本認証局は証明書の一時停止の機能を提供しない。

4.9.1. 失効の事由となる状況－Circumstances for revocation

以下の状況を事由として、Xnet証明書の失効処理を行う。

(1) 本認証局の認証局秘密鍵が危殆化した場合

(2) 証明書被発行者の秘密鍵が危殆化した場合

LRAからの申請に基づき破棄処理が実施される。

(3) Xnet証明書の変更を目的として証明書を発行する場合

Xnet証明書の変更の目的を達成するために必要な Xnet証明書の失効を実施する。

(4) LRAが必要と認めた場合

LRAからの申請に基づき破棄処理が実施される。

4.9.2. 失効の要求者－Who can request revocation

失効の事由となる状況に応じて、以下のように、Xnet証明書の失効の要求者を定める。

(1) 本認証局の認証局秘密鍵が危殆化した場合

17

証明書被発行者の秘密鍵が危殆化した場合

LRAにより失効の要求が実施される。

(2) Xnet証明書の変更を目的として証明書を発行する場合

本認証局システムにより自動的に実施される。

(3) LRAが必要と認めた場合

LRA より失効の要求が実施される。

4.9.3. 失効要求の手続き－Procedure for revocation request

失効の事由となる状況に応じて、失効要求の手続きを以下のように定める。

(1) 本認証局の認証局秘密鍵が危殆化した場合

本認証局責任者に対して認証局秘密鍵の危殆化の事実を報告し、その指示に基づいて危殆化した秘

密鍵により署名された有効な全ての証明書の失効処理を行う。

(2) 証明書被発行者の秘密鍵が危殆化した場合

LRAからの失効の要求に基づいて危殆化した秘密鍵に対応する証明書の失効処理を行う。

(3) Xnet証明書の変更を目的として証明書を発行する場合

本認証局システムにより自動的に失効処理が実施される。

(4) LRAが必要と認めた場合

LRAからの失効の要求に基づいて指定された証明書の失効処理を行う。

4.9.4. 失効要求の猶予期間－Revocation request grace period

失効の事由となる状況に応じて、失効の要求者は、事由の認識した時点から下記の猶予期間内に失効の

要求を行わなければならない。

(1) 本認証局の認証局秘密鍵が危殆化した場合

本認証局責任者は、認証局秘密鍵の危殆化、或いは、その恐れを認識した時点から、可能な限り速や

かに Xnet証明書の失効の要求を行う。

(2) 証明書被発行者の秘密鍵が危殆化した場合

LRA は、秘密鍵の危殆化、或いは、その恐れを認識した時点から、可能な限り速やかに Xnet 証明書

18

の失効の要求を行う。

(3) Xnet証明書の変更を目的として証明書を発行する場合

規定しない。

(4) LRAが必要と認めた場合

規定しない。

4.9.5. 認証局が失効要求を処理する時間－Time within which CA must process the revocation request

失効の事由となる状況に応じて、本認証局は下記の期間内に失効の処理を行わなければならない。

(1) 本認証局の認証局秘密鍵が危殆化した場合

本認証局は、本認証局責任者からの指示を受領後、可能な限り速やかに失効処理を完了する。

(2) 証明書被発行者の秘密鍵が危殆化した場合

LRAからの要求を受領後、可能な限り速やかに失効処理を完了する。

(3) Xnet証明書の鍵更新および変更を目的として証明書を発行する場合

規定しない。

(4) LRAが必要と認めた場合

本認証局は、LRAからの要求を受領後、可能な限り速やかに失効処理を完了する。

4.9.6. 証明書使用者が失効証明書を確認する手段－Revocation checking requirement for relying parties

証明書使用者は、本認証局が開示する CRLを参照することで失効した証明書を確認する。

4.9.7. 証明書失効リスト発行の頻度－CRL/ARL issuance frequency (if applicable)

48時間を有効期限とする CRLを 24時間ごとに発行する。

4.9.8. 証明書失効リストの作成から発行までの猶予期間－Maximum latency for CRL/ARLs (if applicable)

規定しない。

19

4.9.9. オンラインによる失効及びステータス検査－On-line revocation/status checking availability

CRLは、アクセスに一切制限を加えることなく、任意のユーザが原則 365日 24時間、参照することができる

ように公開する。ただし、利用可能な時間帯においてもシステム保守、CA 毎の要件等により、利用できない

場合がある。

CRLへのアクセスは、2.2で定める手段による。

4.9.10. オンラインによる失効検査要求－On-line revocation checking requirements

規定しない。

4.9.11. 失効告知の他の形態－Other forms of revocation advertisements available

規定しない。

4.9.12. 認証局秘密鍵の危殆化に関する特別な要件－Special requirements re key compromise

本認証局秘密鍵が危殆化した場合には、本認証局は、下記を含む必要な措置をとる。

認証局の閉鎖と認証業務の停止

認証局秘密鍵の更新

必要な証明書の新規発行

更に、本認証局秘密鍵が危殆化した事実とそれに対する措置を速やかに開示する。

4.9.13. 一時停止を行う状況－Circumstances for suspension

規定しない。

4.9.14. 一時停止の要求者－Who can request suspension

規定しない。

4.9.15. 一時停止要求の手続き－Procedure for suspension request

規定しない。

4.9.16. 一時停止期間の上限－Limits on suspension period

規定しない。

4.10. 証明書ステータスサービス－Certificate status services 証明書失効リストの開示を除いて、本認証局は証明書ステータスサービスを提供しない。

20

4.10.1. 処理上の特徴－Operational characteristics

規定しない。

4.10.2. サービスの可用性－Service availability

規定しない。

4.10.3. オプションの機能－Optional features

規定しない。

4.11. 一時停止の終了－End of subscription 規定しない。

4.12. 鍵の預託と回復－Key escrow and recovery 鍵の預託と回復を行わない。

4.12.1. 鍵の預託と回復に関するポリシーと実施－Key escrow and recovery policy and practices

規定しない。

4.12.2. セッション鍵のカプセル化及び回復のポリシーと実施－Session key encapsulation and recovery policy and practices

規定しない。

21

5. 設備、運用、操作に関する管理

－FACILITY, MANAGEMENT, AND OPERATIONAL CONTROLS

5.1. 物理的な管理－Physical controls

5.1.1. 設置場所と建物構造－Site location and construction登録局設備室は、間仕切りされた区画であり入室権限を有しない者の入室は、原則認められないが、やむ

を得ずこれを認める場合、入室権限者との帯同の上、入室させる規定とする。

また、使用する機器等を不正侵入から防護された安全な場所に設置する。

5.1.2. 物理的アクセス－Physical access

登録局設備室への入退室の情報は、記録、管理される。入室権限を有しない者が登録局設備室に入室す

る場合は、入室権限を有する人の同行が必要である。入室権限を持たない者の入室時は入室目的を確認

する。

5.1.3. 電源設備と空調設備－Power and air conditioning

登録局の電源設備は、運用に十分な電源容量を確保するとともに瞬断、停電及び電圧・周波数の変動に

備えた対策を講ずる。

5.1.4. 水害対策－Water exposures

認証局システムの施設は、豪雨・台風などの影響を受けにくい場所、例えば建物の高層階等に設置する。

また、必要に応じて防水のための施工を施すものとし、水道管等の給水設備からも隔離する。

5.1.5. 防火及び火災対策－Fire prevention and protection

登録局設備室は、消火設備（消火器を含む）を設置する。

5.1.6. 記憶媒体－Media storage

バックアップデータ等、重要なデータを記録した媒体は、独立に施錠対策を施した保管庫に保管し、入退

出管理が実施されている区画内に設置する。

保管庫の開錠、記憶媒体の搬入出は、本認証局の Xnet にて指名された複数の担当者が定められた手順

に従って実施する。

5.1.7. 廃棄物処理－Waste disposal

機密扱いとする情報を含む書類及び記憶媒体は、電磁的消去、物理的破砕等、廃棄後情報を取り出すこ

とを不可能化する処置を施した後に廃棄する。

5.1.8. オフサイトバックアップ－Off-site backup

規定しない。

22

5.2. 手続き面での管理－Procedural controls

5.2.1. 役割－Trusted roles

本認証局運営上の運用体制を図.1 に示す。

Xnet認証局 - G2責任者

登録局運用グループXnet運用責任者業務オペレータ

監査グループ監査責任者監査担当者

ログ監査

業務指示監督

ローカル登録機関(LRA)ドメイン責任者/管理者

監査結果報告

図 1 運用体制

5.2.1.1. Xnet認証局 - G2責任者

Xnet認証局 - G2責任者は、本認証局の認証業務を指揮・監督する。

Xnet認証局 - G2責任者は、少なくとも以下の要件を満たす。

Xnet認証局 - G2責任者は、富士ゼロックスの情報政策を管掌する部門組織の責任者が担当する。

5.2.1.2. Xnet登録局運用グループ

本登録局運用グループの運用業務は以下の項目によって規定される。

1. システムの維持及び管理

2. Xnet認証局 - G2責任者の指示に基づく認証業務

3. その他、Xnet認証局 - G2責任者の指示に基づく作業

(1) Xnet運用責任者

Xnet 運用責任者は、本認証局 の認証業務運用全般を管掌する責任者であり、特に、以下の権限と責任と

を有する。

Xnet運用グループメンバーの選任

Xnet運用グループ会議の招集

23

Xnet運用グループ会議における決議事項の決裁

災害発生時等緊急時における対応の決定、及び、実施における監督

業務オペレータのアクセス権限の登録、変更、削除の作業

その他、運用グループの運用に関わる実作業の指示及び監督

(2) 業務オペレータ

運用業務オペレータは、認証局システムの操作に関わる実作業を担当し、以下の業務を行う。

システムの起動・停止・設定変更・機器構成変更に関わらない、その他の一般的なシステムの操作

システムの保守

認証業務に必要な環境の整備

アーカイブの作成

運用業務管理

5.2.1.3. ローカル登録機関（LRA)

ローカル登録機関（LRA)は、証明書の発行、更新など証明書に関する申請の審査、承認等、本認証局へ

の加入申請管理業務を行なう。

（１） ドメイン責任者

ドメイン責任者は、当該ドメインの加入者に証明書が適正に発行され且つ利用されることの責任と権限を有

する。

（２） ドメイン管理者

ドメイン管理者は、当該ドメインの加入者に発行される証明書に関する申請の審査、本人確認、適正な証明

書利用の管理権限を有する。

5.2.1.4. 監査グループ

監査グループは、運用グループから独立した組織であり、以下の監査業務の実施を任務とする。

監査用ログデータの監査及び管理

監査グループは、定期的に監査を実施し、その結果を Xnet認証局 - G2責任者に報告する。

5.2.2. 業務ごとの必要員数－Number of persons required per task

運用グループ、及び、監査グループの定数を表 2のとおり定める。

24

表 2 定数と業務分離

役割 定員 兼務が禁止される役割

運用責任者 1名 自業務の監査

運用業務オペレータ 2名以上 自業務の監査

監査グループ １名以上 運用責任者、業務オペレータ

5.2.3. 役割ごとの識別と認証－Identification and authentication for each role

認証局設備への入退及び認証局システムへのアクセスは、役割ごとにその可否を設定し、認証局設備への

入退管理及び個人認証に基づく認証局システムへのアクセス制御を行う。

5.2.4. 業務の分離に関する要件－Roles requiring separation of duties

監査グループに所属する監査担当者は、認証業務に対して中立であることが求められるため、運用グルー

プにおける他の役割との兼務を表 2のとおりとする。

5.3. 人事面での管理－Personnel controls

5.3.1. 資格・経験・認可に関する要件－Qualifications, experience, and clearance requirements

本認証局運用グループ、ローカル登録機関（LRA）及び監査グループの各役割には、以下の要件を満足

する人材を当てる。

運用責任者と監査担当者は、本文書並びに派生する諸規程に精通すると共に、企業人として高いモラ

ルを有していなければならない。

業務オペレータは、本文書並びに派生する諸規程のうち、自らの業務に関連する部分に精通していな

ければならない。加えて、システムを運用するために必要な技術に精通していなければならない。

ローカル登録機関管理者は、本文書並びに派生する諸規程に精通すると共に、所定の訓練、教育を

受け知識を習得していなければならない。

5.3.2. 背景審査手続き－Background check procedures

本認証局運用グループ及び監査グループの人選に関する、より具体的な要件は、FX の社内規程で定め

る。

25

5.3.3. 教育に関する要件－Training requirements

本認証局運用グループの担当者の資質を適正に維持するため、Xnet認証局 - G2責任者が内容を審議し

決裁したカリキュラムに基づいて、教育を実施する。カリキュラムは、少なくとも、以下の項目を含まなければ

ならない。

A. 認証局の社会的責任

B. 本文書並びに派生する諸規程の内容

C. 認証業務に関連する技術

5.3.4. 継続教育の頻度と要件－Retraining frequency and requirements

教育は、新任者が選任された時点で新任者に対して実施するほか、定期的に本認証局運用グループの全

ての担当者に対して実施しなければならない。

また、本文書並びに派生する諸規程の内容が改定された場合は、速やかにその差分を運用グループ及び

監査グループのメンバーに通達する。

5.3.5. 業務のローテーションと順序－Job rotation frequency and sequence

規定しない。

5.3.6. 不正行為への制裁－Sanctions for unauthorized actions

規定しない。

5.3.7. 業務委託等に関する要件－Independent contractor requirements

FXの法務担当部門が承認した契約書に基づく。

業務委託等に関する契約書は、少なくとも、守秘義務、業務規則の遵守義務、及び、契約上の義務を遵守

しない場合に損害賠償等の補償の各事項に関する記載を含む。

5.3.8. 要員に提供される文書－Documentation supplied to personnel

規定しない。

5.4. 監査手順－Audit logging procedures 監査グループは、本認証局の運用が信頼に足ることを確認するため、本認証局業務のログ監査を実施す

る。監査ログに記録されるイベントのうち、重要なイベントが発生した場合、監査ログおよびこれに関連する

記録と照合し、誤った操作や不正な作業が行われていないことを確認する。

Xnet 認証局 - G2 責任者および本認証局業務全体に対する適合性監査については、監査グループが定

期的にこれを実施する。また、外部の監査組織が必要と判断した場合には、臨時の適合性監査が行われ

る。

26

5.4.1. 監査ログに記録されるイベント－Types of events recorded

監査ログには、本認証局の業務において発生する種々のイベントのうち、本認証局の運用に重要な影響を

有するイベントが記録される。監査ログに記録されるイベントには、少なくとも以下が含まれる。

本認証局秘密鍵の生成、破棄、及び、利用

本認証局が発行する証明書のライフサイクル管理に関わるイベント

それぞれのイベントに関連付けて、以下の情報を記録する。

イベントの種類

イベントが発生した日時

イベントの結果

イベントの原因（指示、操作者、システム名等）

監査において上記情報と作業指示書、作業記録との照合を行うが、作業指示書や作業記録などの記録文

書は、監査ログに関連するイベントの記録とみなす。

5.4.2. 監査ログを処理する頻度－Frequency of processing log

監査グループは、重要なイベントが発生した場合、監査業務を行う。

5.4.3. 監査ログの保持期間－Retention period for audit log

監査ログの保持手段として、認証局システムの内部記憶装置に保持する手段と、これとは領域が異なるアク

セス制御された記憶媒体に保持する手段とを併用する。

監査ログとして記録の対象となるイベントは、発生の都度、認証局システムの機能を用いて内部記憶装置に

保持される。これを「オンシステムログ」と呼ぶ。更に、システム運用業務オペレータは、表 3 において「オン

システムログの保持期間」にさだめる期間を周期として、監査ログをこれとは領域が異なるアクセス制御され

た記憶媒体に記録する。この監査ログは、前回記録した時点以降において、内部記憶装置に記録された監

査ログを含む。これを「オフシステムログ」と呼ぶ。

オンシステムログ及びオフシステムログの保持期間を表 3に定める。

5.4.4. 監査ログの保護－Protection of audit log

監査ログは、災害、盗難などにより滅失したり、改ざんされたりしないよう、適切な対策を講じる。

5.4.5. 監査ログのバックアップの手順－Audit log backup procedures

監査ログのバックアップは、複数人により互いに作業を確認しながら、相互牽制の下で作業を行う。

バックアップの保持期間を表 3に定める。

27

5.4.6. 監査ログ収集システム－Audit collection system (internal vs. external)

監査ログ収集システムは、認証局システムの一部である。

5.4.7. イベントを引き起こした操作者への通知－Notification to event-causing subject

監査において問題となるイベントを発見した場合、当イベントの原因となったと推定される操作者に通知する

ことなく監査を継続する。

5.4.8. 脆弱性のアセスメント－Vulnerability assessments

監査により認証システムに脆弱性が見当たった場合は、システム及び業務運用面での脆弱性のアセスメント

を行う。

表 3 監査業務に関する時間的制約

業務 時間的制約

監査ログの検査 重要なイベントが発生した場合、手順により定められた日に実施する。

指定日が非稼働日の場合は、最も近い稼動日に実施する。

オンシステムログの保持期間 1 ヶ月以上。

オフシステムログの保持期間 5年間以上。

バックアップの保持期間 5年間以上。

5.5. データのアーカイブ－Records archival 業務オペレータは、以下の用途に供することを目的に、各種データのアーカイブを定期的に作成する。

FX または ALL-FX関連会社の顧客等からの問い合わせやクレームへの対応に際して、遡及調査を

行う際に業務履歴として照会する。

災害・事故等により、本認証局の運用に必要なデータが破壊された場合、その時点で有効な証明書

及び CRLを復旧する。

5.5.1. アーカイブするべき記録の種別－Types of records archived

上記目的を達成するため、少なくとも下記の情報をアーカイブの対象として保存する。

本 CP及び CPS

28

監査ログ

本認証局秘密鍵はアーカイブしない。

5.5.2. アーカイブの保持期間－Retention period for archive

アーカイブは、5.5.1 に定める項目を含むデータを、オンシステムとは領域が異なるアクセス制御された記憶

媒体に記録し、表 4に定める期間これを保持する。

表 4 アーカイブに関する時間的制約

業務 時間的制約

アーカイブの作成 重要なイベントが発生した場合、手順により定められた日に実施する。指定日

が非稼働日の場合は、最も近い稼動日に実施する。

アーカイブの検査 毎年 1回、定期実施する。

アーカイブの保持 発生日から起算して 5年以上とする。

5.5.3. アーカイブの保護－Protection of archive

アーカイブは、災害、盗難などにより滅失したり、改ざんされたりしないよう、適切な対策を講じる。

5.5.4. アーカイブのバックアップの手順－Archive backup procedures

規定しない。

5.5.5. 記録へのタイムスタンプに関する要求－Requirements for time-stamping of records

規定しない。

5.5.6. アーカイブの収集システム－Archive collection system (internal or external)

規定しない。

5.5.7. アーカイブの検証手続き－Procedures to obtain and verify archive information

アーカイブの滅失や改ざんの有無の検査は、表４に定めた基準で実施する。

5.6. 鍵の交換－Key changeover

本認証局秘密鍵の有効期限を越えて有効となるＸｎｅｔ証明書が存在しないように、本認証局秘密鍵の交換

を行う。

29

5.7. 危殆化及び災害からの復旧－Compromise and disaster recovery

5.7.1. 事故及び危殆化を処理する手順－Incident and compromise handling procedures

Xnet認証局 - G2責任者は、事故及び危殆化の事実を確認すると共に、必要な措置を本登録局運用グル

ープに指示する。

5.7.2. 機器、ソフトウェア、或いは、データが危殆化した場合の手順－Computing resources, software, and/or data are corrupted

破壊等の深刻な被害に備えて、認証局システム機器は可能な限り予備、ソフトウェア及びデータはバックア

ップを用意し、機器・ソフトウェア・データが破壊された場合は、バックアップの機器、ソフトウェア、及び、デ

ータ等を使用して速やかに復旧作業を行う。

5.7.3. 認証局秘密鍵が危殆化した場合の手順－Entity private key compromise procedures

本認証局の認証局秘密鍵の危殆化が認識された場合、Xnet認証局 - G2責任者は、危殆化の事実を確認

すると共に、必要な措置を決定する。Xnet認証局 - G2責任者が決定する措置には以下が含まれる。

本認証局の閉鎖と認証業務の停止

認証局秘密鍵の更新

関連する証明書の失効

必要な証明書の新規発行

更に、本認証局秘密鍵が危殆化した事実とそれに対する措置を速やかに開示する。

5.7.4. 災害後の業務継続の能力－Business continuity capabilities after a disaster

予備の機器、及び、バックアップされているソフトウェアとデータとを用いて、可能な限り速やかに業務を再

開する。

5.8. 認証局或いは登録機関の終了－CA or RA termination

本認証局の認証業務の終了は、Xnet認証局 - G2責任者によって決議される。

認証業務の終了の決議に引き続いて、運用グループは以下の作業を行う。

ソフトウェア及びデータのバックアップ

バックアップ及びアーカイブデータの保管

更に、Xnet認証局 - G2責任者は以下を決定する。

バックアップ及びアーカイブの管理、及び、問い合わせやクレームへの対応を行う組織

30

6. 技術的な管理－TECHNICAL SECURITY CONTROLS

6.1. 鍵ペアの生成と設定－Key pair generation and installation

6.1.1. 鍵ペアの生成－Key pair generation

規定しない。

6.1.2. 被発行者への秘密鍵の配送－Private key delivery to subscriber

規定しない。

6.1.3. 認証局への公開鍵の配送－Public key delivery to certificate issuer

規定しない。

6.1.4. 証明書使用者への認証局公開鍵の配送－CA public key delivery to relying parties

規定しない。

6.1.5. 鍵長－Key sizes

規定しない。

6.1.6. 公開鍵パラメータの生成と品質検査－Public key parameters generation and quality checking

規定しない。

6.1.7. 鍵の使用目的－Key usage purposes (as per X.509 v3 key usage field)

規定しない。

6.2. Xnet証明書に関する CRLへの証明生成と検証秘密鍵の保護と暗号モジュールによる管理

－Private Key Protection and Cryptographic Module Engineering Controls

6.2.1. 暗号モジュールの標準と制御－Cryptographic module standards and controls

規定しない。

6.2.2. 秘密鍵の複数人による管理－Private key (n out of m) multi-person control

規定しない。

6.2.3. 秘密鍵の預託－Private key escrow

規定しない。

6.2.4. 秘密鍵のバックアップ－Private key backup

規定しない。

31

6.2.5. 秘密鍵のアーカイブ－Private key archival

規定しない。

6.2.6. 暗号モジュールへの秘密鍵の入出力－Private key transfer into or from a cryptographic module

規定しない。

6.2.7. 暗号モジュール中での秘密鍵の保持－Private key storage on cryptographic module

規定しない。

6.2.8. 秘密鍵を活性化する方法－Method of activating private key

規定しない。

6.2.9. 秘密鍵を非活性化する方法－Method of deactivating private key

規定しない。

6.2.10. 秘密鍵を廃棄する方法－Method of destroying private key

規定しない。

6.2.11. 暗号モジュールの評価－Cryptographic Module Rating

規定しない。

6.3. その他、鍵ペアの管理に関連する事項

－Other aspects of key pair management

6.3.1. 公開鍵のアーカイブ－Public key archival

規定しない。

6.3.2. 証明書と公開鍵ペアの有効期間－Certificate operational periods and key pair usage periods

規定しない。

6.4. アクティベーションデータ－Activation data

6.4.1. アクティベーションデータの生成と設定－Activation data generation and installation

規定しない。

6.4.2. アクティベーションデータの保護－Activation data protection

規定しない。

6.4.3. アクティベーションデータに関する他の規則－Other aspects of activation data

規定しない。

32

6.5. コンピュータセキュリティ管理－Computer security controls

6.5.1. コンピュータセキュリティに関する技術的要件－Specific computer security technical requirements

本認証局の認証業務及びその周辺業務において利用されるコンピュータは、富士ゼロックスのセキュリ

ティ対策に準拠する。

6.5.2. コンピュータセキュリティの評価 Computer security rating

規定しない。

6.6. ライフサイクルに関する技術的制御－Life cycle technical controls

6.6.1. システム開発に関する管理－System development controls

本認証局の認証業務及びその周辺業務のためのシステム開発は、以下の要件を満足する。

ソフトウェア及び機器を導入する際には、開発工程の文書化等、品質管理が十分に行われている製品

を選択する。

機器の購入及び輸送に関しては、信頼できる業者を選択する。

認証業務及びその周辺業務のためのソフトウェア及び機器を他の目的のために利用しない。

本認証局の認証業務及びその周辺業務のためのシステムの維持や更新における作業にも、上記規則を適

用する。

6.6.2. セキュリティマネジメントに関する管理－Security management controls

本認証局システムのコンフィギュレーション、及び、コンフィギュレーションに関する変更・更新は、文書に記

録し、必要な期間保存する。

ソフトウェアのインストールに際しては、製品及びバージョンの確認を行う。

6.6.3. ライフサイクルのセキュリティに関する管理－Life cycle security controls

規定しない。

6.7. ネットワークセキュリティに関する管理－Network security controls

本認証局システムは、ファイアーウォール等により外部から隔離されたネットワーク内に設置する。また、ハ

ードウェア及びソフトウェアの脆弱性に関する最新の情報に常に注意を払い、ソフトウェアのパッチ等、脆弱

性に対する対処を適切に実施する。

6.8. タイムスタンプ－Time-stamping

規定しない。

33

7. 証明書・証明書失効リスト及び OCSPのプロファイル－CERTIFICATE, CRL/ARL, AND OCSP PROFILES

7.1. 証明書のプロファイル－Certificate profile

7.1.1. バージョン番号－Version number(s)

本認証局が発行する証明書は、X.509 v3に準拠する。

7.1.2. 証明書の拡張項目－Certificate extensions

規定しない。

7.1.3. アルゴリズムのオブジェクト識別子－Algorithm object identifiers

本認証局は、以下の識別子で特定されるアルゴリズムに準拠して、証明書への署名を生成する。

sha-2WithRSAEncryption {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1)

11}

7.1.4. 名前の形式－Name forms

本認証局が発行するＸｎｅｔ証明書中の発行者名 (Issuer) 及び被発行者名 (Subject) フィールドに指定さ

れる名前は、X.500 識別名（DN: Distinguished Name）に準拠する。

7.1.5. 名前の制約－Name constraints

規定しない。

7.1.6. CPのオブジェクト識別子－Certificate policy object identifier

本認証局が発行するＸｎｅｔ証明書には、以下の CPのオブジェクト識別子を記載する。

Xnet 証明書に記載する CertificatePolicies 1.3.6.1.4.1.297.1.5.1.19

7.1.7. ポリシー制限拡張の使用－Usage of Policy Constraints extension

規定しない。

7.1.8. ポリシークォリファイアの書式と定義－Policy qualifiers syntax and semantics

規定しない。

7.1.9. クリティカル証明書ポリシー拡張のためのセマンティクスの処理－Processing semantics for the critical Certificate Policies extension

規定しない。

34

7.2. 証明書失効リストのプロファイル－CRL/ARL profile

7.2.1. バージョン番号－Version number(s)

本認証局が発行する証明書失効リストは、X.509 v2に準拠する。

7.2.2. 証明書失効リスト及び証明書失効リストの拡張項目－CRL/ARL and CRL/ARL entry extensions

規定しない

7.3. OCSPプロファイル－OCSP profile

本認証局では、OCSPによる証明書ステータスの参照サービスを提供しない。

7.3.1. バージョン番号－Version number(s)

規定しない。

7.3.2. OCSP拡張項目－OCSP extensions

規定しない。

35

8. 証明書ポリシー及び認証実施規程への適合性監査及びその他の評

価

－COMPLIANCE AUDIT AND OTHER ASSESSMENTS

8.1. 評価の頻度と環境－Frequency or circumstances of assessment

本認証局における認証業務とその周辺業務が本文書に定める CP 及び CPS に準拠し適合しているか否か

の評価を、以下のタイミングで行う。

年一度の定期

本認証局の認証業務において重大な違反が発見された時点

その他、Xnet運用責任者が必要と認めた時点

本認証局の発行局の適合性監査は発行局 CPSにて定める監査を持って代用する。

8.2. 評価実行者の識別或いは資格－Identity/qualifications of assessor 本認証局が定める監査グループの監査担当者が適合性監査を実施する。

8.3. 評価実行者と評価項目との関係－Assessor’s relationship to assessed entity 監査担当者は、本文書に規定される認証業務のうち、監査業務を除いた全ての業務から独立している。

8.4. 評価項目－Topics covered by assessment

本文書に規定される認証業務のうち、監査業務を除いた全ての業務を評価の対象とする。

8.5. 違反が発見された場合の対応－Actions taken as a result of deficiency 監査担当者は、適合性監査の結果を Xnet認証局 - G2責任者に報告する。

Xnet認証局 - G2責任者は、監査担当者による適合性監査の報告を検討し、CP或いはCPSに対する違反

が発見された場合は、即座に違反を是正するための措置をとる。

Xnet認証局 - G2責任者は、違反に対する対策の一環として、以下の措置をとることがある。

本認証局の閉鎖

認証業務の一部或いは全部の有期或いは無期停止

Xnet認証局 - G2責任者による責任者或いは担当者への事情聴取

責任者或いは担当者の任用変更

第三者から構成される調査委員会による調査

36

8.6. 評価結果の報告－Communication of results 監査担当者は、評価結果を文書化し、Xnet認証局 - G2責任者に提出する。監査担当者による報告は、余

人を介さず、直接に行われる。

報告書を受理すると、Xnet認証局 - G2責任者は、報告書の内容を検討する。

検討の結果、CP及び CPSに適合していると判断した場合、報告書を承認する。

CP或いは CPSに対する違反が発見された場合は、Xnet認証局 G2責任者は是正措置を検討し、指示す

る。

事態が緊急を要する場合には、Xnet 認証局 - G2 責任者は、暫定的措置の実施を命令することができる。

この場合でも、最終的な対応措置は Xnet認証局 G2責任者による決議を必要とする。

37

9. その他、ビジネス及び法律に関わる事項

－OTHER BUSINESS AND LEGAL MATTERS

9.1. 料金－Fees

規定しない。

9.2. 経済的な責任－Financial responsibility 規定しない。

9.3. ビジネス情報の機密性－Confidentiality of business information9.3.1. 機密情報の範囲－Scope of confidential information

規定しない。

9.3.2. 機密情報に分類されない情報－Information not within the scope of confidential information

規定しない。

9.3.3. 機密情報の保護に関する責任－Responsibility to protect confidential information

規定しない。

9.4. 個人情報の保護－Privacy of personal information

本認証局は、FX のプライバシーポリシー（以下に URL を記載）に基づいて、個人証明書またはサービス証

明書申請時に収集した個人情報は、同プライバシーポリシーに反することなく申請者の確認または証明書

の発行等認証局の証明書発行管理業務に必要な範囲で利用する。

富士ゼロックス株式会社プライバシーポリシー

http://www.fujixerox.co.jp/common/privacy_policy/

9.5. 知的財産権－Intellectual property rights 規定しない。

9.6. 意思表示と保証－Representations and warranties

9.6.1. 認証局による意思表示と保証－CA representations and warranties 規定しない。

9.6.2. 登録機関による意思表示と保証－RA representations and warranties

規定しない。

38

9.6.3. 被発行者による意思表示と保証－Subscriber representations and warranties

規定しない。

9.6.4. 証明書利用者による意思表示と保証－Relying party representations and warranties

規定しない。

9.6.5. 他の参加者による意思表示の保証－Representations and warranties of other participants

規定しない。

9.7. 保証の拒否－Disclaimers of warranties 規定しない。

9.8. 責任制限－Limitations of liability

規定しない。

9.9. 賠償－Indemnities

規定しない。

9.10. 本文書の有効期間と終了－Term and termination

9.10.1. 有効期間－Term

本 CP及び CPSは、本認証局の Xnet認証局 - G2責任者の承認をもって有効となる。

9.10.2. 終了－Termination

本 CP及び CPSは、本認証局がサービスの提供を停止し且つ発行済証明書の有効期限が終了した時点で

無効となる。

9.10.3. 終了及び終了猶予の効果－Effect of termination and survival

規定しない。

9.11. Individual notices and communications with participants 本認証局は、証明書利用者に対し必要な通知はホームページ、書面または電子メールにて行う。

9.12. 本文書の改定－Amendments

9.12.1. 改定のための手続き－Procedure for amendment

Xnet認証局 - G2責任者は、本文書を改訂する権限を有する。

本 CP及び CPS は、改訂された文書を Xnet認証局 - G2責任者が承認した後 FXCAP委員会の確認を経

て、「2.2 認証情報の公開」で定める手段により公開された時点をもって改訂内容を有効とする。

39

9.12.2. 改定の通知－Notification mechanism and period

改定された文書を「2.2 認証情報の公開」で定める手段により公開することで関係者に対しての告知とする。

但し、改定内容が既存の設置先に重大な影響を及ぼすと判断された場合には、9．１１．の定める手段によ

って事前に通知することを妨げない。

9.12.3. オブジェクト識別子を変更すべき状況－Circumstances under which OID must be changed

規定しない。

9.13. 紛争の解決手段－Dispute resolution provisions

規定しない。

9.14. 準拠法－Governing law 規定しない。

9.15. 法律への準拠－Compliance with applicable law

規定しない。

9.16. その他の要項－Miscellaneous provisions

9.16.1. 契約一般－Entire agreement

規定しない。

9.16.2. 役割－Assignment

規定しない。

9.16.3. 分離可能性－Severability

規定しない。

9.16.4. 遵守（弁護費用及び権利の放棄）－Enforcement (attorneys’ fees and waiver of rights)

規定しない。

9.16.5. 不可抗力－Force Majeure

規定しない。

9.17. その他の条項－Other provisions 規定しない。