審査のポイント(JCAN認証局の電子証明書取扱業務の場合)

審査のポイントについて

JIPDECトラステッドサービス登録の電子証明書取扱業務(JCAN認証局の場合)の審査ポイントについて、ご紹介します。
審査を受ける際に、ご参考にしてください。

  • 電子証明書取扱業務の審査は認証局によっても審査内容が異なります。
    ここではJCAN認証局の審査についてポイントをご説明いたします。

  • 現地審査の前に、提出いただく書類が3種類あります。
    申請書、教育実施記録、内部監査実施記録です。
    申請書は体制表も含まれていますので、3つの役割にそれぞれ名前を記入のうえご提出ください。
    教育実施記録は業務に従事する方がすべて記載されているものをご提出ください。
    内部監査実施記録は、あらかじめ内部監査の内容をお渡ししますので、その内容に沿って実施してください。その内部監査の実施⽇と内部監査責任者によって作成されたことを署名または印字で記載いただいたものをご提出ください。

  • 現地審査は2名で伺う予定です。長くても2時間で終了する内容です。審査受け入れ準備ができていれば、1日で終了します。また、現地審査後に、別途問い合わせることがあります。

  • 施設や設備の審査内容として、入退室管理状況をチェックします。たとえば、入退室管理装置はどのようなものを使っているか、警備員がいるか、監視カメラがあるかを確認します。
    電子証明書取扱業務の専用PCが、のぞき見防止シールが貼られているか、座席の背後スペースがあるかを確認します。

  • 専用PCがどのような盗難防止措置をとられているか確認します。例えばデスクトップの場合は、ワイヤーロック、ノートPCの場合は、収納時のキャビネットが施錠されているか、などです。
    また、端末の品名や型番、OS等の情報も確認いたします。

  • ウイルス対策ソフトは、スキャン設定が定期的に実施されるか、リアルタイム検索か、また最新パターンファイルが適用済みか確認します。またファイアウォールの設定を確認します。

  • 操作者を特定できるようにOSのログインIDが設定されているか、アカウントが共用になっていないか確認します。

  • アプリケーションのインストール状況を確認します。 メールソフトがインストールされているか、インストールされていても設定がされていないことを確認します。 オンラインストレージやリモート操作ができるソフトなど、電子証明書取扱業務専用のPCとして不要なソフトウェアがインストールされていないか確認します。 各ブラウザのインストール状況も確認しますが、ブラウザのスタートページが証明書発行ページか空白ページであることを確認します。

  • USBトークン等のアクセス認証用証明書の管理状況を確認します。具体的には保管場所や保管方法を確認します。 アクセス認証用証明書を使用する操作者が複数人いる場合は、OSのログインIDを個々に設定しているか、また操作者ごとのUSBトークンを管理しているか、記録台帳で管理しているかなど、操作者が特定できるか確認します。 また、アクセス認証用証明書とその利用パスワードは、セキュアな異なる場所で保管されているか、保管媒体や保管場所などを確認します。

  • 電子証明書の発行手順が適切に行われているか、確認します。 具体的には同意書や本人確認資料の取得手段を確認します。 また、利用者情報の記録先、電子証明書とインストール用パスワードの利用者への配付方法も確認します。 そして電子証明書の発行手続きが発行手続き担当者と発行確認者の2名以上で実施され、発行確認がどんな方法で、どれぐらいの頻度で行われているか、確認します。

  • 電子証明書のインストール用パスワードを生成した場合、どのようなパスワード生成方法を使って安全な疑似乱数を使用して生成されているか、どうやって安全性を確認したか、確認します。 インストール用パスワードは電子証明書と別手段で配付しているか、配付形式や配付先、配付方法などセキュアに利用者に配付しているか確認します。

  • 電子証明書の失効実績を確認します。電子証明書を失効させたとき、失行の理由が利用者からの申し出による失効か、電子証明書発行情報の誤り等による認証局事由に基づく失効か確認します。 そして電子証明書の失効が必要になったときに速やかに失効が行われているか確認します。 また失効後に利用者へ通知しているか、その際の通知手段及びその手順について確認します。 このように、電子証明書の失行手順が適切に行われているか確認します。

  • 電子証明書利用についての同意文を、文面含めて確認します。利用者の同意が、電子証明書の発行前に得られているか確認します。 また、同意の記録を保管しているか、保管媒体含めて確認します。 利用者の同意を得ないと、電子証明書が発行できないシステムであるか確認します。

  • 同意文には利用者の義務が記載されているか確認します。 具体的には、電子証明書を利用する上で、重要事項を示したものになります。その重要事項に同意し、電子証明書を利用することを確認します。 利用者の義務の内容については、事前に情報提供いたします。

  • 電子証明書に記載される利用者情報が管理台帳に記録されているか、確認します。その際、記録先や発行対象の属性、電子証明書の記載ルールであるSubjectの内容(例えばOU2やCN、メールアドレスなど)について確認します。 また、上記とあわせて電子証明書と本人確認資料が紐づくように管理されていること、電子証明書の記載内容の唯一性が保証されているか確認します。

  • 同意書や管理台帳、本人確認資料等を、電子証明書の有効期限切れ後(または失効後)7年保持しているか確認します。 またそれらの資料を信頼性のある方法で保持しているか、保管場所も含めて確認します。

  • 体制表の要員及び業務関係者への教育が年1回以上行われているか確認します。途中で新任の方が赴任された場合もその方に対して教育が行われているか確認します。 上記教育を受講された出席者の氏名が教育記録に記載されているか確認します。 また、体制表において、電子証明書取扱業務の責任者、操作責任者、内部監査責任者の情報が記入されており、それぞれ重複していないか確認します。

  • 利用者に必要な情報を周知しているか、その連絡手段を確保しているか確認します。 本人確認資料を日付や利用者ごとに管理または文字列検索することができるかなど、どのような検索性が確保されているか、確認します。 内部監査を実施した記録については指摘内容や是正措置を確認します。

最後に

  • 初回の審査は難しく感じるかもしれませんが、これらの審査を受けている、たくさんの組織が実際に登録を受けています。
  • ご不明な点がありましたら、いつでもご連絡ください。

関連リンク

JIPDECトラステッド・サービス登録(電子証明書取扱業務)

関連リンク

JIPDECトラステッドサービスについて
問い合わせ

お問合せはこちら

ページの先頭へ戻る