お勉強 y-s

2015年春の情報セキュリティスペシャリスト午後2設問4(2)について考察してみた

アイテックとTACの回答例が割れていたので、
どうなんだろうと思ってちょっと調べてみた。

自分もよくわからなかった部分なので、
ここに書いてある内容が正しくない可能性は大いにあります。
というか、わからないから調べた結果をまとめてみた程度のもんです。

問題はIPAのサイト上に。

IPA 独立行政法人 情報処理推進機構:問題冊子・配点割合・解答例・採点講評(2015、平成27年)

アイテックの回答例はこちらから

解答速報・自動採点サービス|株式会社アイテック|IT技術者資格試験取得・IT人材育成

TACの回答例はこちらから

情報処理|解答速報| 資格の学校TAC[タック]

まずは問題概要

問題の表8の中の穴埋め問題。

K工場(RA)
J社本社(IA)
協力会社

の3つから該当するものを選んで当て込む。
表8は「証明書の発行及び利用に関する役割分担」という表です。

証明書の発行申し込みをしてから、証明書が発行されるまでの流れの中で、
どこがどういう役割になるかを記載した表ですが、
役割に対して責任を持つ組織の烈が一部穴埋めになっていて、
そこに該当するのは上記3つのうちどれかを書く問題です。

登録局とは

セキュリティ用語事典:RA(Registration Authority) – @IT

この問題ではK工場が登録局に設定されています。

上記の記事内では

電子証明書申請者の本人性を審査・確認し、主として登録業務を行う機関。登録局ともいう。RAは本人性(間違いなく本人であること)に責任を負うが、証明書に署名したり、証明書を発行したりはしない。認証機関の信頼性向上のため、相互確認・相互監査を目的として登録機関運用管理担当者は複数人体制を取ることが望まれる。

と記載があります。

ここから読み取ると、

  • 本人性の審査・確認
  • 登録業務

が登録局の行うことみたいです。うーん、どういうことだろう。

さらに下を読むと

 登録機関(RA)は、利用者から証明書発行の申請書を受理した場合、認証機関が定める証明書申請手続きの規定に基づき、証明書を発行する前提条件として、すべての審査を実施し、以下の確認を行わなければならない。

1.証明書申請者が、申請書中で特定された人物と同一であることの確認
2.証明書申請者が、証明書に含まれる公開鍵に対応する秘密鍵を適法に所持していることの確認
3.証明書中に列記される情報が正確であることの確認
4.代理人が証明書申請者の公開鍵を記載する証明書(クライアント証明書を法人が一括して申し込む場合など)を申請する場合において、代理人が申請を行う正当な権限を有していることの確認

とあります。

ちょうど発行の話なのでこのへんが今回の問題に参考になるかも?

発行局とは

セキュリティ用語事典:IA(Issuing Authority) – @IT

こちらによると

証明書の発行、中断、廃棄などを主として行う証明機関や組織のこと。構成としては認証局(CA)の機能を分割し、RA(Registration Authority)と呼ばれる登録および証明書の発行要求をする部分と、実際に証明書を発行するといったIAの機能に分割される。企業でPKIを導入する場合、CAを構築する必要があるが、この機能を自前でそろえるのではなく、CA構築から運用面までをアウトソースすることで、PKI導入のスピードアップや、管理・運用までの教育や運用面でコスト削減が見込めるため、RAのみを企業で管理し、IAはアウトソースする形態が増えてきている。

とのこと。

うーん、CAのうちRAが行わないことがIAのやること、ぐらいの認識?

登録局と発行局の役割の違い

これだけだとよくわからないので他のところもちょっと参考にしてみました。

認証局のウラ側教えます! – GMOインターネット株式会社

IAの前段には登録局(RA)が位置します。RAは、IAに対するリクエストをフィルタする役割があります。実際には、認証局に証明書の発行、証明書の失効といった依頼があったときに、RAはその内容を精査し、発行、失効のリクエストをIAに送る、送らないを制御します。

とのこと。
うーん、やはりRAが大部分の機能を行って、
IAは発行、失効の部分だけ行う、という感じなのでしょうか。

他のところを見ても、
IAはRAが許可したもののリクエストを受けて発行・失効を行う
みたいなことを書いてあるので、
そんなに誤った理解でもなさそうです。

そう思って探してみたら中々参考になりそうなものが。

公開鍵暗号基盤 一般財団法人日本情報経済社会推進協会 電子署名・認証センター

 認証局のうち「登録局(RA局)」は、秘密鍵と公開鍵が対となっていること確認するとともに、鍵ペアの所有者の身元を確認し、「発行局(IA局)」に、電子証明書の発行を依頼します。発行局は、登録局の依頼に基づき、公開鍵の所有者であることを保証した「電子証明書」を発行します。発行された電子証明書は、認証局(発行局)の秘密鍵電子署名され、認証局が発行した電子証明書であることを保証しています。また、認証局電子証明書を無効化する機能も担っています。電子証明書を無効化することを「失効(Revoke)」と呼び、「無効化された電子証明書」の一覧表(CRL:Certificate Revocation List)をリポジトリへ公開する役割も担っています。

との記載が。

その他、上記ページの図を見ると、
IAがCRLを発行してたりするのも見て取れます。

つまり、ここまでの情報を踏まえると

RA(登録局)IA(発行局)
IAへの証明書発行依頼RAの発行依頼を受けて証明書発行
証明書発行時の審査CRLの発行

こんな感じでしょうか。
漏れてないかな…。

さて、問題では

空欄となっているのが

  1. 証明書で証明するSubject(識別名)の一意性の確保)(h)
  2. 証明書の発行可否の判断(i)
  3. 証明書の発行者としてディジタル署名の付与(j)
  4. Kサーバへアクセスしてきた接続端末が提示した証明書の有効性検証(k)
  5. CRLの発行(l)

の5つです。

hについては、証明書の内容についての話なのでRA(K工場)

iについても、ここまでの情報を踏まえると審査を行って判断するのはRA(K工場)と思われます。
アイテックはJ社本社、TACはK工場としていましたが、
俺の調べた限りだとどうやらTACが正しそうです。

jについては、「発行局の秘密鍵電子署名され~」とのことなのでIA(J社本社)でしょう。

kについては、うーん、正直明確に根拠を持って説明できません。
ただ、発行局の役割は発行/失効なので、そう考えると登録局の役割、
と考えるのが自然なんでしょうか。
そうだとするならRA(K工場)です。
ここはアイテックもTACも答えが割れていませんでした。
調べてもこの部分をRAなのかIAなのかに分けて記載しているところが見つけられず。
今ひとつ釈然としません。

iについては、CRLの発行は登録局の役割なのでIA(J社本社)でしょう。

つまり、結果としてはTACの出しているKKJKJが正解になりそうです。

というわけで、自分の答えは適当にやってKJJKKだったので、
3/5という結果です。
そういうことになるとアイテックの配点予想での想定得点がもう少し下がりますね。
うーん、不安。

午前2の初見の単語は要チェック?

そういえば午前2の問題でVAという聞きなれない単語が出てきましたが、
そのあたりから「今日はPKI関連の問題が来る」と予想できたかもしれませんね。
今にして思えば、ですけど。

※2015/06/12追記

公式回答出ました。

IPA 独立行政法人 情報処理推進機構:問題冊子・配点割合・解答例・採点講評(2015、平成27年)

やっぱり上記の通りKKJKJであってるみたいですね。
4. Kサーバへアクセスしてきた接続端末が提示した証明書の有効性検証(k)のところがよくわからなかったので、そこのところどなたかの解説を聞きたいところです。

コメントを残す

RECOMMENDこちらの記事も人気です。