ナレッジ
認証局向けWebTrustバージョンアップ(2019年発行分より適用)
WebTrustのバージョンアップ概要
ブラウザでWebページを閲覧する際に利用するSSL暗号化通信技術により電子証明書は広く利用されてきました。その他にも、個人が利用するマイナンバーカードや、組織が行う税の電子申告や登記についても電子証明書は広く利用されています。これら電子証明書を発行する組織である認証局の運営に対して、保証業務の規準であるWebTrustがバージョンアップされました。2019年に発行されるWebTrust報告書では、バージョンアップ後の規準を適用することが求められています。本稿では、WebTrustのバージョンアップの概要を解説していきます。
1. WebTrustとは
WebTrustとは、AICPA(米国公認会計士協会)とCPA Canada(カナダ勅許職業会計士協会)によって共同開発された、電子商取引システムについて実施される保証業務の規準で、現在はCPA Canadaが運営しています。
日本ではJICPA(日本公認会計士協会)がCPA Canadaとライセンス契約を行っており、JICPAとサブライセンス契約を結んだ監査法人だけが、このWebTrustによる保証業務を行うことができます。監査法人による検証を実施した結果、規準に準拠していることが確認された場合、組織のウェブサイトにWebTrustのロゴを掲載することができます。そのロゴのリンク先は、WebTrustのウェブサイトに繋がっており、監査法人による報告書等が掲載されます。
2. WebTrustの規準の種類
WebTrustには、目的や発行する電子証明書等に応じて複数の規準があります。下表は主なWebTrustの報告書の規準です。
これまでのCAを対象としていた規準に加え、新たに登録局(RA)向けのWebTrustの規準として、WebTrust for Registration Authoritiesがリリースされました。
下表に記載の通り、認証を取得、継続するために検証対象期間の開始日が2019年6月以降の報告書については、新バージョンのWebTrust規準を適用していく必要があります。
3. 規準のバージョンアップ概要解説
上記の通り、2019年6月以降が検証期間となる報告書を対象に、WTCA、WTEV、WTBRにバージョンアップが予定されています。以下、それぞれの変更点の概要を解説していきます。なお、詳細について、WTCAはWebTrustのウェブサイト(外部サイト)、WTEVやWTBRについてはCA Browser Forumのウェブサイト(外部サイト)を参考にしてください。
3.1.WebTrust for Certification Authorities
WTCAは、ISO 21188:2018 Edition(Public key infrastructure for financial services — Practices and policy framework)に準拠するために2.1から2.2へマイナーバージョンアップが行われました。
3.2.WebTrust Principles and Criteria for Certification Authorities – Extended Validation SSL
WTEV1.6.8は、2017年にリリースされた1.6.2からのバージョンアップです。
変更点は大きく2つあります。1点目はこれまでCP、CPSはRFC2527、RFC3647いずれかの基準に沿って作成されることが求められてきましたが、RFC2527の廃止に伴い、RFC3647に従うことが求められるようになった点。そのため、CPやCPSをRFC2527に基づき作成している場合は見直しの検討が必要となります。
2点目はSSL Baseline Requiermentsにおいて失効基準が更新されたことに伴う変更です。こちらについては3.3②WTBR2.4への更新にて詳細を説明します。
3.3.WebTrust Principles and Criteria for Certification Authorities – SSL Baseline with Network Security
WTBRは旧バージョンの2.2から2.3、2.4、2.4.1と、3段階のバージョンアップが行われました。2.3、2.4へのバージョンアップはそれぞれ大幅な変更が行われています。2.4.1へは表記更新等のマイナーバージョンアップです。大幅な変更があった2.3、2.4への更新内容について、以下に説明します。
① WTBR2.3への更新
WTBR2.2から2.3への変更点は下表の通りです。
② WTBR2.4への更新
WTBR2.3から2.4への変更点は下表の通りです。
4.WebTrust for Registration Authoritiesの概要解説
2019年にリリースされたWebTrust for Registration Authoritiesは、外部委託されたRAにおける統制の妥当性及び有効性を評価するためのフレームワークです。
CAはRA機能を外部委託する場合、WebTrustの認証局の原則に準拠し、監視活動を通じて外部委託されたRAがCAの関連規定に準拠していることを確認する必要があります。
なお、詳細はCPA Canadaのウェブサイト
(外部サイト)を参考にしてください。
