ITパスポート 令和7年度 問87：securityに関する問題

答えは c「有効期間内に失効している」 です。

デジタル証明書は、ネット上で「この相手は本物ですよ」と保証する“電子的な身分証”です。CRLは、その中で「もう信用しないでね」と無効にされた証明書のブラックリストのこと。

たとえば、まだ使える期限が残っているのに会員カードを紛失して止めてもらう（無効化する）ようなイメージ。期限切れでなく、“期限内なのに途中で止められた”ものがリストに載ります。

👉 覚え方：CRL＝「失効（取り消し）リスト」。期限切れではなく“途中で取り消し”。

ほかの選択肢：a 期限切れ／b 無期限／d 期限延長＝いずれも「失効リスト」に載る条件ではありません。

なぜこれが正解か

正解は c。CRL（Certificate Revocation List、証明書失効リスト）は、PKIにおいて有効期間内であるにもかかわらず失効（無効化）されたデジタル証明書を一覧化したもの。秘密鍵の漏えいや所属変更などで信頼できなくなった証明書を、期限到来を待たずに無効と知らせる仕組み。

各選択肢の解説

• a 有効期間が満了：期限切れは証明書自体が無効になるので、わざわざ失効リストに載せる必要がない。
• b 有効期間が無期限：通常、証明書には有効期間があり「無期限」は前提が誤り。
• d 有効期間を延長：証明書の期間は延長できず、CRL掲載条件とも無関係。

覚え方・ひっかけ注意

ポイントは「期間内なのに使えなくする＝失効」。期限切れ（満了）と失効（途中の取り消し）は別物。aの“期間満了”は最も紛らわしいひっかけなので、「CRLは期限前に取り消したもの」と覚える。

理論的背景

PKI（Public Key Infrastructure：公開鍵基盤）のCRL（Certificate Revocation List：証明書失効リスト）は「有効期間内に失効したデジタル証明書のシリアル番号一覧」を公開したリストであり、正解はcの「有効期間内に失効している」条件が掲載される。

CRLが必要な理由と技術的背景を詳述する。デジタル証明書（X.509）には有効期限が設定されているが、有効期限前に証明書を無効化しなければならない状況が発生する。主要な失効理由：秘密鍵の漏洩・盗難（KeyCompromise）・証明書の登録情報の変更（従業員退職・組織名変更等）・CA（認証局）自身の秘密鍵漏洩（CAAffiliation Changed）・証明書の誤発行（AffiliationChanged / Superseded）・組織の解散（cessationOfOperation）・証明書の一時保留（CertificateHold）など。

有効期限が満了した証明書（選択肢a）はCRLに掲載されない。なぜなら、期限切れ証明書はシステムが自動的に検証失敗として処理するため、CRLへの掲載は不要だからである。有効期間が無期限の証明書（選択肢b）は現実には存在しない（PKIの設計上、全証明書に有効期限が設定される）。有効期間を延長している証明書（選択肢d）という概念も存在しない（証明書の更新は新規発行であり延長ではない）。

実務での使われ方

CRLの運用とOCSP（Online Certificate Status Protocol）はWebサービスのTLS証明書管理において重要な実務知識である。

CRLの実運用上の課題：CRLファイルのサイズが大きくなりうる（大規模CAでは数MB以上）、定期更新（通常24〜48時間ごと）のため最新の失効情報を即座に反映できない、クライアントがCRL配布ポイント（CDP）にアクセスできない環境ではチェックを省略するリスク等の課題がある。OCSP（Online Certificate Status Protocol）：CRLの課題を解決するためにRFC 2560で定義されたプロトコル。個々の証明書のシリアル番号をOCSPレスポンダーに問い合わせ、リアルタイムで有効性を確認できる。OCSP Stapling：TLSハンドシェイク時にサーバが予め取得したOCSPレスポンスをクライアントに提示し、クライアントが個別にOCSPサーバへ問い合わせる手間を省く最適化技術。現代のWebサーバ（Nginx・Apache・IIS）が標準対応している。

Let's Encryptの普及：無料のTLS証明書発行サービスであるLet's Encryptは90日有効期限の証明書をACMEプロトコルで自動更新するため、期限切れによるサービス停止事故を大幅に削減している。2024年時点でWebサイトの半数以上がLet's Encrypt証明書を使用している。

試験での位置づけ

PKI・デジタル証明書・CRLはITパスポートのセキュリティ分野で頻出の重要概念群であり、CRLの掲載条件（有効期間内の失効）という本問の問いは特に差がつく問題である。「有効期限が切れた証明書はCRLに掲載されない（そもそも使えないから不要）」という論理を理解していれば選択肢aと正解cを明確に区別できる。選択肢bの「有効期間無期限」は実際には存在しないため、知識として否定できる。選択肢dの「有効期間の延長」も証明書の仕組み上存在しない（新規発行・更新が正しい手順）。

基本情報技術者試験ではCRLとOCSPの比較・X.509証明書の構造（Subject・Issuer・Serial Number・Validity・Public Key・Extensions）・PKIの信頼モデル（階層型CA・クロスCAモデル・Webトラストモデル）・証明書チェーン（中間CA・ルートCA）の検証手順まで問われる。情報処理安全確保支援士試験ではCTログ（Certificate Transparency Log）・CAB Forumの規定（ブラウザとCAの業界規格）・クアンタムセーフ暗号（耐量子暗号：CRYSTALS-Kyber等）への移行まで問われる最先端の知識領域が含まれる。

選択肢の発展補足

選択肢aの「有効期限が満了している」証明書はCRLに登録不要の理由をより深く説明する。TLSハンドシェイクで証明書を受け取ったクライアントは、まず証明書の有効期限を確認し、期限切れの場合は即座に接続を拒否する。この処理はCRLやOCSPの確認より前に実行されるため、期限切れ証明書をCRLに掲載しても意味がない。大規模CAのCRLを軽量化するため、失効しても有効期限が近い証明書はCRLに登録しないCA運用ポリシーも存在する。有効期限の設計思想として、長い有効期限（数年）は失効処理の重要性を高め、短い有効期限（90日・Let's Encrypt）は失効機能への依存を減らすというトレードオフがある。業界トレンドとしては証明書の有効期限短縮（90日→47日、Apple提案では2025年以降段階的短縮）が進んでおり、自動更新（ACMEプロトコル・Certbot）の普及がこのトレンドを支えている。