監査法人等が行うIT関連の保証業務として、過去日本においてIT2号報告書として、米国で言うSOC3と一緒のカテゴリー(広く一般向けの報告)として扱われていたWebTrust報告書についても、解説しておきます。
WebTrustとは、CPA Canada(カナダ勅許職業会計士協会)が管理するWebTrust シールプログラムのことを指しますが、電子商取引を行う手段としてのインターネットに対する消費者の信頼を高め、また、公開鍵基盤(PKI)を利用したアプリケーションに対する消費者の信頼を高めるために構築されたものです。もともと、米国公認会計士協会とカナダ勅許会計士協会(当時のCICA)によって開発された国際的な電子商取引認証局の検証プログラムであり、現在はCICAの後継団体であるCPA CanadaがWebTrustの規準改訂とシールの発行を行っています(詳しくはこちら)。
このプログラムにおいて、SSL証明書などの電子証明書を発行する認証局は、毎年、監査法人の監査を受け、問題がなければ、その保証報告書をCPA Canadaへのサーバーへ掲載します。認証局のウェブサイトに行くと、WebTrustシールが貼られており、そのリンクをたどっていくと、CPA Canadaに掲載された報告書が閲覧できる仕組みになっています。
認証局が、その保証報告書をブラウザベンダーに報告することによって、ブラウザベンダーが提供する各種ブラウザーソフトで、その認証局が発行したSSL証明書等が有効な証明書として認識され、インターネット上での暗号通信が、アラートが発生することなく行われる仕組みになっています。
WebTrust保証業務のスキーム
なお、上記のスキームに関して、ブラウザベンダー側が定めたルールとして、Root Store Policyがあります。その中で、認証局に毎年の監査を要求していますが、その監査プログラムとして、WebTrustの監査プログラムと、欧州電気通信標準協会(ETSI)の監査プログラムが認められています。
また、Root Store Policyに基づくスキームに類似したもので、Adobe Approved Trust List (AATL)プログラムがあります。このプログラムでは、Adobeが提供するアプリケーションにおいて、監査が行われた認証局が発行する証明書を信頼するように設定することで、アプリケーション上で行われる電子署名が信頼される仕組みになっています。
AATLプログラムにおいても、WebTrustの監査プログラムと、欧州電気通信標準協会(ETSI)の監査プログラムなどが、監査プログラムとして認められています。