"目的/項番","確認項目","結果(OK/NG)"
"鍵の生成は、適切な方法、パラメータを用いて行わなければならない。",,
"1","ZSK の鍵長は 1024 ビット以上である",
"2","KSK の鍵長は 2048 ビット以上である",
"3","署名アルゴリズムとして、RSA/SHA-256 または RSA/SHA-512 を使用している",
"4","鍵の生成には、RFC 4086 または NIST SP 800-90 に準拠した乱数生成器等で発生させた安全な乱数を使用している",
"5","使用している署名アルゴリズム、OS、ライブラリ等に脆弱性は見つかっていない",
"外部から鍵へ不正なアクセス(読み取り、利用、生成、更新)が行われないよう、対策が講じられていなければならない ",,
"6","外部からの不正なアクセスが行えないよう、ゾーンファイルへの署名操作および署名されるゾーンファイルのマスターコピーの保管をオフライン環境に限定するなど、対策が施されている",
"内部から鍵へ不正なアクセスが行われないよう、対策が講じられていなければならない",,
"7","内部からの鍵へのアクセスは権限を有する管理者のみに限定するなど、対策が施されている",
"8","KSK 秘密鍵は、暗号化を施したリムーバルメディア等へ保存するか、HSM等を使用するなど、物理的に保護されている",,
"9","KSK の生成および利用には、複数人の立会いを必須としている",
"鍵の管理・利用は、適切な方法で行わなければならない",,
"10","複数ゾーンの署名に同一の ZSK を使用しないこと",
"11","KSK の更新間隔は 1 年程度である",
"12","ZSK の更新間隔は 1 ヶ月程度である",
"13","鍵の更新手順は、「RFC  4641  bis」の「4.1  鍵のロールオーバー」に基づいている。また、更新手順は明確に文書化されている。",
"鍵の危殆化もしくは破損時の対策および対応方法を、あらかじめ定めておかなければならない",,
"14","鍵のバックアップメディアは、元の鍵と同等またはそれ以上のセキュリティ対策を行った上で、保存性と回復手順を考慮した形で管理・保管されている",
"15","鍵危殆化時の鍵更新手順をはじめとした対応手順は、「RFC 4641 bis」の「4.2  鍵の緊急ロールオーバー」に基づいている。また、更新手順は明確に文書化されている。",
"適切な運用がなされているか、定期的に監査を行わなければならない",,
"16","鍵の管理・利用が定められた手順にしたがって行われていることを後日確認できるように、監査ログを残すなど適切な対応を行っている。また、定期的に監査を実施している。",
"17","鍵の生成・更新等の各作業手順は明確に文書化され、担当者に周知されている",
"18","使用している署名アルゴリズム、鍵長、OS、ライブラリ等に脆弱性が見つかっていないか、定期的に確認を行っている",