Chromeの証明書信頼停止問題、監察院がデジタル発展部と中華電信に改善を要求
Google Chromeが中華電信の発行するTLSウェブサイト証明書の信頼を停止することを決定した問題について、監察院は、デジタル発展部のリスク認識や監理強度、制度設計に検討の必要があり、中華電信の証明書管理と合規作業も改善すべきであるとの見解を示しました。
📋 記事の処理履歴
- 📰 発表: 2026年4月14日 19:08
- 🔍 収集: 2026年4月14日 19:31(発表から23分後)
- 🤖 AI分析完了: 2026年4月19日 14:28(収集から114時間56分後)
中央訊息
(中央社記者高華謙台北14日電)Google Chromeが昨年、中華電信が2025年7月31日以降に発行するTLSウェブサイト新証明書のデフォルトの信頼を停止することを決定し、注目を集めました。監察院は、デジタル発展部(数發部)が事後に補完措置を講じたものの、リスク認識、監理の強度、および制度設計などの面で依然として検討・改善の必要があり、中華電信の証明書管理および合規(コンプライアンス)作業も改善が待たれると表明しました。
監察委員の頼鼎銘氏と葉宜津氏は本日、プレスリリースを通じて、令和114年(2025年)5月に中華電信が運営する政府サーバー電子証明書管理センター(GTLSCA)の証明書がGoogle Chromeによって信頼を取り消されるとの情報が伝わったと述べました。影響範囲は政府のウェブサイト、公共サービスポータル、および関連するデジタル応用に及び、国民の接続が妨げられたり、安全でないサイトと誤判定されたりする恐れがあり、政府のデジタルサービスに対する信頼基盤に衝撃を与える可能性がありました。
監察委員は、デジタル発展部が事後に政府ウェブサイトのダブル証明書メカニズムを推進し、全面的な証明書の更新作業を完了させ、契約に基づく罰則や人員の調整などの方法で補完したものの、リスク認識、監理の強度、および制度設計などの面では、依然として検討と精進の必要があると指摘しました。
監察委員は、本件の原因は中華電信のGTLSCAにおいて113年(2024年)の間に、証明書のフォーマットエラーや規定の時間内に失効処理を行わなかったことなど、国際的な証明書基準(Baseline Requirements, BR)に違反する重大な欠陥が相次いで発生したことにあると指摘しました。また、数千から数万枚の証明書が関わっており、同社の内部統制および合規メカニズムが依然として不十分であることを示していると述べました。
監察委員は、デジタル発展部が政府公開鍵基盤(GPKI)の主務機関であり、台湾の情報産業の推進および情報通信安全政策の総括的な役割を担っていることを強調しました。外部監査、運営報告、および契約メカニズムを通じて管理を行ってきたものの、113年上半期に違反の兆候が現れた際、タイムリーに監督を強化したり、有効な検証および応急メカニズムの構築を要求したりすることができず、証明書の失効期限を遵守しないことの重大性についても十分に認識していなかったため、リスクが徐々に蓄積されたとしました。
監察委員はさらに、デジタル発展部が事後の対外説明において、関連する責任を委託契約関係に位置づけたことは、情報産業の推進および情報通信安全の主務機関としての役割との間に明らかなギャップがあり、検討・改善すべきであると述べました。
監察委員は、現行の証明書検証および外部監査の多くは定期的なものか事後のチェックであり、国際的な証明書体系におけるリアルタイムで自動化された検証の傾向に対応できておらず、また大規模な証明書失効の授権および応急メカニズムも事前に構築されていなかったと指摘しました。加えて、政府の証明書およびデジタル信頼体系は、すでに機関を跨ぐ重要インフラの特性を備えているにもかかわらず、重要情報インフラに関連する安全防護フレームワーク管理にまだ組み込まれておらず、リスク識別、システムの依存性、および事業継続計画などの面で、検討と強化の必要があるとしました。(編集:楊蘭軒)1150414
(中央社記者高華謙台北14日電)Google Chromeが昨年、中華電信が2025年7月31日以降に発行するTLSウェブサイト新証明書のデフォルトの信頼を停止することを決定し、注目を集めました。監察院は、デジタル発展部(数發部)が事後に補完措置を講じたものの、リスク認識、監理の強度、および制度設計などの面で依然として検討・改善の必要があり、中華電信の証明書管理および合規(コンプライアンス)作業も改善が待たれると表明しました。
監察委員の頼鼎銘氏と葉宜津氏は本日、プレスリリースを通じて、令和114年(2025年)5月に中華電信が運営する政府サーバー電子証明書管理センター(GTLSCA)の証明書がGoogle Chromeによって信頼を取り消されるとの情報が伝わったと述べました。影響範囲は政府のウェブサイト、公共サービスポータル、および関連するデジタル応用に及び、国民の接続が妨げられたり、安全でないサイトと誤判定されたりする恐れがあり、政府のデジタルサービスに対する信頼基盤に衝撃を与える可能性がありました。
監察委員は、デジタル発展部が事後に政府ウェブサイトのダブル証明書メカニズムを推進し、全面的な証明書の更新作業を完了させ、契約に基づく罰則や人員の調整などの方法で補完したものの、リスク認識、監理の強度、および制度設計などの面では、依然として検討と精進の必要があると指摘しました。
監察委員は、本件の原因は中華電信のGTLSCAにおいて113年(2024年)の間に、証明書のフォーマットエラーや規定の時間内に失効処理を行わなかったことなど、国際的な証明書基準(Baseline Requirements, BR)に違反する重大な欠陥が相次いで発生したことにあると指摘しました。また、数千から数万枚の証明書が関わっており、同社の内部統制および合規メカニズムが依然として不十分であることを示していると述べました。
監察委員は、デジタル発展部が政府公開鍵基盤(GPKI)の主務機関であり、台湾の情報産業の推進および情報通信安全政策の総括的な役割を担っていることを強調しました。外部監査、運営報告、および契約メカニズムを通じて管理を行ってきたものの、113年上半期に違反の兆候が現れた際、タイムリーに監督を強化したり、有効な検証および応急メカニズムの構築を要求したりすることができず、証明書の失効期限を遵守しないことの重大性についても十分に認識していなかったため、リスクが徐々に蓄積されたとしました。
監察委員はさらに、デジタル発展部が事後の対外説明において、関連する責任を委託契約関係に位置づけたことは、情報産業の推進および情報通信安全の主務機関としての役割との間に明らかなギャップがあり、検討・改善すべきであると述べました。
監察委員は、現行の証明書検証および外部監査の多くは定期的なものか事後のチェックであり、国際的な証明書体系におけるリアルタイムで自動化された検証の傾向に対応できておらず、また大規模な証明書失効の授権および応急メカニズムも事前に構築されていなかったと指摘しました。加えて、政府の証明書およびデジタル信頼体系は、すでに機関を跨ぐ重要インフラの特性を備えているにもかかわらず、重要情報インフラに関連する安全防護フレームワーク管理にまだ組み込まれておらず、リスク識別、システムの依存性、および事業継続計画などの面で、検討と強化の必要があるとしました。(編集:楊蘭軒)1150414