ISO27017とは

ISMS（情報セキュリティ）の国際規格であるISO27001認証を土台とし、クラウドサービスに関する事項として追加された規格がISO27017です。Googleやアマゾンといった世界的な情報テクノロジー企業が導入していることからもわかるように、これからの情報社会において非常に重要な位置づけとなっています。

ISO27017の概要と位置付け

ISO27017は、現在急速に普及しているクラウド上での安全性の向上を目的とするものです。クラウド上でやり取りされる情報の安全性を確保することや、情報のやり取りをスムーズに進めていくためのに不可欠となる、クラウドセキュリティに関する規格を定めたものになります。

ISO27017認証は、クラウドサービスを提供する事業者とクラウドサービスの利用者、両者が取得できます。

ISO207017では、クラウドサービスの事業者は、組織が扱う情報セキュリティの情報を開示・共有し、利用者がサービスを選定できるようにすることが求められます。一方のクラウドサービスを利用する側の事業者や顧客は、提供された情報を検討し、必要に応じて情報開示を求め、よく精査したうえで、サービスを適切に利用することが求められます。

ISO207017の規格に適合するよう情報セキュリティを構築することで、クラウドサービスの安全な活用を実現することを目的としています。

世界的に需要が高まるISO27017

ISO27017認証は、日本国内のみならず世界的にも通用する国際規格です。個人情報を含むさまざまな情報が、クラウドサービスを通じて世界中で利用される現在において、私たちは情報をスムーズにやり取りできるようになりました。

今後この傾向は更に加速し、利便性が増すとともに、個人情報漏えいや改ざんといったリスクに常にさらされることになります。ISO27017認証の規格に従って、情報を利用したり提供したりすることで、安全にクラウドサービスを運用することが可能になるのです。

またISO27017認証は、クラウドサービスを提供する組織の安全性や危機管理体制といった取り組みを認めるものであり、利用者に対して信頼性をアピールすることにもつながります。IT関連企業のみならず、多くの企業がISO27017認証をめざすようになるでしょう。

費用、期間、実績別
おすすめISMS認証コンサルはこちら

ISO27017の概要と位置付け

ISO27017は、国際標準化機構（International Organization for Standardization略称：ISO)が2015年に発行したクラウドセキュリティに関するISO規格のひとつ。

ISMS（Information Security Management System）として知られるISO27001認証に、ISO27017を追加するというイメージの位置づけを持つアドオン規格です。

このISO27017は、クラウド上のさまざまなリスクへの備えとすべきガイドラインでもあり、これからの時代に不可欠なクラウドセキュリティを実現するための実践的な国際規格といわれています。

ISO27018とISO27017の違いは、ISO27017がリスク対策をクラウドサービスにまで拡大させた規格であることに対して、ISO27018は、クラウド上で取り扱われる個人情報のみに限定した規格という点。

ISO27001に対して、ISO27017を追加する感じでしょうか。さらに、ISO27017やISO27018を追加で取得するためには、事前にISO27001を取得している必要がありますが、実際にはISO27001と同時に取得することも可能になっています。

「ISO27017」と「ISO27018」どちらを取得する？

企業の情報セキュリティを担当する人にとって気になるのは、「ISO27017」と「ISO27018」どちらを取得したら良いのかということだと思いますが、優劣はありません。

取得に際しては、ISO27001認証を既に取得しており、ISO27017とISO27018を新たに取得する場合と、ISO27001認証とISO27017やISO27018を同時に取得する場合があると思います。

前者の場合、取得の作業手順なども含め、ISO27001の取得の流れとほとんど変わらず、すでに経験済みの内容もあることから比較的簡単だと考えられますが、ISO27001に加えて、さらにISO27017やISO27018を取得するとなると、作業量も2倍以上に増えてしまうのではないかという心配があるかもしれません。

ISO27017もISO27018も、アドオン認証なので、新しい作業が増えるわけではなく、少しだけ増加するという程度。

まず、ISO27001を新規に取得する場合は、従業員教育やリスクアセスメントなどの作業がありますが、それ以外には「クラウドサービスの仕組み」や「クラウドリスクに対応への心構え」といった内容が増えるくらいです。

ISO/IEC 27017 の構成

ISO/IEC 27017は、クラウドサービスに特化したセキュリティ管理策を中心に構成されています。全18章の本文と、クラウド特有のリスクに対応するための付属書AとBで構成されており、クラウド環境における具体的なセキュリティ対応策を提示しています。なお、詳細な規格内容は日本規格協会のウェブサイトで確認できます。

クラウド分野固有の概念

ISO/IEC 27017は多くの部分でISO/IEC 27002を基盤としていますが、第4章「クラウド分野固有の概念」はクラウドサービスに特化した内容で、ISO/IEC 27017独自の要求事項が記載されています。

概要

この節では、クラウドサービスにおける情報セキュリティリスクに対処するためのISO/IEC 27002の管理策の適用可能性が述べられています。さらに、クラウドサービス固有の技術や運用に関連するリスクを軽減するための指針も含まれています。

クラウドサービスにおける供給者関係

クラウドサービスの利用において、サプライチェーンが形成される可能性に触れ、そのリスク管理の重要性が示されています。クラウドプロバイダとカスタマが一体となる状況を考慮し、リスク管理の必要性を強調しています。

クラウドサービスカスタマとクラウドサービスプロバイダとの関係

クラウドサービスの選定にあたって、カスタマのビジネスプロセスがプロバイダの情報セキュリティに依存する可能性があるため、その点を考慮した選定と管理が求められることが述べられています。

クラウドサービスにおける情報セキュリティリスクの管理

クラウドサービス特有のリスク管理について詳述されています。ISO/IEC 27001やISO/IEC 27005のガイドラインに加え、ISO/IEC 27017の付属書AおよびBがリスク管理において重要な役割を果たすとされています。

規格の構成

この節では、クラウドサービスプロバイダとカスタマに提供される手引きが異なる場合の規格の構成方法について説明されています。

ISO/IEC 27017特有の管理策

ISO/IEC 27017には、クラウド環境におけるセキュリティを強化するための特有の管理策が追加されています。付属書Aには以下の7つの管理策が含まれています。

• CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有と分担
• CLD.8.1.5 クラウドサービスカスタマの資産の除去
• CLD.9.5.1 仮想コンピューティング環境における分離
• CLD.9.5.2 仮想マシンの要塞化
• CLD.12.1.5 実務管理者の運用セキュリティ
• CLD.12.4.5 クラウドサービスの監視
• CLD.13.1.4 仮想および物理ネットワークのセキュリティ管理の整合

ISMSクラウドセキュリティ認証とは

ISMSクラウドセキュリティ認証は、ISO/IEC 27017:2015に準拠したクラウドセキュリティ管理策が組織内で適切に実施されていることを認証する制度です。ISMS認証の追加認証として取得でき、クラウドサービスを利用する組織のセキュリティ対策の強化を支援します。日本国内ではJIPDECによって審査が実施されています。

ISO/IEC 27017に関連するその他のISOファミリー規格

ISO/IEC 27017に関連する他のISO規格には、以下のようなものがあります。

• ISO/IEC 27001: 情報セキュリティマネジメントシステム（ISMS）の要件を定義する規格
• ISO/IEC 27002: 情報セキュリティのベストプラクティスを提供するガイドライン
• ISO/IEC 27018: パブリッククラウドでの個人情報（PII）保護のための指針

まとめ

「ISO27017」か「ISO27018」のどちらを取得したら良いのかというこということではなく、目的にあわせて自社に最適な認証を取得するのが良策ではないかと思います。

ISO27017は、従来のISO27001でおこなっているリスク対策をクラウドサービスに適応させた規格と考えると、ISO27018は、クラウドサービスの中でも個人情報に限定した規格と考えることができます。

個人情報のセキュリティ対策を重視したい場合にはISO27018 、クラウド運営のセキュリティ対策に重点をおきたいのであればISO27017といったふうに、目的にあわせた選択によってマネジメントに注力できるのではないでしょうか。

目的別に選べる！
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】

ISMS（ISO27001）認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。

コストを抑えて手間なく
「まず取得したい」
なら

ISOサポート

※引用元：ISOサポート公式HP（引用元：https://www.iso-sp.co.jp/2700.html ）

特徴

• 専任不要＆月額3.3万円の低コスト
  情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。
• 中小企業向けフルアウトソーシング支援
  書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。
• 維持運用しやすい実務重視の設計
  最小限の設計で、取得後も1名体制で継続しやすい。

公式サイトで
サービスの詳細を確認

電話で問い合わせる

複雑な組織や業種にも
柔軟に対応
してほしいなら

ISOプロ

※引用元：ISOプロ公式HP（https://activation-service.jp/iso/lp/）

特徴

• 現役審査員が直接サポート＆訪問無制限
  複雑な多拠点対応も、現場に即した導入設計が可能。
• 業種特化・6か月以内の取得も相談可
  業界特有の運用にも対応し、スピード重視の企業にもおすすめ。
• ISO事務局も代行し全工程を一括支援
  社内対応の手間を減らし、効率・品質を向上。

公式サイトで
サービスの詳細を確認

電話で問い合わせる

中小企業で
運用負担を削減
したいなら

ワークストラスト

※引用元：ワークストラスト公式HP（https://www.workstrust.com/）

特徴

• 書類作成の負担が少ない
  提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。
• 取得時も取得後も運用の負担が少ない
  負担の少ない運用を行うためには、管理すべき（作成すべき）書類は最小限に留めることが重要。
•                          取得後は自社で維持、運用が可能
  必要最小限な運用が可能なため、自社だけでも準備が容易。

公式サイトで
サービスの詳細を確認

電話で問い合わせる