ISO27017とは
ISMS(情報セキュリティ)の国際規格であるISO27001認証を土台とし、クラウドサービスに関する事項として追加された規格がISO27017です。Googleやアマゾンといった世界的な情報テクノロジー企業が導入していることからもわかるように、これからの情報社会において非常に重要な位置づけとなっています。
ISO27017の概要と位置付け
ISO27017は、現在急速に普及しているクラウド上での安全性の向上を目的とするものです。クラウド上でやり取りされる情報の安全性を確保することや、情報のやり取りをスムーズに進めていくためのに不可欠となる、クラウドセキュリティに関する規格を定めたものになります。
ISO27017認証は、クラウドサービスを提供する事業者とクラウドサービスの利用者、両者が取得できます。
ISO207017では、クラウドサービスの事業者は、組織が扱う情報セキュリティの情報を開示・共有し、利用者がサービスを選定できるようにすることが求められます。一方のクラウドサービスを利用する側の事業者や顧客は、提供された情報を検討し、必要に応じて情報開示を求め、よく精査したうえで、サービスを適切に利用することが求められます。
ISO207017の規格に適合するよう情報セキュリティを構築することで、クラウドサービスの安全な活用を実現することを目的としています。
世界的に需要が高まるISO27017
ISO27017認証は、日本国内のみならず世界的にも通用する国際規格です。個人情報を含むさまざまな情報が、クラウドサービスを通じて世界中で利用される現在において、私たちは情報をスムーズにやり取りできるようになりました。
今後この傾向は更に加速し、利便性が増すとともに、個人情報漏えいや改ざんといったリスクに常にさらされることになります。ISO27017認証の規格に従って、情報を利用したり提供したりすることで、安全にクラウドサービスを運用することが可能になるのです。
またISO27017認証は、クラウドサービスを提供する組織の安全性や危機管理体制といった取り組みを認めるものであり、利用者に対して信頼性をアピールすることにもつながります。IT関連企業のみならず、多くの企業がISO27017認証をめざすようになるでしょう。
ISO27017の概要と位置付け
ISO27017は、国際標準化機構(International Organization for Standardization略称:ISO)が2015年に発行したクラウドセキュリティに関するISO規格のひとつ。
ISMS(Information Security Management System)として知られるISO27001認証に、ISO27017を追加するというイメージの位置づけを持つアドオン規格です。
このISO27017は、クラウド上のさまざまなリスクへの備えとすべきガイドラインでもあり、これからの時代に不可欠なクラウドセキュリティを実現するための実践的な国際規格といわれています。
ISO27018とISO27017の違いは、ISO27017がリスク対策をクラウドサービスにまで拡大させた規格であることに対して、ISO27018は、クラウド上で取り扱われる個人情報のみに限定した規格という点。
ISO27001に対して、ISO27017を追加する感じでしょうか。さらに、ISO27017やISO27018を追加で取得するためには、事前にISO27001を取得している必要がありますが、実際にはISO27001と同時に取得することも可能になっています。
「ISO27017」と「ISO27018」どちらを取得する?
企業の情報セキュリティを担当する人にとって気になるのは、「ISO27017」と「ISO27018」どちらを取得したら良いのかということだと思いますが、優劣はありません。
取得に際しては、ISO27001認証を既に取得しており、ISO27017とISO27018を新たに取得する場合と、ISO27001認証とISO27017やISO27018を同時に取得する場合があると思います。
前者の場合、取得の作業手順なども含め、ISO27001の取得の流れとほとんど変わらず、すでに経験済みの内容もあることから比較的簡単だと考えられますが、ISO27001に加えて、さらにISO27017やISO27018を取得するとなると、作業量も2倍以上に増えてしまうのではないかという心配があるかもしれません。
ISO27017もISO27018も、アドオン認証なので、新しい作業が増えるわけではなく、少しだけ増加するという程度。
まず、ISO27001を新規に取得する場合は、従業員教育やリスクアセスメントなどの作業がありますが、それ以外には「クラウドサービスの仕組み」や「クラウドリスクに対応への心構え」といった内容が増えるくらいです。
ISO/IEC 27017 の構成
ISO/IEC 27017は、クラウドサービスに特化したセキュリティ管理策を中心に構成されています。全18章の本文と、クラウド特有のリスクに対応するための付属書AとBで構成されており、クラウド環境における具体的なセキュリティ対応策を提示しています。なお、詳細な規格内容は日本規格協会のウェブサイトで確認できます。
クラウド分野固有の概念
ISO/IEC 27017は多くの部分でISO/IEC 27002を基盤としていますが、第4章「クラウド分野固有の概念」はクラウドサービスに特化した内容で、ISO/IEC 27017独自の要求事項が記載されています。
概要
この節では、クラウドサービスにおける情報セキュリティリスクに対処するためのISO/IEC 27002の管理策の適用可能性が述べられています。さらに、クラウドサービス固有の技術や運用に関連するリスクを軽減するための指針も含まれています。
クラウドサービスにおける供給者関係
クラウドサービスの利用において、サプライチェーンが形成される可能性に触れ、そのリスク管理の重要性が示されています。クラウドプロバイダとカスタマが一体となる状況を考慮し、リスク管理の必要性を強調しています。
クラウドサービスカスタマとクラウドサービスプロバイダとの関係
クラウドサービスの選定にあたって、カスタマのビジネスプロセスがプロバイダの情報セキュリティに依存する可能性があるため、その点を考慮した選定と管理が求められることが述べられています。
クラウドサービスにおける情報セキュリティリスクの管理
クラウドサービス特有のリスク管理について詳述されています。ISO/IEC 27001やISO/IEC 27005のガイドラインに加え、ISO/IEC 27017の付属書AおよびBがリスク管理において重要な役割を果たすとされています。
規格の構成
この節では、クラウドサービスプロバイダとカスタマに提供される手引きが異なる場合の規格の構成方法について説明されています。
ISO/IEC 27017特有の管理策
ISO/IEC 27017には、クラウド環境におけるセキュリティを強化するための特有の管理策が追加されています。付属書Aには以下の7つの管理策が含まれています。
- CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有と分担
- CLD.8.1.5 クラウドサービスカスタマの資産の除去
- CLD.9.5.1 仮想コンピューティング環境における分離
- CLD.9.5.2 仮想マシンの要塞化
- CLD.12.1.5 実務管理者の運用セキュリティ
- CLD.12.4.5 クラウドサービスの監視
- CLD.13.1.4 仮想および物理ネットワークのセキュリティ管理の整合
ISMSクラウドセキュリティ認証とは
ISMSクラウドセキュリティ認証は、ISO/IEC 27017:2015に準拠したクラウドセキュリティ管理策が組織内で適切に実施されていることを認証する制度です。ISMS認証の追加認証として取得でき、クラウドサービスを利用する組織のセキュリティ対策の強化を支援します。日本国内ではJIPDECによって審査が実施されています。
ISO/IEC 27017に関連するその他のISOファミリー規格
ISO/IEC 27017に関連する他のISO規格には、以下のようなものがあります。
- ISO/IEC 27001: 情報セキュリティマネジメントシステム(ISMS)の要件を定義する規格
- ISO/IEC 27002: 情報セキュリティのベストプラクティスを提供するガイドライン
- ISO/IEC 27018: パブリッククラウドでの個人情報(PII)保護のための指針
まとめ
「ISO27017」か「ISO27018」のどちらを取得したら良いのかというこということではなく、目的にあわせて自社に最適な認証を取得するのが良策ではないかと思います。
ISO27017は、従来のISO27001でおこなっているリスク対策をクラウドサービスに適応させた規格と考えると、ISO27018は、クラウドサービスの中でも個人情報に限定した規格と考えることができます。
個人情報のセキュリティ対策を重視したい場合にはISO27018 、クラウド運営のセキュリティ対策に重点をおきたいのであればISO27017といったふうに、目的にあわせた選択によってマネジメントに注力できるのではないでしょうか。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。