ISO27017とクラウドセキュリティ

投稿日:

ISOプロ担当者

最終更新日: 2019年11月22日

photo-1516166328576-82e16a127024 (1)

ISMS認証であるISO27001は、これまで急速に進化を続けるITに追従していくことができていないという意見がありました。——というのも、クラウドサービスの登場によって、従来のISMSだけではセキュリティをカバーできなくなってきたのです。

そこで、最近になって注目を集めているのがISO27017という規格です。今回は、このISO27017がどのようなものなのかということについて簡単に解説していきたいと思います。

ISO27017とは

ISO27017とは、クラウドサービスの提供や利用に対して適用されるクラウドセキュリティの認証規格です。ISO27017はISO27001を取得した、あるいはこれから取得する企業の中でもクラウドサービスを利用・提供する事業者を対象として提供される認証規格で、ISO27001のアドオン(拡張)としての位置付けを持っています。

ISO27017規格はクラウドサービスを利用する事業者がより安全にサービスを利用するために、ISO27001の規格に準じた最大79個の管理策をカバーしており、セキュリティを保つための枠組みを示しています。

ISO27017はクラウドサービスのスタンダードとなりつつあるAWSを提供するAmazonや検索のエバンジェリストであるGoogleが認証を取得したとあって、世界的にも注目を集めており、今後も様々な展開が予想されています。

なぜ従来のISMSでは足りないのか?

——さて、ではなぜISO27001だけでなく、規格のアドオンとしてISO27017が注目を集めているのでしょうか? これには様々な要因が考えられますが、単純にクラウドサービスの利用に対する障壁が低くなってきたためだと考えられます。

AWSやMicrosoftのAzureのようなサービスは急速に拡がりを見せており、大企業だけでなく中小企業までもが容易にクラウドサービスを利用できるようになってきました。

しかし、従来までのISMS―—つまり、ISO27001規格によって示された管理策だけでは安全にクラウドサービスを利用するのに十分なマネジメントシステムは構築することができないのです。

——というのも、クラウドサービスの性質上、企業の財産である情報を他の企業に「預ける」ことになるのですから、自社のマネジメントシステムだけでセキュリティを維持することが難しいのです。例えばA社がB社のクラウドサービスを利用したとすると、A社は「預けた」情報が適切に管理されていることを、どのようにして知ることができるでしょうか? もう少し具体的に言えば、クラウドサービスを利用することで、以下のようなリスクが生じるはずです。

  • クラウドサービスを提供するB社の社員が情報を持ち逃げするかもしれない
  • データのバックアップがとられていないかもしれない
  • B社の社員、あるいは外部の攻撃者によって不正アクセスがされるかもしれない

情報セキュリティの安全性を保つためには、当然このようなリスクを洗い出し、それに対する適切な処置をしていく必要があるのですが、ISO27001の規格要求事項には、このようなリスクに対する管理策が全く示されていないのです。

また、ISO27001の管理策をまとめたJIS Q 27002にもクラウドセキュリティに関する具体的な対応策はほとんど示されていません。——要するに、「ISO27001を取得していれば、クラウドサービスを利用したとしても安全だ」とは一概には言えないのです。

ISO27017には、クラウド利用時のフレームワークが示されている

そこで登場したのがISO27017です。ISO27017には、クラウドサービスを利用するにあたって、利用者がサービス提供者に確認しておくべき事項が示されており、また、サービス提供者が利用者に対して開示しておくべき情報が示されています。

つまり、ISO27017を取得することで、時代に即したISMSを構築することが可能になり、適切なセキュリティマネジメントを行うことができるようになるのです。

ISO27017の認証取得にあたっての注意点

以下では、ISO27017の認証取得にあたっての注意点に関して簡単に説明しておきます。

規格の適用範囲について

ISO27017の適用範囲は、ISO27001適用範囲の内部あるいはISO27001と同一である必要があります。——つまり、ISO27001の適用範囲外でのISO27017の認証取得はできないということです。

審査について

ISO27017の審査はISO27001の審査と同時に行われます。既にISO27001を取得している企業は取得にあたってISO27001の審査対応が入ることも頭に入れておいたほうが良いでしょう。

登録証について

ISO27001とISO27017の登録証は別々に発行されます。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1 text_contents05
2 ssl
3 EYE-1
4 checklist-2470307_960_720 (1)
5 無題5
6 photo-1509803874385-db7c23652552 (1)
7 03296b0dc8f905069a76056b80a28c26_s
8 00000

関連するおすすめ記事