ISO27017の取得企業数は増加傾向！クラウドサービス企業が取得すべきメリットとは？

クラウドサービスを扱う組織が増えている中、クラウドセキュリティに関するISO27017を取得している企業はどんな企業なのでしょうか？
この記事では、ISO27017の成立した背景からその必要性を解説し、取得によるメリットと企業の取得状況について解説します。

ISO27017が制定された背景

2005年に情報セキュリティマネジメントシステム （以下ISMS ）の要求事項をまとめた 規格 である ISO27001 が制定されました。その後、インターネットの発展とともに、クラウドサービスを提供・利用する企業が増加しています。
ただし、ISO27001の範囲では、クラウドサービスの安全性を保つのに不十分だったのです。データの消失や個人情報の漏洩などに対するクラウドセキュリティの強化が求められていました。そこで、2015年に新たな規格として制定されたのがISO27017です。
ISO27001に追加して取得できる「アドオン 認証 」であり、ISMSの構築においてクラウドセキュリティを補う役割を果たしています。

また、ISO27017と検索すると、ISMSクラウドセキュリティ認証という言葉が出てくることがあります。この2つの関係性は、ISO27017は規格であり、ISMSクラウドセキュリティ認証は、ISO27017規格に対応する認証制度のことで、ほぼ同じ意味です。
ISMSクラウドセキュリティ認証は、ISO27017の要求事項を満たしていることを証明する認証制度として制定されました。
まだ制定されてから日が浅い規格ですが、今後ますます必要性は高まってくるでしょう。

ISO27017を取得するメリット

ISO27017を取得することによって得られるメリットは以下の4つが挙げられます。

● 対外的な信頼性の向上
● 情報セキュリティリスクの低減
● 情報管理体制の整理・従業員モラル向上
● 事業継続性の向上

詳しく解説しますので、ぜひ最後までご覧ください。

対外的な信頼性の向上

1つ目のメリットは、対外的な信頼性の向上です。
ISO27017の取得により、自社のクラウドサービスにおける情報セキュリティ体制が国際的な基準に達していることを証明できます。
第三者から認証を受けたマネジメントシステムを運用しているので、取引先・株主・経営者など、いわゆるステークホルダーの信頼性を高められるのです。

また、ISO27017は制定から時間が経っていない規格のため、取得することによって競合他社との差別化につながります。
その結果、新たな顧客の獲得や入札、取引要件を満たすことにより売上に直結する場合もあるでしょう。

情報セキュリティリスクの低減

2つ目のメリットは、情報セキュリティリスクの低減です。
ISO27017の取得にあたり、要求事項に則って情報セキュリティの管理体制を築く必要があります。クラウドセキュリティのリスク特定と分析を行ったり、管理策を設定して正しく運用できているかチェックしたりする中で、セキュリティが向上していきます。

また、ISO27017の取得には、ISO27001の取得が必須となっています。
ISO27001を取得するためには、一般的な情報セキュリティリスクを低減する仕組みであるISMSを構築・運用する必要がありますISO27001とISO27017の両方を取得することになり、より広範囲の情報セキュリティリスクへの対応が可能になるのです。

情報の管理体制の整理・従業員のモラル向上

3つ目のメリットは、情報の管理体制の整理と従業員のモラル向上です。
ISO27017の取得のためには、情報漏洩などのセキュリティリスクを把握し、管理策を設定する必要があります。
その中で、重要な情報をどのように取り扱うかが明確になり、管理体制を整理できるのです。

また、マニュアル・ルールの作成や教育によって従業員はセキュリティ事故がどこで発生するのか把握できます。情報セキュリティに対する知識が広がり、従業員の意識やモラルの向上を見込めるでしょう。

事業継続性の向上

4つ目のメリットは、事業継続性の向上です。
システムの重大な故障や災害によるデータの消失など未然に防げない事態が発生する場合もあります。

ISO27001の取得にあたり、こうした事態が発生したときに考えられるリスクを洗い出し、対応方法をマニュアルなどによって明確化することが必要になっています。

そのため、問題を最小限に抑えることができるでしょう。
このように、リスクへの対応力が高い企業は、問題が発生しても立ち直ることができ、事業継続性が高い状態を維持できるのです。

ISO27017の取得企業数と推移

ISO27017を取得している企業数と推移は「情報マネジメントシステム認証センター」によれば、2022年5月現在の登録企業数は、307社となっています。一方で、ISO27001の取得企業数は2022年5月現在で6,881社です。

ISO27001と比べると年数が浅く取得企業数はまだ少ないですが、増加傾向にあります。AmazonやGoogleといった国際的な大企業がいち早く取得済みであり、今後は世界的に取得が一般化していくでしょう。
制定されて日が浅い今のうちに取得すると、他社との差別化にもつながります。クラウドを提供もしくは利用している場合は、早い段階から取得に向けて動き始めましょう。

ISO27017を取得すべき業種

ISO27017を取得すべき業種は、クラウド（「SaaS」「PaaS」「IaaS」）を提供している企業になります。

SaaSはソフトウェアを提供している企業、Paasはアプリケーションを利用するためのプラットフォームを提供する企業、Iaasはハードウェアを提供している企業です。
昨今、クラウドサービスはあらゆる業界に広まっています。すでに自社で提供中の場合は将来的にISO27017の取得が必要になるかもしれません。また、今後自社の事業計画においてクラウドサービスを展開する計画がある場合は、ISO27017取得の必要性も検討してみましょう。

ISO27017はクラウドサービスに求められる規格

ISO27017はクラウドセキュリティのための国際規格です。
クラウドは急速に普及し、SaaS・PaaS・IaaSなどは現代社会になくてはならないサービスとなっています。だからこそ、セキュリティリスクから守る必要があり、クラウドの安全性を確保したISMSを構築するのが重要なのです。

ISO27017のメリットは対外的な信頼性の向上・情報セキュリティリスクの低減・情報管理体制の整理と従業員のモラル向上・事業継続性の向上の4つがあります。取得によって、ISMSをより強固にできるだけでなく、他社との差別化もできるのです。
ぜひクラウドサービスを提供している企業は取得を検討してはいかがでしょうか。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。