• ISO27017はクラウドサービスのセキュリティ強化のために制定された
  • クラウドサービスの情報セキュリティリスクを低減できるなどのメリットがある
  • 2022年5月現在307社が取得し、取得企業数は増加傾向にある

情報セキュリティに対する社会のニーズも高まっていることから、多くの企業が情報セキュリティ対策に取り組んでいます。
そうした中、クラウドサービスが主流となってきた昨今では、クラウドサービスを扱う組織を対象にしたクラウドセキュリティに関するISO27017を取得する企業も増えています。

そこで、この記事ではISO27017の成立した背景からその必要性を解説し、取得によるメリットと企業の取得状況について解説します。

ISO27017を取得すべき業種

ISO27017を取得すべき業種は、クラウド(「SaaS」「PaaS」「IaaS」)を提供もしくは利用している、もしくは提供・利用している企業です。

SaaSソフトウェアを提供している企業
PaaSアプリケーションを利用するためのプラットフォームを提供する企業
IaaSハードウェアを提供している企業

特に以下のいずれかに該当する場合には、取得を検討することがおすすめです。

  • 強固な情報セキュリティ体制を構築したい事業者
  • クラウドサービスの品質や安全性、信頼性を重視したい事業者
  • 法的・規制要件への適合性を確実にしたい事業者
  • 行政機関からの案件に入札したい事業者

また、今後自社の事業計画においてクラウドサービスを展開する計画がある場合は、ISO27017認証取得の必要性も検討しましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27017の取得企業数

ISO27017を取得している企業数は「情報マネジメントシステム認証センター」によれば、2024年2月現在の登録企業数は、596社です。一方で、ISO27001の取得企業数は2024年12月現在で7,978社です。ISO27001と比べると年数が浅く取得企業数はまだ少ないですが、増加傾向にあります。

AmazonやGoogleといった国際的な大企業がいち早く取得済みであり、今後は世界的に取得が一般化していくでしょう。

制定されて日が浅い今のうちに取得すると、他社との差別化にもつながります。クラウドサービスを提供もしくは利用している場合は、早い段階から取得に向けて動き始めましょう。

情報マネジメントシステム認証センター:ISMSクラウドセキュリティ認証取得組織検索(外部リンク)

ISO27001とISO27017はどちらも取得すべき?

ISO27001とISO27017の両方を取得する企業も増えています。そこで、ここでは両者の関係性と両方を取得すべき理由について解説します。

ISO27001とISO27017の関係性

ISO27001とISO27017の両方を取得すべきかどうかを検討するうえで、まずISO27001とISO27017の関係性を理解しましょう。

ISO27001ISO27017
関係性ISMSに関する規格群(ISO27000シリーズ)の中核を担う規格ISO27001のアドオン認証(ISO27001への追加取得が前提)
対象業種・業態問わず、あらゆる組織クラウドサービスを提供・利用している組織
目的情報セキュリティにおける「機密性」「完全性」「可用性」という3要素をバランスよく高め、マネジメントすることクラウドサービスにおける情報セキュリティ体制を強化すること

つまり、ISO27017は「ISO27001で構築・運用するISMSにおいて、クラウドサービスに関する情報セキュリティを補完する」ための規格であることがわかります。

またISO27017と検索すると、「ISMSクラウドセキュリティ認証」という言葉が出てくることがあります。この2つの関係性は、ISO27017は「規格」であり、ISMSクラウドセキュリティ認証は、「ISO27017規格に対応する認証制度」のことで、ほぼ同じ意味です。

ISO27001とISO27017の両方を取得すべき理由

ISO27001とISO27017の両方を取得すべき理由は、ISO27017が制定された背景を知ることでわかります。

2005年に情報セキュリティマネジメントシステム(ISMS)の要求事項をまとめた規格であるISO27001が制定されました。
その後、インターネットの発展とともに、クラウドサービスを提供・利用する企業が急増しました。しかし、ISO27001はクラウドサービスの安全性の維持が想定されていなかったため、情報セキュリティ体制を強化するには不十分だったのです。
データの消失や個人情報の漏洩などに対するクラウドセキュリティの強化が求められ、2015年に制定されたのがISO27017です。

つまり、ISO27001だけではクラウドサービスを含む情報セキュリティ体制の確立は難しかったため、ISO27017が制定されたのです。

こうした背景から、クラウドサービスを提供・利用している組織はISO27001とISO27017の両方を取得することで、強固な情報セキュリティ体制の構築・運用につながるでしょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27017を取得するメリット

ISO27017を取得することによって得られるメリットについて解説します。

対外的な信頼性の向上

1つ目のメリットは、対外的な信頼性の向上です。
ISO27017の取得により、自社のクラウドサービスにおける情報セキュリティ体制が国際的な基準に達していることを証明できます。
第三者から認証を受けたマネジメントシステムを運用しているので、取引先・株主・経営者など、いわゆるステークホルダーからの信頼性を高められるのです。

またISO27017は制定から時間が経っていない規格のため、取得することによって競合他社との差別化につながります。新たな顧客の獲得や入札、取引要件を満たすことにより売上に直結する場合もあるでしょう。

情報セキュリティリスクの低減

2つ目のメリットは、情報セキュリティリスクの低減です。
ISO27017の取得にあたり、要求事項に則って情報セキュリティの管理体制を築くことが必要です。クラウドセキュリティのリスク特定と分析を行ったり、管理策を設定して正しく運用できているかチェックしたりする過程で、セキュリティが向上します。

またISO27017の取得には、ISO27001の取得が必須となります。
ISO27001を取得するためには、一般的な情報セキュリティリスクを低減する仕組みであるISMSを構築・運用することが求められます。ISO27001とISO27017の両方を取得することになり、より広範囲の情報セキュリティリスクへの対応が可能になるのです。

情報の管理体制の整理・従業員のモラル向上

3つ目のメリットは、情報の管理体制の整理と従業員のモラル向上です。
ISO27017の取得のためには、情報漏洩などのセキュリティリスクを把握し、管理策を設定することが求められます。取り組む過程で、重要な情報をどのように取り扱うかが明確になり、管理体制を整理できるのです。

また、マニュアル・ルールの作成や教育によって従業員はセキュリティ事故がどこで発生するのか把握できます。情報セキュリティに対する知識が広がり、従業員の意識やモラルの向上を見込めるでしょう。

事業継続性の向上

4つ目のメリットは、事業継続性の向上です。
ISO27001の取得にあたり、システムの重大な故障や災害によるデータの消失など未然に防げない緊急事態が発生した場合に考えられるリスクを洗い出し、対応方法をマニュアルなどによって明確化することが求められます。

そのため、問題を最小限に抑えることができるでしょう。
このように、リスクへの対応力が高い企業は、問題が発生しても立ち直ることができ、事業継続性が高い状態を維持できるのです。

ISO27017を取得する方法

ISO27001をすでに取得している場合のISO27017を取得する流れを以下にまとめました。

  1. ISO27017の適用範囲を決定する(ISO27001の適用範囲内)
  2. 要求事項に沿ったISMSの改良と情報セキュリティ管理策を実施する
  3. 取得審査を受ける
  4. ISO27017を認証される

ISO27001を取得していない場合には、ISO27001の要求事項を満たすISMSを構築することがまず必要です。そのため、ISO27001の取得有無により工程は異なるため、ISOコンサルに依頼することがおすすめです。

ISO27017の要求事項や管理策の詳細は、以下の記事をご覧ください。

関連記事:ISO27017とは?要求事項や管理策をわかりやすく解説
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

ISO27017はクラウドセキュリティのための国際規格です。
クラウドは急速に普及し、SaaS・PaaS・IaaSなどは現代社会になくてはならないサービスとなっています。だからこそ、セキュリティリスクから守る必要があり、クラウドの安全性を確保したISMSを構築するのが重要なのです。

ISO27017のメリットは対外的な信頼性の向上・情報セキュリティリスクの低減・情報管理体制の整理と従業員のモラル向上・事業継続性の向上の4つがあります。取得によって、ISMSをより強固にできるだけでなく、他社との差別化もできるのです。
ぜひクラウドサービスを提供している企業は取得を検討してはいかがでしょうか。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ