ISO27017の取得企業数は?増加理由やメリット、取得方法を解説
- ISO27017はクラウドサービスのセキュリティ強化のために制定された
- クラウドサービスの情報セキュリティリスクを低減できるなどのメリットがある
- 2022年5月現在307社が取得し、取得企業数は増加傾向にある
情報セキュリティに対する社会のニーズも高まっていることから、多くの企業が情報セキュリティ対策に取り組んでいます。
そうした中、クラウドサービスが主流となってきた昨今では、クラウドサービスを扱う組織を対象にしたクラウドセキュリティに関するISO27017を取得する企業も増えています。
そこで、この記事ではISO27017の成立した背景からその必要性を解説し、取得によるメリットと企業の取得状況について解説します。
目次
ISO27017の取得企業数
ISO27017を取得している企業数は「情報マネジメントシステム認証センター」によると、2025年5月現在、654社です。
制定されてから年数が浅いために取得企業数はまだ少ないものの、取得件数は増加傾向にあります。
またAmazonやGoogleといった国際的な大企業がいち早く取得済みであり、のちほどISO27017の必要性については解説しますが、世界的に取得が拡大していくでしょう。
制定されて日が浅い今のうちに取得すると、他社との差別化にもつながります。クラウドサービスを提供もしくは利用している場合は、早い段階から取得に向けて動き始めましょう。
ISO27017を取得すべき業種
ISO27017を取得すべき業種は、クラウド(「SaaS」「PaaS」「IaaS」)を提供もしくは利用している、もしくは提供・利用している企業です。
| SaaS | ソフトウェアを提供している企業 |
|---|---|
| PaaS | アプリケーションを利用するためのプラットフォームを提供する企業 |
| IaaS | ハードウェアを提供している企業 |
特に以下のいずれかに該当する場合には、取得を検討することがおすすめです。
- 強固な情報セキュリティ体制を構築したい事業者
- クラウドサービスの品質や安全性、信頼性を重視したい事業者
- 法的・規制要件への適合性を確実にしたい事業者
- 行政機関からの案件に入札したい事業者
今後、自社の事業計画においてクラウドサービスを展開する計画がある場合は、ISO27017認証取得を検討しましょう。
ISO27017を取得するメリット
ISO27017を取得することによって得られるメリットについて解説します。
対外的な信頼性の向上
ISO27017の取得により、自社のクラウドサービスにおける情報セキュリティ体制が国際的な基準に達していることを証明できます。
第三者から認証を受けたマネジメントシステムを運用しているので、取引先・株主・経営者など、いわゆるステークホルダーからの信頼性を高められるのです。
またISO27017は制定から時間が経っていない規格のため、取得することによって競合他社との差別化につながります。新たな顧客の獲得や入札、取引要件を満たすことにより売上に直結する場合もあるでしょう。
情報セキュリティリスクの低減
ISO27017の取得にあたり、要求事項に則って情報セキュリティの管理体制を構築することが求められます。そのため、クラウドセキュリティのリスク特定と分析を行ったり、管理策を設定して正しく運用できているかをチェックしたりする過程で、セキュリティが向上します。
またISO27017の取得には、ISO27001の取得が必須となります。
ISO27001を取得するためには、一般的な情報セキュリティリスクを低減する仕組みであるISMSを構築・運用することが求められます。ISO27001とISO27017の両方を取得することになり、より広範囲の情報セキュリティリスクへの対応が可能になるのです。
情報の管理体制の整理・従業員のモラル向上
ISO27017の取得のためには、情報漏洩などのセキュリティリスクを把握し、管理策を設定することが求められます。取り組む過程で、重要な情報をどのように取り扱うかが明確になり、管理体制を整理できるのです。
また、マニュアル・ルールの作成や教育によって従業員はセキュリティ事故がどこで発生するのか把握できます。情報セキュリティに対する知識が広がり、従業員の意識やモラルの向上を見込めるでしょう。
事業継続性の向上
ISO27001の取得にあたり、システムの重大な故障や災害によるデータの消失など未然に防げない緊急事態が発生した場合に考えられるリスクを洗い出し、対応方法をマニュアルなどによって明確化することが求められます。そのため、問題を最小限に抑えることが可能です。
このように、リスクへの対応力が高い企業は、問題が発生してもいち早く復旧でき、事業継続性が高い状態を維持できるのです。
ISO27001とISO27017はどちらも取得すべき?
ISO27001とISO27017の両方を取得する企業も増えています。そこで、ここでは両者の関係性と両方を取得すべき理由について解説します。
ISO27001とは
ISO27001とは、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
組織が保持する情報資産を、サイバー攻撃や不正アクセスなどの情報セキュリティリスクから保護、管理する体制づくりを目指します。
そのために、ISO27001では情報セキュリティの三要素として「機密性」「完全性」「可用性」をバランスよく向上するように取り組みます。
ISO27001とISO27017の関係性
ISO27001とISO27017の両方を取得すべきかどうかを検討するうえで、まずISO27001とISO27017の関係性を理解しましょう。両者の関係性や対象・目的の違いをまとめました。
| ISO27001 | ISO27017 | |
|---|---|---|
| 関係性 | ISMSに関する規格群(ISO27000シリーズ)の中核を担う規格 | ISO27001のアドオン認証(ISO27001への追加取得が前提) |
| 対象 | 業種・業態問わず、あらゆる組織 | クラウドサービスを提供・利用している組織 |
| 目的 | 情報セキュリティにおける「機密性」「完全性」「可用性」という3要素をバランスよく高め、マネジメントすること | クラウドサービスにおける情報セキュリティ体制を強化すること |
つまり、ISO27017は「ISO27001で構築・運用するISMSにおいて、クラウドサービスに関する情報セキュリティを補完する」ための規格であることがわかります。
またISO27017と検索すると、「ISMSクラウドセキュリティ認証」という言葉が出てくることがあります。この2つの関係性は、ISO27017は「規格」であり、ISMSクラウドセキュリティ認証は、「ISO27017規格に対応する認証制度」のことで、ほぼ同じ意味です。
ISO27001とISO27017の両方を取得すべき理由
ISO27001とISO27017の両方を取得すべき理由は、ISO27017が制定された背景を知ることでわかります。
2005年に情報セキュリティマネジメントシステム(ISMS)の要求事項をまとめた規格であるISO27001が制定されました。
その後、インターネットの発展とともに、クラウドサービスを提供・利用する企業が急増しました。しかし、ISO27001はクラウドサービスの安全性の維持が想定されていなかったため、情報セキュリティ体制を強化するには不十分だったのです。
データの消失や個人情報の漏洩などに対するクラウドセキュリティの強化が求められ、2015年に制定されたのがISO27017です。
つまり、ISO27001だけではクラウドサービスを含む情報セキュリティ体制の確立は難しかったため、ISO27017が制定されたのです。
こうした背景から、クラウドサービスを提供・利用している組織はISO27001とISO27017の両方を取得することで、強固な情報セキュリティ体制の構築・運用につながるでしょう。
ISO27017を取得する方法
ISO27001をすでに取得している場合のISO27017を取得する流れを以下にまとめました。
- ISO27017の適用範囲を決定する(ISO27001の適用範囲内)
- 要求事項に沿ったISMSの改良と情報セキュリティ管理策を実施する
- 取得審査を受ける
- ISO27017を認証される
ISO27001を取得していない場合には、ISO27001の要求事項を満たすISMSを構築することがまず必要です。そのため、ISO27001の取得有無により工程は異なるため、ISOコンサルに依頼することがおすすめです。
ISO27017の要求事項や管理策の詳細は、以下の記事をご覧ください。
ISO27017取得企業は、今後も増加するか
ISO27017は管理対象が限定されていることから、2025年5月現在、取得企業数は1,000件未満と少ない状態です。そのため、「ISO27017を取得する必要はないのではないか」と考えている企業も多いのではないでしょうか。
そこで、ここでは2024年に行われたIT企業以外の経営者約1,000人を対象にしたアンケート調査から、「ISO27017取得企業は今後も増加するかどうか」について予測を立ててみます。
まず、情報漏えいの対策を行っているかどうかを行ったところ、以下のような回答が得られました。
情報漏えいの対策を行っている企業は、全体の47.1%と半数以下にとどまりました。その理由を尋ねると、以下のような回答が得られました。
- 小規模な企業だからリスクは低いと思うから(46.1%)
- いままで情報漏洩していないから(30.5%)
- 金額が高そうだから(30.3%)
情報セキュリティに対する誤った認識や楽観的な考え、コストに対する懸念が、情報漏洩の対策を行う障壁になっていることが明らかになりました。
しかし、一方で「今後さらに会社としてセキュリティ対策に取り組んで行く予定ですか?」と質問したところ、以下のような回答が得られました。
- 現状を維持・継続していく予定(63.0%)
- 強化していく予定(24.4%)
- 見直し・改善を検討中(12.6%)
強化予定と見直し・改善検討中を合わせると約4割となり、約1/3の企業が更なる対策の必要性を感じていることが示されました。そして、その理由として「顧客や取引先からの信頼度向上(31.9%)」「企業価値の維持と向上(30.7%)」「法的・社会的責任のため(16.1%)」と答えました。
この結果から、情報セキュリティ対策に取り組む理由は、単なるリスク軽減だけでなく、顧客や取引先からの信頼関係や自社のブランドイメージを守るための手段でもあることがわかります。
ここまでアンケート調査の傾向から、IT技術の進化により、情報セキュリティリスクはますます巧妙化・悪質化していくと予測されます。そのため、現在はまだ情報セキュリティ対策を行っていない企業においても、ゆくゆくは対策を実施する企業が増えるでしょう。
そのため、ISO27017の取得企業は、ISO27001の取得企業数と同様に増加する予測が立てられます。
まとめ
ISO27017はクラウドセキュリティのための国際規格です。
クラウドは急速に普及し、SaaS・PaaS・IaaSなどは現代社会になくてはならないサービスとなっています。だからこそ、セキュリティリスクから守る必要があり、クラウドの安全性を確保したISMSを構築するのが重要なのです。
ISO27017のメリットは対外的な信頼性の向上・情報セキュリティリスクの低減・情報管理体制の整理と従業員のモラル向上・事業継続性の向上の4つがあります。取得によって、ISMSをより強固にできるだけでなく、他社との差別化もできるのです。
ぜひクラウドサービスを提供している企業は取得を検討してはいかがでしょうか。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい