ISO27017とは?要求事項や管理策をわかりやすく解説
- ISO27017はISO27001のアドオン認証規格。単独での取得はできない
- ISO27017とISMSクラウドセキュリティ認証はほぼ同じ意味
- ISO27017の要求事項は、適用範囲・リスクアセスメント、内部監査
クラウドを提供・利用している企業の方にとって、ISO 27017の取得を目指すときに切っても切れないものが要求事項です。要求事項の内容理解なしにはクラウド情報セキュリティのマネジメントシステム 構築はできません。
そこで、この記事ではISO27017を取得する際に理解すべきISO27001との関連性や要求事項、取得している有名企業について解説します。
目次
ISO27017認証とは
ISO27017とは、国際標準化機構(International Organization for Standardization)が規定しているクラウドセキュリティに関する国際的な認証
規格
です。
クラウドサービスとは、インターネット上で、データやソフトウェアなどのコンピューター資源を提供するサービスのことです。わかりやすい例としては、Webメールや写真アルバム、SNSなどのサービスが挙げられます。
クラウドサービスは利便性に優れている一方で、個人情報の漏えいや不正アクセス、サイバー攻撃などのセキュリティリスクにさらされています。そのため、利用者が安心してクラウドサービスを利用できるようにISO27017が発行されました。
ISO27017を取得するには、認証機関による審査を受ける必要があります。
ISO27017認証を取得できる事業者とは
ISO27017認証を取得できる事業者は、以下のいずれかの事業者に限定されています。
- クラウドサービスを提供している事業者(クラウドサービスプロパイダ)
- クラウドサービスを利用している事業者(クラウドサービスカスタマ)
- クラウドサービスを利用・提供している事業者
ISO27017は、クラウドサービスにおける情報セキュリティに関する規格であるため、クラウドサービスを提供・利用していない事業者はISO27017を取得できません。
ISO27017とISO27001、ISMSクラウドセキュリティ認証との関係性
ISO27017を取得するには、ISO27001とISMSクラウドセキュリティ認証の仕組みについても理解しなければいけません。そのため、ここではISO27017とISO27001、ISMSクラウドセキュリティ認証との関係性について解説します。
ISO27001(ISMS)とISO27017の関係
ISO27001(ISMS)とISO27017は、国際標準化機構によって発行されているISO規格ですが、対象の範囲が異なります。
ISO27001は、2005年に発行された情報セキュリティマネジメントシステム(以下ISMS)を構築する規格です。ただし、クラウドサービスの安全性を保つことは想定されていなかったため、クラウドサービスの情報セキュリティを強化するには不十分でした。
そのため、2015年に強固なクラウドセキュリティを構築可能な、ISO27017が発行されました。ISO27017はISO27001に追加する形でのみ取得が可能な「アドオン認証」であるため、単独での取得はできません。ISO27017を取得するには、ISO27001を先に取得するか、同時に取得する必要があります。
ISO27017は、ISO27001では不十分なクラウドサービスにおける情報セキュリティを補う規格である点を押さえておきましょう。
ISO27001の取得方法については下記の記事でまとめておりますので、ぜひチェックしてください。
ISMSクラウドセキュリティ認証とISO27017の関係
ISO27017とは、クラウドセキュリティにおける国際規格です。
一方、ISMSクラウドセキュリティ認証とは、ISO27001(ISMS)を前提としつつ、ISO27017規格に基づいた要求事項を満たしている組織であることを認証するための制度です。
そのため、ISO27017とISMSクラウドセキュリティ認証はほぼ同じ意味で使われます。
ISO27017を取得するメリット・デメリット
ここでは、ISO27017を取得するメリット・デメリットを解説します。
メリット
以下に、ISO27017を取得する主なメリットをまとめました。
- クラウドサービスにおける情報セキュリティ体制の確立
- 情報セキュリティリスクの低減
- 顧客や利害関係者からの信頼性の向上
- 新規顧客の獲得
クラウドサービスにおける情報セキュリティ管理体制を構築・運用することで、内部統制の強化や従業員の情報セキュリティに対する意識が向上するなどの社内におけるメリットを得られます。
また、ISO27017という国際規格を取得することで、「自社の情報セキュリティ体制は国際的な基準をクリアしている」という証明になります。対外的なPRに役立てることで、顧客からの信頼を獲得し、競争優位性の確保にもつながるでしょう。
デメリット
以下に、ISO27017を取得する主なデメリットをまとめました。
- 手間がかかる
- 費用がかかる
クラウドセキュリティを強化するために、新たにマニュアル作成やリスクアセスメントなどの取り組みを実施することが必要です。そのため、従業員の負担が大きくなる可能性があります。
またISO27017を取得する際には、必ず審査費用がかかります。ISOコンサルに取得サポートを依頼する場合には別途コストが発生することも留意しましょう。
ISO27017の要求事項(JIP-ISMS517-1.0)の構成
ISO27017の規格要求事項は、以下のように第1章~第18章の本文と、附属書A・附属書Bの構成になっています。
ISO27017の要求事項
1.適用範囲
2.引用規格
3.定義及び略語
4.クラウド分野固有の概念
5.情報セキュリティのための方針群
6.情報セキュリティのための組織
7.人的資源のセキュリティ
8.資産の管理
9. アクセス制御
10.暗号
11.物理的及び 環境 的セキュリティ
12.運用のセキュリティ
13.通信のセキュリティ
14.システムの取得、開発及び保守
15.供給者関係
16.情報セキュリティ インシデント 管理
17.事業継続マネジメントにおける情報セキュリティの側面
18.順守附属書A:クラウドサービス特有の拡張管理策集
附属書B:クラウドコンピューティングの情報セキュリティリスクに関する参考文献
要求事項の詳細は、日本規格協会グループのホームページ(外部リンク)で入手可能です。
ISO27017の要求事項を実現するために必要な管理策一覧
ISO27001に則ったISMSを構築していることが前提です。ISO27017を取得する際には、クラウドサービスに適応するためにISMSで構築したシステムの改良が求められます。
そのために、以下の7つのクラウドサービス固有の情報セキュリティ管理策の追加を行わなければいけません。
6.3.1クラウドコンピューティング環境における役割及び責任の共有及び分担
クラウドサービスのプロバイダが、適切な対応をするための役割分担を明確にし、それを社内へ共有し分担する必要性を示した管理策です。
8.1.5クラウドサービスカスタマの資産の除去
クラウドサービスのプロバイダが、カスタマの情報を削除する際の取り扱いルールの必要性を示した管理策です。
9.5.1仮想コンピューティング環境における分離
IaaSやSaaSのプロバイダが、利用者が他の利用者から分離している状態や、社内環境からクラウド環境が適切に分離されている状態を確実に実施する必要性を示した管理策です。
9.5.2仮想マシンの要塞化
クラウドサービスのプロバイダが、自社でサーバー管理をしている場合に、インフラ体制のセキュリティも万全にする必要性を示した管理策です。
12.1.5実務管理者の運用のセキュリティ
クラウドサービスのプロバイダが、利用者が正しい行動をとれるマニュアルや手順書などを作成する必要性を示した管理策です。
12.4.5クラウドサービスの監視
クラウドサービスのプロバイダが、利用者のクラウドの容量や能力を監視する必要性を示した管理策です。
13.1.4仮想及び物理ネットワークのセキュリティ管理の整合
自社でクラウドサービスのインフラを管理しているプロバイダが、物理的な制約を受けないように、仮想サーバーにおけるルール制定の必要性を示した管理策です。
ISO27017の要求事項では、7つの管理策を追加して、ISMSを土台として取り組みましょう。
ISO27017取得の流れについえは以下の記事をご覧ください。
ISO27017の要求事項におけるポイント
ここでは、認証審査(取得審査)においてポイントとなる以下の3つの事項について解説します。
- 適用範囲を決める
- リスクアセスメント/リスク対応を行う
- 内部監査を行う
3つについて詳しく解説しますので、制度を受ける際の参考にしてください。
適用範囲を決める
クラウドサービス(IaaS、PaaS、SaaS)のプロバイダ(提供者)かカスタマ(利用者)か、それとも両方なのかを明確にする必要があります。自社の立場によって、必要な管理策が異なるためです。
- クラウドプロバイダ:クラウドサービス(IaaS、PaaS、SaaS)を提供している企業
- クラウドカスタマ:クラウドサービス(IaaS、PaaS、SaaS)を利用している企業
- クラウドプロバイダ及びクラウドカスタマ:クラウドサービス(IaaS、PaaS、SaaS)を提供し、自社もクラウドサービス(IaaS、PaaS、SaaS)を利用している企業
立場を明確にしたうえで、クラウドを含めたISMSの適用範囲を定めましょう。また、ISO27017はISO27001のアドオン認証であるという観点から、適用範囲はISO27001の範囲と同じかその一部でなければなりません。
リスクアセスメント/リスク対応を行う
リスクアセスメントでは、自社の立場(プロバイダ・カスタマ・両方のいずれか)をふまえ、クラウドサービスにおけるリスクを見つけ出して分析、評価を行います。
リスク対応では、特定したリスクに対して管理策の作成が必要です。
作成する際には、ISO27001の附属書AやISO27017の管理策を確認し、漏れている箇所がないかチェックしましょう。最終的には、立場を明確にして管理策を記載した適用宣言書を作成しなければいけません。
内部監査を行う
内部監査は、ISMSとISMSクラウドセキュリティ認証の要求事項が満たされているか、また構築した管理体制が実施されているかを確認するために行います。
第一者監査と呼ばれ、企業内の人員もしくは外部コンサルタントによって行われます。企業は一定間隔で内部監査を実施しなければいけません。
ISO27017を取得する流れ
以下に、ISO27017を取得する流れをまとめました。
- 適用範囲を決定する
- 審査機関を選定する
- 情報セキュリティ対策を実施する
- 審査機関による審査を受ける
- ISO27017認証取得
ISO27001をすでに取得しているかどうかにより、工程や流れも異なります。
各企業の状況によって柔軟な対応が必要であることから、知識やノウハウが不足していると感じる場合には、ISO認証取得支援コンサルティングサービスを利用することがおすすめです。
ISO27017の取得企業
国内の取得企業数は2024年8月17日現在568社です。情報マネジメント認定センターの「ISMSクラウドセキュリティ認証取得組織検索
」でいつでも最新のデータを確認できます。
日本だけでなく、世界的にもISO27017を取得する動きは高まっています。世界の三大クラウドサービスプロバイダと呼ばれる以下の企業も取得しています。
- AWS(Amazon)
- GCP(Google)
- Azure(Microsoft)
情報サービス業においては、情報セキュリティ体制の質を証明できる第三者認証は非常に重要です。クラウドサービスを提供している企業だけでなく、事業活動に利用している企業は、取得を検討することがおすすめです。
ISO27017の取得企業数の詳しい推移や取得すべき業種は、以下の記事をご覧ください。
まとめ
ISO27017は単独での取得ができない規格であり、ISO27001でカバーできないクラウドサービスのセキュリティ体制を強化できます。管理策の追加が必要となるため、特にISO27001を得ている企業においては構築したISMSと適合するように新たに構築することが重要です。
ISO27017の構築は、ISO27001との適合がポイントである点を覚えておき、自社に適したクラウドセキュリティを築きましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい