【完全版】ISO27017とは?取得メリット・認証の流れをわかりやすく解説
- ISO27017はISO27001のアドオン認証規格。単独での取得はできない
- ISO27017とISMSクラウドセキュリティ認証はほぼ同じ意味
- ISO27017の要求事項は、適用範囲・リスクアセスメント、内部監査
クラウドを提供・利用している企業の方にとって、ISO27017の取得を目指すときに切っても切れないものが要求事項です。要求事項の内容理解なしにはクラウド情報セキュリティのマネジメントシステムは構築できません。
そこで、この記事ではISO27017を取得する際に理解すべきISO27001との関連性や要求事項、取得している有名企業について解説します。
目次
ISO27017認証とは
ここでは、ISO27017の概要や必要性、対象となる事業主などの基本的な情報をまとめました。
ISO27017の概要
ISO27017とは、国際標準化機構(International Organization for Standardization)が規定している「クラウドサービスにおける情報セキュリティに関する国際的な認証規格」です。また、ISMS クラウドセキュリティ認証とも呼ばれています。
クラウドサービスとは、インターネット上で、データやソフトウェアなどのコンピューター資源を提供するサービスのことです。例えば、Webメールや写真アルバム、SNSなどのサービスが挙げられます。
クラウドサービスは利便性が高い一方で、個人情報の漏えい・不正アクセス・サイバー攻撃といったセキュリティリスクにさらされています。こうしたリスクに対応するため、ISO27017はクラウドサービスに関するセキュリティ管理策を示しています。
ISO27017認証の対象事業者
ISO27017認証を取得できる事業者は、以下のいずれかの事業者に限定されています。
- クラウドサービスを提供している事業者(クラウドサービスプロパイダ:CSP)
- クラウドサービスを利用している事業者(クラウドサービスカスタマ:CSC)
- クラウドサービスを提供し、かつ利用している事業者
ISO27017は、クラウドサービスにおける情報セキュリティに関する規格であるため、クラウドサービスを提供・利用していない事業者はISO27017を取得できません。
ISO27017が必要とされる背景
近年、クラウドサービスの利用は急速に拡大しており、企業の機密情報や個人情報といった重要データをクラウド上に保存するケースが増えています。しかし、クラウド環境ではデータが物理的に手元に存在しないため、情報漏えいやサービス停止などのリスクを完全に排除することはできません。
そのため、クラウド事業者が適切なセキュリティ管理を行っていることを第三者が証明するために、ISO27017認証の必要性が高まっています。
また、クラウドサービスを利用する企業にとっても、ISO27017認証を取得している事業者を選定することが、情報セキュリティやコンプライアンスの確保につながると考えられています。
ISO27017とISO27001の関連性
ここでは、ISO27017とISO 27001の関係性や他の関連規格について解説します。両者はよく混同されがちですが、それぞれの役割や位置づけを正しく理解することが重要です。
ISO27001との違い
ISO27001とは、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報資産全般を対象としており、あらゆる業種・組織に適用できる汎用的な仕組みづくりについて規定しています。
一方でISO27017は、ISO27001をベースとしつつ、クラウドサービスに特化した管理策を示している点が大きな違いです。
こうした違いがあり、ISO27017はISO27001の「アドオン規格(拡張規格)」として位置づけられています。これは、ISO27017は単独で運用するものではなく、ISO27001を取得したうえで、クラウド特有のリスクに対応するために追加取得する規格であることを指しています。
つまり、ISO27017を取得するには、「事前にISO27001を取得する」もしくは「ISO27001と同時に取得する」ことが必要です。
他の関連規格一覧
ISO規格では、情報セキュリティ全般に対応できるように、以下のようなISO27000シリーズを発行しています。
ISO27002
ISO27001の管理策を実践するために、ISMSの具体的な基準をまとめた規格です。実践するための具体的な方法が示されており、ISO27001を取得する際の参考資料として利用できます。
ISO27018
クラウドサービスにおける個人情報セキュリティに関する規格です。ISO27017よりもさらに対象が狭く、個人情報に特化した管理策を示しています。
ISO27001のアドオン規格であるため、「ISO27001+ISO27018」の形でないと取得できません。
ISO27701
プライバシー情報セキュリティに関する規格です。組織が保有している個人情報に関する資産を、情報セキュリティリスクから保護することを目的としています。
ISO27001のアドオン規格であるため、「ISO27001+ISO27701」の形でないと取得できません。
またISO27000シリーズの詳細については下記をご覧ください。
ISO27017を取得するメリット・デメリット
ここでは、ISO27017を取得するメリット・デメリットを解説します。
メリット
以下に、ISO27017を取得する主なメリットをまとめました。
- クラウドサービスにおける情報セキュリティ体制の確立
- 情報セキュリティリスクの低減
- 顧客や利害関係者からの信頼性の向上
- 新規顧客の獲得
クラウドサービスにおける情報セキュリティ管理体制を構築・運用することで、内部統制の強化や従業員の情報セキュリティに対する意識が向上するなどの社内におけるメリットを得られます。
また、ISO27017という国際規格を取得することで、「自社の情報セキュリティ体制は国際的な基準をクリアしている」という証明になります。対外的なPRに役立てることで、顧客からの信頼を獲得し、競争優位性の確保にもつながるでしょう。
デメリット
以下に、ISO27017を取得する主なデメリットをまとめました。
- 新たな文書作成やルール運用などによる労力がかかる
- 取得・維持に費用がかかる
クラウドセキュリティを強化するために、新たにマニュアル作成やリスクアセスメントなどの取り組みを実施することが必要です。そのため、従業員の負担が大きくなる可能性があります。
ISO27017を取得する際には、必ず審査費用がかかります。ISOコンサルに取得サポートを依頼する場合には別途コストが発生することにも留意しましょう。
ISO27017の要求事項(JIP-ISMS517-1.0)の構成
ISO27017の規格要求事項は、以下のように第1章~第18章の本文と附属書A・附属書Bで構成されています。
ISO27017の要求事項
1.適用範囲
2.引用規格
3.定義及び略語
4.クラウド分野固有の概念
5.情報セキュリティのための方針群
6.情報セキュリティのための組織
7.人的資源のセキュリティ
8.資産の管理
9. アクセス制御
10.暗号
11.物理的及び環境的セキュリティ
12.運用のセキュリティ
13.通信のセキュリティ
14.システムの取得、開発及び保守
15.供給者関係
16.情報セキュリティインシデント管理
17.事業継続マネジメントにおける情報セキュリティの側面
18.順守附属書A:クラウドサービス特有の拡張管理策集
附属書B:クラウドコンピューティングの情報セキュリティリスクに関する参考文献
要求事項の詳細は、日本規格協会グループのホームページ(外部リンク)で入手可能です。
ISO27017特有の管理策一覧
ISO27001に則ったISMSを構築していることが前提です。ISO27017を取得する際には、クラウドサービスに適応するためにISMSで構築したシステムの改良が求められます。
そのために、以下の7つのクラウドサービス固有の情報セキュリティ管理策の追加を行わなければいけません。
6.3.1クラウドコンピューティング環境における役割及び責任の共有及び分担
クラウドサービスのプロバイダが、適切な対応をするための役割分担を明確にし、それを社内へ共有し分担する必要性を示した管理策です。
8.1.5クラウドサービスカスタマの資産の除去
クラウドサービスのプロバイダが、カスタマの情報を削除する際の取り扱いルールの必要性を示した管理策です。
9.5.1仮想コンピューティング環境における分離
IaaSやSaaSのプロバイダが、利用者が他の利用者から分離している状態や、社内環境からクラウド環境が適切に分離されている状態を確実に実施する必要性を示した管理策です。
9.5.2仮想マシンの要塞化
クラウドサービスのプロバイダが自社でサーバー管理をしている場合に、インフラ体制のセキュリティも万全にする必要性を示した管理策です。
12.1.5実務管理者の運用のセキュリティ
クラウドサービスのプロバイダが、利用者が正しい行動をとれるマニュアルや手順書などを作成する必要性を示した管理策です。
12.4.5クラウドサービスの監視
クラウドサービスのプロバイダが、利用者のクラウドの容量や能力を監視する必要性を示した管理策です。
13.1.4仮想及び物理ネットワークのセキュリティ管理の整合
自社でクラウドサービスのインフラを管理しているプロバイダが、物理的な制約を受けないように、仮想サーバーにおけるルール制定の必要性を示した管理策です。
ISO27017の要求事項では、7つの管理策を追加して、ISMSを土台として取り組みましょう。
ISO27017取得の流れについえは以下の記事をご覧ください。
ISO27017の要求事項におけるポイント
ここでは、認証審査(取得審査)においてポイントを解説します。
適用範囲を決める
クラウドサービス(IaaS、PaaS、SaaS)のプロバイダ(提供者)かカスタマ(利用者)か、それとも両方なのかを明確にする必要があります。自社の立場によって、必要な管理策が異なるためです。
| クラウドプロバイダ | クラウドサービス(IaaS、PaaS、SaaS)を提供している企業 |
|---|---|
| クラウドカスタマ | クラウドサービス(IaaS、PaaS、SaaS)を利用している企業 |
| クラウドプロバイダ及びクラウドカスタマ | クラウドサービス(IaaS、PaaS、SaaS)を提供し、自社もクラウドサービスを利用している企業 |
立場を明確にしたうえで、クラウドを含めたISMSの適用範囲を定めましょう。また、ISO27017はISO27001のアドオン認証であるという観点から、適用範囲はISO27001の範囲と同じかその一部でなければなりません。
リスクアセスメント/リスク対応を行う
リスクアセスメントでは、自社の立場(プロバイダ・カスタマ・両方のいずれか)をふまえ、クラウドサービスにおけるリスクを見つけ出して分析、評価を行います。またリスク対応では、特定したリスクに対する管理策の作成が必要です。
作成する際には、ISO27001の附属書AやISO27017の管理策を確認し、漏れている箇所がないかチェックしましょう。最終的には、立場を明確にして管理策を記載した適用宣言書を作成することが求められます。
内部監査を行う
内部監査は、ISMSとISMSクラウドセキュリティ認証の要求事項が満たされているか、また構築した管理体制が実施されているかを確認するために行います。第一者監査と呼ばれ、企業内の人員もしくは外部コンサルタントによって行われます。企業は一定間隔で内部監査を実施しなければいけません。
ISO27017を取得する流れ
以下に、ISO27017を取得する流れをまとめました。
- 適用範囲を決定する
- 審査機関を選定する
- 情報セキュリティ対策を実施する
- 審査機関による審査を受ける
- ISO27017認証取得
ISO27001をすでに取得しているかどうかにより、工程や流れも異なります。
各企業の状況によって柔軟な対応が必要であることから、知識やノウハウが不足していると感じる場合には、ISO認証取得支援コンサルティングサービスを利用することがおすすめです。
ISO27017取得にかかる費用・期間の目安
ISO27017を取得する際にかかる費用や期間は、企業の規模やクラウドサービスの複雑さ、ISO27001取得の有無などの要因によって大きく異なります。そのため、ここではISO27017取得にかかる費用・期間の一般的な目安を解説します。
費用相場
ISO27017取得にかかる費用相場は、「ISO27001を取得しているかどうか」「コンサルタントにサポートを依頼するかどうか」で大きく異なります。以下に、一般的な目安をまとめました。
| ISO2700+ISO27017 | ISO27017のみ | |
|---|---|---|
| 審査費用 | 100万円~250万円 | 40万円~150万円 |
| コンサルティング費用 | 80万円~150万円 | 50万円~70万円 |
ただし、審査機関や企業規模、コンサルティング会社によっても異なるため、正確な費用は見積もりを依頼しましょう。
期間の目安
ISO27017の取得期間は、「ISO27001を取得しているかどうか」「コンサルタントにサポートを依頼するかどうか」で大きく異なります。以下に、一般的な目安をまとめました。
- ISO27001+ISO27017:8か月~10か月程度
- ISO27017のみ:6か月程度
ただし、コンサルタントにサポートを依頼しない場合には、1年以上の期間が必要となる場合もあります。
ISO27017の取得企業数・主な有名企業一覧
ここでは、ISO27017の取得企業数・主な有名企業一覧を紹介します。
最新の取得企業数
最新の取得企業数は、情報マネジメント認定センターの「ISMSクラウドセキュリティ認証取得組織検索」から、いつでも確認できます。国内の取得企業数は2025年9月12日現在704社と、2025年1月20日時点で623社だったため、増加傾向にあります。
「自社と同じ業種の取得状況はどうか」「競合他社が取得しているかどうか」などを把握することで、ISO27017を取得するかどうかの判断材料として役立ちます。
主な取得有名企業一覧
ISO27017を取得している主な有名企業をまとめました。
- アットホーム株式会社
- 伊藤忠テクノソリューションズ株式会社
- NTT東日本株式会社
- NTTドコモソリューションズ株式会社
- キヤノン株式会社
- 京セラコミュニケーションシステム株式会社
- コニカミノルタ株式会社
- サイボウズ株式会社
- ソフトバンク株式会社
- 大日本印刷株式会社
- 株式会社デンソー
- 東芝デジタルソリューションズ株式会社
- 株式会社野村総合研究所
- パナソニック ソリューションテクノロジー株式会社
- 株式会社日立システムズ
- 富士通株式会社
- 三菱電機デジタルイノベーション株式会社
また、日本だけでなく、世界的にもISO27017を取得する動きは高まっています。世界の三大クラウドサービスプロバイダと呼ばれる以下の企業も取得しています。
- AWS(Amazon)
- GCP(Google)
- Azure(Microsoft)
国内外問わず、多くの大手企業や有名企業がISO27017を取得しています。このことから、顧客やパートナー企業に対して安心感を提供し、ビジネス上の競争力向上にも寄与していることがわかります。
さらに、IT系中小企業経営者約1,000人にアンケートを取った結果、「ISO27001などの認証を取得することで、取引先や顧客からセキュリティに関する信頼が得られる」、反対に「ISO27001などの認証がないことで、契約できなかった経験がある」など、取引に影響がある可能性が高いことがわかりました。
関連記事:ISO27017の取得企業数は増加傾向!クラウドサービス企業が取得すべきメリットとは?
まとめ
ISO27017は単独での取得ができない規格であり、ISO27001でカバーできないクラウドサービスのセキュリティ体制を強化できます。管理策の追加が必要となるため、特にISO27001を得ている企業においては構築したISMSと適合するように新たに構築することが重要です。
ISO27017の構築は、ISO27001との適合がポイントである点を覚えておき、自社に適したクラウドセキュリティを築きましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい