【完全版】ISO27017とは?取得メリット・認証の流れをわかりやすく解説
FAQISO27017に関するよくある質問
ISO27017だけ取得できますか?
ISO27017単独での取得はできません。ISO27017はISO27001のアドオン認証規格のため、ISO27001を取得済みもしくはISO27001との同時取得をする必要があります。
ISO27017とISMSクラウドセキュリティ認証って何か違うの?
ISO27017とISMSクラウドセキュリティ認証はほぼ同じ意味です。
クラウドサービスの活用が当たり前となった今、企業は利便性だけでなく安全性の確保が求められています。
情報漏えいや不正アクセスといったリスクが高まる中で、クラウド環境におけるセキュリティ対策をどのように強化すべきか悩んでいる方も多いのではないでしょうか。特に、取引先からセキュリティ水準の証明を求められるケースも増えており、客観的な基準への対応が重要になっています。
そこで、この記事ではクラウドサービスの安全性を国際基準に基づいて証明できるISO27017について、ISO27001との違いや関連性、要求事項のポイント、実際の取得企業事例などをわかりやすく解説します。
目次
ISO27017認証とは?
ISO27017とは、クラウドサービス向けの情報セキュリティマネジメントシステムに関する国際規格 です。国際標準化機構(ISO)が定めており、「ISMS クラウドセキュリティ認証」と呼ばれることもあります。
そもそもクラウドサービスとは、インターネットを通じてデータやソフトウェアを利用できる仕組みのことです。例えば、オンラインストレージやWebメール、業務用SaaSなどが該当しており、現在では、ほとんどの企業が日常業務でクラウドを活用しています。
クラウドサービスは利便性が高い一方で、個人情報の漏えい・不正アクセス・サイバー攻撃といったセキュリティリスクも伴います。そこで、クラウド特有のリスクに対応するため、ISO27017では提供者と利用者それぞれが実施すべきセキュリティ管理策を示しています。
ISO27017認証は、自社のクラウド環境のセキュリティ対策が「国際基準に沿って適切に運用していること」を第三者機関が客観的に証明する仕組みです。認証取得により、自社のセキュリティ対策が国際基準を満たしている旨を社外に示す手段となります。
ISO27017認証の対象となる企業・組織
ISO27017認証を取得できるのは、クラウドサービスに関係している事業者です。具体的には、次のいずれかに該当する必要があります。
- クラウドサービスを提供している事業者(クラウドサービスプロパイダ:CSP)
- クラウドサービスを利用している事業者(クラウドサービスカスタマ:CSC)
- クラウドサービスを提供し、かつ利用している事業者
ISO27017は、クラウドサービス環境に特化した規格であるため、クラウドサービスの提供・利用のいずれにも該当しない事業者は、原則としてISO27017を取得できません。
まずは、自社が「提供側」「利用側」「両方」のどの立場に当てはまるのかを整理してみましょう。
なぜ、今ISO27017取得が求められるのか?
昨今、ISO27017取得が求められる背景には、急速なクラウドサービスの普及が挙げられます。
近年、クラウドサービスの利用は急速に拡大しており、企業の機密情報や個人情報といった重要データをクラウド上に保存するケースが増えています。しかし、クラウド環境ではデータが物理的に手元に存在しないため、情報漏えいやサービス停止などのリスクを完全に排除することはできません。
そのため、クラウド事業者が適切なセキュリティ管理を行っていることを第三者が証明するために、ISO27017認証の必要性が高まっています。
またクラウドサービスを利用する企業にとっても、ISO27017認証を取得している事業者を選定することは、自社の情報セキュリティやコンプライアンスの確保につながると考えられています。
ISO27017とISO27001の関連性
ここでは、ISO27017とISO 27001の関係性や他の関連規格について解説します。両者はよく混同されがちですが、それぞれの役割や位置づけを正しく理解することが重要です。
ISO27001との違い
ISO27001とは、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報資産全般を対象としており、あらゆる業種・組織に適用できる汎用的な仕組みづくりについて規定しています。
一方でISO27017は、ISO27001をベースとしつつ、クラウドサービスに特化した管理策を示している点が大きな違いです。
こうした違いがあり、ISO27017はISO27001の「アドオン規格(拡張規格)」として位置づけられています。これは、ISO27017は単独で運用するものではなく、ISO27001を取得したうえで、クラウド特有のリスクに対応するために追加取得する規格であることを指しています。
つまり、ISO27017を取得するには、「事前にISO27001を取得する」もしくは「ISO27001と同時に取得する」ことが必要です。
他の関連規格一覧
ISO規格では、情報セキュリティ全般に対応できるように、以下のようなISO27000シリーズを発行しています。
ISO27002
ISO27001の管理策を実践するための具体的な基準をまとめた規格です。実践するための具体的な方法が示されており、ISO27001を取得する際の参考資料として利用できます。
ISO27018
クラウドサービスにおける個人情報セキュリティに関する規格です。ISO27017よりもさらに対象が狭く、個人情報に特化した管理策を示しています。
ISO27001のアドオン規格であるため、「ISO27001+ISO27018」の形でないと取得できません。
ISO27701
プライバシー情報セキュリティに関する規格です。組織が保有している個人情報に関する資産を、情報セキュリティリスクから保護することを目的としています。
ISO27001のアドオン規格であるため、「ISO27001+ISO27701」の形でないと取得できません。
またISO27000シリーズの詳細については下記をご覧ください。
ISO27017を取得するメリット・デメリット
ここでは、ISO27017を取得するメリット・デメリットを解説します。
メリット
以下に、ISO27017を取得する主なメリットをまとめました。
- クラウドサービスにおける情報セキュリティ体制の確立
- 情報セキュリティリスクの低減
- 顧客や利害関係者からの信頼性の向上
- 新規顧客の獲得
クラウドサービスにおける情報セキュリティ管理体制を構築・運用することで、内部統制の強化や従業員の情報セキュリティに対する意識が向上するなどの社内におけるメリットを得られます。
また、ISO27017という国際規格を取得することで、「自社の情報セキュリティ体制は国際的な基準をクリアしている」という証明になります。対外的なPRに役立てることで、顧客からの信頼を獲得し、競争優位性の確保にもつながるでしょう。
デメリット
以下に、ISO27017を取得する主なデメリットをまとめました。
- 新たな文書作成やルール運用などによる労力がかかる
- 取得・維持に費用がかかる
クラウドセキュリティを強化するために、新たにマニュアル作成やリスクアセスメントなどの取り組みを実施することが必要です。そのため、従業員の負担が大きくなる可能性があります。
ISO27017を取得する際には、必ず審査費用がかかります。ISOコンサルに取得サポートを依頼する場合には別途コストが発生することにも留意しましょう。
ISO27017の要求事項(JIP-ISMS517-1.0)の構成
ISO27017の規格要求事項は、以下のように第1章~第18章の本文と附属書A・附属書Bで構成されています。
ISO27017の要求事項
1.適用範囲
2.引用規格
3.定義及び略語
4.クラウド分野固有の概念
5.情報セキュリティのための方針群
6.情報セキュリティのための組織
7.人的資源のセキュリティ
8.資産の管理
9. アクセス制御
10.暗号
11.物理的及び環境的セキュリティ
12.運用のセキュリティ
13.通信のセキュリティ
14.システムの取得、開発及び保守
15.供給者関係
16.情報セキュリティインシデント管理
17.事業継続マネジメントにおける情報セキュリティの側面
18.順守附属書A:クラウドサービス特有の拡張管理策集
附属書B:クラウドコンピューティングの情報セキュリティリスクに関する参考文献
要求事項の詳細は、日本規格協会グループのホームページ(外部リンク)で入手可能です。
ISO27017特有の管理策一覧
ISO27001に則ったISMSを構築していることが前提です。ISO27017を取得する際には、クラウドサービスに適応するためにISMSで構築したシステムの改良が求められます。
そのためには、以下の7つのクラウドサービス固有の情報セキュリティ管理策の追加を行うことが不可欠です。
| 管理策 | 概要 |
|---|---|
| 6.3.1クラウドコンピューティング環境における役割及び責任の共有及び分担 | クラウドサービスのプロバイダが、適切な対応をするための役割分担を明確にし、それを社内へ共有し分担する必要性を示した管理策です。 |
| 8.1.5クラウドサービスカスタマの資産の除去 | クラウドサービスのプロバイダが、カスタマの情報を削除する際の取り扱いルールの必要性を示した管理策です。 |
| 9.5.1仮想コンピューティング環境における分離 | IaaSやSaaSのプロバイダが、利用者が他の利用者から分離している状態や、社内環境からクラウド環境が適切に分離されている状態を確実に実施する必要性を示した管理策です。 |
| 9.5.2仮想マシンの要塞化 | クラウドサービスのプロバイダが自社でサーバー管理をしている場合に、インフラ体制のセキュリティも万全にする必要性を示した管理策です。 |
| 12.1.5実務管理者の運用のセキュリティ | クラウドサービスのプロバイダが、利用者が正しい行動をとれるマニュアルや手順書などを作成する必要性を示した管理策です。 |
| 12.4.5クラウドサービスの監視 | クラウドサービスのプロバイダが、利用者のクラウドの容量や能力を監視する必要性を示した管理策です。 |
| 13.1.4仮想及び物理ネットワークのセキュリティ管理の整合 | 自社でクラウドサービスのインフラを管理しているプロバイダが、物理的な制約を受けないように、仮想サーバーにおけるルール策定の必要性を示した管理策です。 |
ISO27017の要求事項では7つの管理策を追加して、ISMSを土台として取り組みましょう。
ISO27017取得の流れについては以下の記事をご覧ください。
ISO27017を取得するためのポイント
ISO27017を取得するためのポイントは、「クラウド特有のセキュリティ管理を理解し、責任範囲を明確にしたうえで、既存のISMSと整合的に運用すること」です。
クラウドサービスの特性を踏まえ、提供者と利用者の役割分担やリスクへの対応を整理することが重要です。
ここでは、ISO27017取得に向けて押さえておきたい3つのポイントを解説します。
クラウド事業者と利用者の「責任分界」を明確化する
ISO27017対応で最も重要なのが、クラウドサービスにおける責任分界の明確化です。
クラウド環境では、すべてのセキュリティ責任を一方が担うわけではなく、提供者(CSP)と利用者(CSC)の双方に役割があります。
例えば、物理インフラの保護は提供者側、アクセス権管理や設定管理は利用者側が担うケースが一般的です。この分担が曖昧なままだと、管理の抜け漏れやインシデント時の対応遅れにつながります。
そのため、自社の立場に応じて「どこまでが自社の責任か」を文書化し、契約書や運用ルールに反映させることが、認証取得の重要なポイントとなります。
クラウド特有のリスクに対応した管理策を策定する
ISO27017では、従来のオンプレミス環境とは異なるクラウド特有のリスクへの対応が求められます。
そのためには、ISO27001の管理策をベースにしつつ、クラウド向けの追加管理策を具体的な運用手順として落とし込むことが重要です。特に、設定変更管理、アクセス制御、ログ監視、委託先管理などは重点的に整備する必要があります。
実際のクラウド運用に沿った管理策を策定することが、審査対応でも評価されるポイントです。
ISO27001との統合運用を目指す
ISO27017は単独で運用する規格ではなく、ISO27001(ISMS)の追加規格という位置付けです。そのため、効率的に取得・運用するには、ISO27001との統合運用を前提に体制を整えることが重要です。
ゼロから別体系を作るのではなく、「既存ISMS+クラウド管理策」という考え方で設計することで、2つの規格を運用する負担を抑えつつ、実効性の高い認証体制を構築できます。
ISO27017を取得する流れ
以下に、ISO27017を取得する流れをまとめました。
- 適用範囲を決定する
- 審査機関を選定する
- 情報セキュリティ対策を実施する
- 審査機関による審査を受ける
- ISO27017認証取得
ISO27001をすでに取得しているかどうかにより、工程や流れも異なります。
各企業の状況によって柔軟な対応が必要であることから、知識やノウハウが不足していると感じる場合には、ISO認証取得支援コンサルティングサービスを利用することがおすすめです。
ISO27017を取得する流れ
ISO27017取得にかかる費用・期間の目安
ISO27017を取得する際にかかる費用や期間は、企業の規模やクラウドサービスの複雑さ、ISO27001取得の有無などの要因によって大きく異なります。
そのため、ここではISO27017取得にかかる費用・期間の一般的な目安を解説します。
費用相場
ISO27017取得にかかる費用相場は、約40万~250万円です。
「ISO27001を取得しているかどうか」「コンサルタントにサポートを依頼するかどうか」で大きく異なるため、以下に一般的な目安をまとめました。
| ISO27001+ISO27017 | ISO27017のみ | |
|---|---|---|
| 審査費用 | 100万円~250万円 | 40万円~150万円 |
| コンサルティング費用 | 80万円~150万円 | 50万円~70万円 |
ただし、審査機関や企業規模、コンサルティング会社によっても異なるため、正確な費用は見積もりを依頼しましょう。
期間の目安
ISO27017の取得期間の目安は、約6か月~10か月です。
「ISO27001を取得しているかどうか」「コンサルタントにサポートを依頼するかどうか」で大きく異なるため、以下に一般的な目安をまとめました。
- ISO27001+ISO27017:8か月~10か月程度
- ISO27017のみ:6か月程度
ただし、コンサルタントにサポートを依頼しない場合には、1年以上の期間が必要となる場合もあります。とくに、ISO認証を初めて取得する企業の場合は、スムーズな取得を目的としてコンサルタントへのサポートを依頼するのも選択肢の一つです。
ISO27017の取得企業数・主な有名企業一覧
ここでは、ISO27017の取得企業数・主な有名企業を一覧紹介します。
最新の取得企業数
国内の取得企業数は、2026年2月20日現在で764社です。2025年1月20日時点では623社だったため、増加傾向にあります。
なお、情報マネジメント認定センターの「ISMSクラウドセキュリティ認証取得組織検索」から、いつでも確認できます。
「自社と同じ業種の取得状況はどうか」「競合他社が取得しているかどうか」などを把握することで、ISO27017を取得するかどうかの判断材料として役立ちます。
主な取得有名企業一覧
ISO27017を取得している主な有名企業をまとめました。
- アットホーム株式会社
- 伊藤忠テクノソリューションズ株式会社
- NTT東日本株式会社
- NTTドコモソリューションズ株式会社
- キヤノン株式会社
- 京セラコミュニケーションシステム株式会社
- コニカミノルタ株式会社
- サイボウズ株式会社
- ソフトバンク株式会社
- 大日本印刷株式会社
- 株式会社デンソー
- 東芝デジタルソリューションズ株式会社
- 株式会社野村総合研究所
- パナソニック ソリューションテクノロジー株式会社
- 株式会社日立システムズ
- 富士通株式会社
- 三菱電機デジタルイノベーション株式会社
また、日本だけでなく、世界的にもISO27017を取得する動きは高まっています。世界の三大クラウドサービスプロバイダと呼ばれる以下の企業も取得しています。
- AWS(Amazon)
- GCP(Google)
- Azure(Microsoft)
国内外問わず、多くの大手企業や有名企業がISO27017を取得しています。このことから、顧客やパートナー企業に対して安心感を提供し、ビジネス上の競争力向上にも寄与していることがわかります。
【IT系中小企業経営者約1,000人に聞いた】ISO27001などの認証取得による影響度調査
ISOプロが独自に、IT系中小企業経営者約1,000人を対象にアンケートを取った結果、「ISO27001などの認証を取得することで、取引先や顧客からセキュリティに関する信頼が得られる」、反対に「ISO27001などの認証がないことで、契約できなかった経験がある」など、取引に影響がある可能性が高いことがわかりました。
自社に対するセキュリティ面での信頼性向上や、新たな取引先・契約の獲得に向けて、ISO27001認証、ISO27017認証の取得は効果的な手段であると言えます。
関連記事:ISO27017の取得企業数は増加傾向!クラウドサービス企業が取得すべきメリットとは?
まとめ
ISO27017は単独での取得ができない規格であり、ISO27001でカバーできないクラウドサービスのセキュリティ体制を強化できます。管理策の追加が必要となるため、特にISO27001を取得している企業においては構築したISMSと適合するように新たに構築することが重要です。
ISO27017の構築は、ISO27001との適合がポイントである点を覚えておき、自社に適したクラウドセキュリティを築きましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい