【完全版】ISO27017とは？要求事項や取得ポイントを解説

クラウドを提供・利用している企業の方にとって、ISO27017の取得を目指すときに切っても切れないものが要求事項です。要求事項の内容理解なしにはクラウド情報セキュリティのマネジメントシステム構築はできません。

そこで、この記事ではISO27017を取得する際に理解すべきISO27001との関連性や要求事項、取得している有名企業について解説します。

ISO27017認証とは

ISO27017とは、国際標準化機構（International Organization for Standardization）が規定している「クラウドサービスにおける情報セキュリティに関する国際的な認証規格」です。

クラウドサービスとは、インターネット上で、データやソフトウェアなどのコンピューター資源を提供するサービスのことです。例えば、Webメールや写真アルバム、SNSなどのサービスが挙げられます。

クラウドサービスは利便性に優れている一方で、個人情報の漏えいや不正アクセス、サイバー攻撃などのセキュリティリスクにさらされています。そのため、利用者が安心してクラウドサービスを利用できるようにISO27017が発行されました。

ISO27017を取得するには、認証機関による審査を受けることが必要です。
ISO27017は、ISMSクラウドセキュリティ認証とも呼ばれることもあります。正確には、ISO27001（ISMS)を前提としつつ、ISO27017規格に基づいた要求事項を満たしている組織であることを認証するための制度です。

ISO27017認証の対象事業者

ISO27017認証を取得できる事業者は、以下のいずれかの事業者に限定されています。

• クラウドサービスを提供している事業者（クラウドサービスプロパイダ）
• クラウドサービスを利用している事業者（クラウドサービスカスタマ）
• クラウドサービスを利用・提供している事業者

ISO27017は、クラウドサービスにおける情報セキュリティに関する規格であるため、クラウドサービスを提供・利用していない事業者はISO27017を取得できません。

情報セキュリティにおけるISO27017の位置づけ

ISO27017を取得するには、情報セキュリティにおけるISO27017の位置づけを理解することが大切です。ここでは、ISO27017に関連する規格について解説します。

ISO27017に関連するISO規格

ISO27017の内容はクラウドサービスに関する情報セキュリティに特化しており、情報セキュリティ対策の一部分です。

ISO規格では、情報セキュリティ全般に対応できるように、以下のようなISO27000シリーズを発行しています。

ISO27001

情報セキュリティ全般に関する規格。情報セキュリティを構成する「機密性」「完全性」「可用性」の3つの要素を向上させることを目的としている。

ISO27000シリーズの中核となる規格であり、ISO27017やISO27018などのアドオン規格を取得する際には、必ず取得することが求められる。

ISO27002

ISO27001の管理策を実践するために、ISMS（情報セキュリティマネジメントシステム）の具体的な基準をまとめた規格。

具体的に行う対策を実践するための方法が示されており、ISO27001を取得する際の参考資料として利用できる。

ISO27018

クラウドサービスにおける個人情報セキュリティに関する規格。ISO27017よりもさらに対象が狭く、個人情報に特化した管理策を示している。

ISO27001のアドオン規格であるため、「ISO27001＋ISO27018」の形でないと取得できない。

ISO27701

プライバシー情報セキュリティに関する規格。組織が保有している個人情報に関する資産を、情報セキュリティリスクから保護することを目的としている。

ISO27001のアドオン規格であるため、「ISO27001＋ISO27701」の形でないと取得できない。

またISO27000シリーズの詳細については下記をご覧ください。

ISO27017の必要性

ISO27000シリーズには、ISO27001という情報セキュリティ全般に関する規格があります。そのため、「ISO27001だけで十分ではないのか」と疑問に思う方も多いでしょう。

ISO27001は2005年に発行された規格です。しかし、そのころはまだクラウドサービスの安全性を保つことは想定されていなかったため、クラウドサービスの情報セキュリティを強化するには不十分でした。
そこで、2015年に強固なクラウドセキュリティを構築可能なISO27017が発行されたのです。

つまり、ISO27017は、ISO27001では不十分なクラウドサービスにおける情報セキュリティを補完する役割があるため、クラウドサービスを提供・利用している企業にとっては重要な規格であることがわかります。

ただし、ISO27017はISO27001に追加する形でのみ取得が可能な「アドオン認証」であるため、単独での取得ができない点には注意が必要です。ISO27017を取得するには、ISO27001を先に取得するか、同時に取得する必要があります。

ISO27017を取得するメリット・デメリット

ここでは、ISO27017を取得するメリット・デメリットを解説します。

メリット

以下に、ISO27017を取得する主なメリットをまとめました。

組織内部におけるメリット

• クラウドサービスにおける情報セキュリティ体制の確立
• 情報セキュリティリスクの低減

クラウドサービスにおける情報セキュリティ管理体制を構築・運用することで、内部統制の強化や従業員の情報セキュリティに対する意識が向上するなどの社内におけるメリットを得られます。

組織の対外的なメリット

• 顧客や利害関係者からの信頼性の向上
• 新規顧客の獲得

ISO27017という国際規格を取得することで、「自社の情報セキュリティ体制は国際的な基準をクリアしている」という証明になります。対外的なPRに役立てることで、顧客からの信頼を獲得し、競争優位性の確保にもつながるでしょう。

デメリット

以下に、ISO27017を取得する主なデメリットをまとめました。

手間がかかる

クラウドセキュリティを強化するために、新たにマニュアル作成やリスクアセスメントなどの取り組みを実施することが必要です。そのため、従業員の負担が大きくなる可能性があります。

費用がかかる

ISO27017を取得する際には、必ず審査費用がかかります。ISOコンサルに取得サポートを依頼する場合には別途コストが発生することも留意しましょう。

ISO27017の要求事項（JIP-ISMS517-1.0）の構成

ISO27017の規格要求事項は、以下のように第1章～第18章の本文と、附属書A・附属書Bの構成になっています。

ISO27017の要求事項

1.適用範囲
2.引用規格
3.定義及び略語
4.クラウド分野固有の概念
5.情報セキュリティのための方針群
6.情報セキュリティのための組織
7.人的資源のセキュリティ
8.資産の管理
9. アクセス制御
10.暗号
11.物理的及び環境的セキュリティ
12.運用のセキュリティ
13.通信のセキュリティ
14.システムの取得、開発及び保守
15.供給者関係
16.情報セキュリティインシデント管理
17.事業継続マネジメントにおける情報セキュリティの側面
18.順守

附属書A：クラウドサービス特有の拡張管理策集
附属書B：クラウドコンピューティングの情報セキュリティリスクに関する参考文献

要求事項の詳細は、日本規格協会グループのホームページ（外部リンク）で入手可能です。

ISO27017特有の管理策一覧

ISO27001に則ったISMSを構築していることが前提です。ISO27017を取得する際には、クラウドサービスに適応するためにISMSで構築したシステムの改良が求められます。

そのために、以下の7つのクラウドサービス固有の情報セキュリティ管理策の追加を行わなければいけません。

6.3.1クラウドコンピューティング環境における役割及び責任の共有及び分担

クラウドサービスのプロバイダが、適切な対応をするための役割分担を明確にし、それを社内へ共有し分担する必要性を示した管理策です。

8.1.5クラウドサービスカスタマの資産の除去

クラウドサービスのプロバイダが、カスタマの情報を削除する際の取り扱いルールの必要性を示した管理策です。

9.5.1仮想コンピューティング環境における分離

IaaSやSaaSのプロバイダが、利用者が他の利用者から分離している状態や、社内環境からクラウド環境が適切に分離されている状態を確実に実施する必要性を示した管理策です。

9.5.2仮想マシンの要塞化

クラウドサービスのプロバイダが自社でサーバー管理をしている場合に、インフラ体制のセキュリティも万全にする必要性を示した管理策です。

12.1.5実務管理者の運用のセキュリティ

クラウドサービスのプロバイダが、利用者が正しい行動をとれるマニュアルや手順書などを作成する必要性を示した管理策です。

12.4.5クラウドサービスの監視

クラウドサービスのプロバイダが、利用者のクラウドの容量や能力を監視する必要性を示した管理策です。

13.1.4仮想及び物理ネットワークのセキュリティ管理の整合

自社でクラウドサービスのインフラを管理しているプロバイダが、物理的な制約を受けないように、仮想サーバーにおけるルール制定の必要性を示した管理策です。

ISO27017の要求事項では、7つの管理策を追加して、ISMSを土台として取り組みましょう。

ISO27017取得の流れについえは以下の記事をご覧ください。

ISO27017の要求事項におけるポイント

ここでは、認証審査（取得審査）においてポイントを解説します。

適用範囲を決める

クラウドサービス（IaaS、PaaS、SaaS）のプロバイダ（提供者）かカスタマ（利用者）か、それとも両方なのかを明確にする必要があります。自社の立場によって、必要な管理策が異なるためです。

立場を明確にしたうえで、クラウドを含めたISMSの適用範囲を定めましょう。また、ISO27017はISO27001のアドオン認証であるという観点から、適用範囲はISO27001の範囲と同じかその一部でなければなりません。

リスクアセスメント/リスク対応を行う

またリスク対応では、特定したリスクに対する管理策の作成が必要です。
作成する際には、ISO27001の附属書AやISO27017の管理策を確認し、漏れている箇所がないかチェックしましょう。最終的には、立場を明確にして管理策を記載した適用宣言書を作成することが求められます。

内部監査を行う

第一者監査と呼ばれ、企業内の人員もしくは外部コンサルタントによって行われます。企業は一定間隔で内部監査を実施しなければいけません。

ISO27017を取得する流れ

以下に、ISO27017を取得する流れをまとめました。

1. 適用範囲を決定する
2. 審査機関を選定する
3. 情報セキュリティ対策を実施する
4. 審査機関による審査を受ける
5. ISO27017認証取得

ISO27001をすでに取得しているかどうかにより、工程や流れも異なります。
各企業の状況によって柔軟な対応が必要であることから、知識やノウハウが不足していると感じる場合には、ISO認証取得支援コンサルティングサービスを利用することがおすすめです。

ISO27017の取得企業

国内の取得企業数は2025年1月20日現在623社と増加傾向です。
情報マネジメント認定センターの「ISMSクラウドセキュリティ認証取得組織検索」でいつでも最新のデータを確認できます。

IT系中小企業経営者約1,000人にアンケートを取った結果、「ISO27001などの認証を取得することで、取引先や顧客からセキュリティに関する信頼が得られる」、反対に「ISO27001などの認証がないことで、契約できなかった経験がある」など、取引に影響がある可能性が高いことがわかりました。

さらに日本だけでなく、世界的にもISO27017を取得する動きは高まっています。世界の三大クラウドサービスプロバイダと呼ばれる以下の企業も取得しています。

• AWS（Amazon）
• GCP（Google）
• Azure（Microsoft）

情報サービス業においては、情報セキュリティ体制の質を証明できる第三者認証は非常に重要です。クラウドサービスを提供している企業だけでなく、事業活動に利用している企業は、取得を検討することがおすすめです。

ISO27017の取得企業数の詳しい推移や取得すべき業種は、以下の記事をご覧ください。

まとめ

ISO27017は単独での取得ができない規格であり、ISO27001でカバーできないクラウドサービスのセキュリティ体制を強化できます。管理策の追加が必要となるため、特にISO27001を得ている企業においては構築したISMSと適合するように新たに構築することが重要です。

ISO27017の構築は、ISO27001との適合がポイントである点を覚えておき、自社に適したクラウドセキュリティを築きましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。