• ISO27017はISO27001のアドオン規格。単独での取得はできない
  • ISO27017とISMSクラウドセキュリティ認証はほぼ同じ意味
  • ISO27017の要求事項は、適用範囲・リスクアセスメント、内部監査

クラウドを提供・利用している企業の方が、ISO 27017の取得を目指すときに切っても切れないものが、要求事項です。要求事項の内容理解なしにはクラウド情報セキュリティのマネジメントシステム 構築はできません。
この記事では、ISO27017を取得する際に、理解すべき ISO27001 との関連性や要求事項、取得している有名企業について解説します。

ISO27017認証とは


ISO27017とは、国際標準化機構(International Organization for Standardization)が規定しているクラウドセキュリティに関する国際的な認証 規格 です。

クラウドサービスとは、インターネット上で、データやソフトウェアなどのコンピューター資源を提供するサービスのことです。わかりやすい例としては、Webメールや写真アルバム、SNSなどのサービスが挙げられます。

ISO27017を取得するには、認証機関による審査を受ける必要があります。

ISO27017認証を取得できる事業者とは

ISO27017認証を取得できる事業者は、以下のいずれかの事業者に限定されています。

  • クラウドサービスを提供している事業者(クラウドサービスプロパイダ)
  • クラウドサービスを利用している事業者(クラウドサービスカスタマ)
  • クラウドサービスを利用・提供している事業者

ISO27017は、クラウドサービスにおける情報セキュリティに関する規格であるため、クラウドサービスを提供・利用していない事業者はISO27017を取得できません。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27017とISO27001、ISMSクラウドセキュリティ認証との関係性

ISO27017を取得するには、ISO27001とISMSクラウドセキュリティ認証の仕組みについても理解しなければいけません。そのため、ここではISO27017とISO27001、ISMSクラウドセキュリティ認証との関係性について解説します。

ISO27001(ISMS)とISO27017の関係

ISO27001(ISMS)とISO27017は、国際標準化機構によって発行されているISO認証規格ですが、対象の範囲が異なります。
ISO27001は、2005年に発行された情報セキュリティマネジメントシステム(以下ISMS)を構築する規格です。ただし、クラウドサービスの安全性を保つことは想定されていなかったため、クラウドサービスの情報セキュリティを強化するには不十分でした。

そのため、2015年に強固なクラウドセキュリティを構築可能な、ISO27017が発行されました。ISO27017はISO27001に追加する形でのみ取得が可能な「アドオン認証」であるため、単独での取得はできません。ISO27017を取得するには、ISO27001を先に取得するか、同時に取得する必要があります。

ISO27017は、ISO27001では不十分なクラウドサービスにおける情報セキュリティを補う規格である点を押さえておきましょう。
ISO27001の取得方法については下記の記事でまとめておりますので、ぜひチェックしてください。

関連記事:ISO27001とISMS認証の違いとは?Pマークとの関係は?わかりやすく解説

ISMSクラウドセキュリティ認証とISO27017の関係

ISO27017とは、クラウドセキュリティにおける国際規格です。
一方、ISMSクラウドセキュリティ認証とは、ISO27001(ISMS)を前提としつつ、ISO27017規格に基づいた要求事項を満たしている組織であることを認証するための制度です。
そのため、ISO27017とISMSクラウドセキュリティ認証はほぼ同じ意味で使われます。

ISO27017の要求事項(JIP-ISMS517-1.0)

ここでは、ISO27017の要求事項について解説します。以下の3つが認証審査(取得審査)にあたって必要な要求事項です。

  • 適用範囲を決める
  • リスクアセスメント/リスク対応を行う
  • 内部監査を行う

3つについて詳しく解説しますので、制度を受ける際の参考にしてください。

適用範囲を決める

クラウドサービス(IaaS、PaaS、SaaS)のプロバイダ(提供者)かカスタマ(利用者)か、それとも両方なのかを明確にする必要があります。自社の立場によって、必要な管理策が異なってくるためです。

  • クラウドプロバイダ:クラウドサービス(IaaS、PaaS、SaaS)を提供している企業
  • クラウドカスタマ:クラウドサービス(IaaS、PaaS、SaaS)を利用している企業
  • クラウドプロバイダ及びクラウドカスタマ:クラウドサービス(IaaS、PaaS、SaaS)を提供し、自社もクラウドサービス(IaaS、PaaS、SaaS)を利用している企業

立場を明確にしたうえで、クラウドを含めたISMSの適用範囲を定めましょう。また、ISO27017はISO27001のアドオン認証であるという観点から、適用範囲はISO27001の範囲と同じかその一部でなければなりません。

リスクアセスメント/リスク対応を行う

リスクアセスメントでは、自社の立場(プロバイダ・カスタマ・両方のいずれか)をふまえ、クラウドサービスにおけるリスクを見つけ出して分析、評価を行います。
リスク対応 では、特定したリスクに対して管理策の作成が必要です。
作成する際には、ISO27001の附属書AやISO27017の管理策を確認し、漏れている箇所がないかチェックしましょう。最終的には、立場を明確にして管理策を記載した適用宣言書を作成しなければいけません。

内部監査を行う

内部監査とは、ISMSとISMSクラウドセキュリティ認証の要求事項が満たされているか、また構築した管理体制が実施されているかを確認するために行います。
第一者監査と呼ばれ、企業内の人員もしくは外部コンサルタントによって行われます。企業は一定間隔で内部監査を実施しなければいけません。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27017の要求事項を実現するために必要な管理策一覧


ISO27001に則ったISMSを構築していることが前提です。ISO27017を取得する際には、クラウドサービスに適応するためにISMSで構築したシステムの改良が求められます。そのために、以下の7つの情報セキュリティ管理策の追加を行わなければいけません。

6.3.1クラウドコンピューティング環境における役割及び責任の共有及び分担

クラウドサービスのプロバイダが、適切な対応をするための役割分担を明確にし、それを社内へ共有し分担する必要性を示した管理策です。

8.1.5クラウドサービスカスタマの資産の除去

クラウドサービスのプロバイダが、カスタマの情報を削除する際の取り扱いルールの必要性を示した管理策です。

9.5.1仮想コンピューティング環境における分離

IaaSやSaaSのプロバイダが、利用者が他の利用者から分離している状態や、社内環境からクラウド環境が適切に分離されている状態を確実に実施する必要性を示した管理策です。

9.5.2仮想マシンの要塞化

クラウドサービスのプロバイダが、自社でサーバー管理をしている場合に、インフラ体制のセキュリティも万全にする必要性を示した管理策です。

12.1.5実務管理者の運用のセキュリティ

クラウドサービスのプロバイダが、利用者が正しい行動をとれるマニュアルや手順書などを作成する必要性を示した管理策です。

12.4.5クラウドサービスの監視

クラウドサービスのプロバイダが、利用者のクラウドの容量や能力を監視する必要性を示した管理策です。

13.1.4仮想及び物理ネットワークのセキュリティ管理の整合

自社でクラウドサービスのインフラを管理しているプロバイダが、物理的な制約を受けないように、仮想サーバーにおけるルール制定の必要性を示した管理策です。

ISO27017の要求事項では、7つの管理策を追加して、ISMSを土台として取り組みましょう。

ISO27017取得の流れについえは以下の記事をご覧ください。

関連記事:ISO27017とは?取得期間・費用・方法を解説

ISO27017の取得企業


国内の取得企業数は2023年8月18日現在451社です。情報マネジメント認定センターの「ISMSクラウドセキュリティ認証取得組織検索 」でいつでも最新のデータを確認できます。

日本だけでなく、世界的にもISO27017を取得する動きは高まっています。世界の三大クラウドサービスプロバイダと呼ばれる以下の企業も取得しています。

  • AWS(Amazon)
  • GCP(Google)
  • Azure(Microsoft)

情報サービス業においては、情報セキュリティ体制の質を証明できる第三者認証は非常に重要です。クラウドサービスを提供している企業だけでなく、事業活動に利用している企業は、取得を検討することがおすすめです。

ISO27017の取得企業数の詳しい推移や取得すべき業種は、以下の記事をご覧ください。

関連記事:ISO27017の取得企業数は増加傾向!クラウドサービス企業が取得すべきメリットとは?
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

ISO27017は単独での取得ができない規格であり、ISO27001でカバーできないクラウドサービスのセキュリティ体制を強化できます。管理策の追加が必要となるため、特にISO27001を得ている企業においては構築したISMSと適合するように新たに構築することが重要です。

ISO27017の構築は、ISO27001との適合がポイントである点を覚えておき、自社に適したクラウドセキュリティを築きましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ