ISO27017とは?取得のメリットや要求事項を徹底解説
office
ISO27017は、国際標準化機構(ISO)が発行したクラウドサービスセキュリティ管理策に関する国際規格です。
情報セキュリティのリスクが心配で、オンプレミスからクラウドへの移行をためらう企業も多いでしょう。
クラウド事業者にとって、ユーザーが抱える不安の解消は業績の拡大を考える上で大きな課題です。
そこで今回は、不安解消に役立つISO27017に準拠したISMSクラウドセキュリティ認証についてご紹介します。
▼目次
ISMSクラウドセキュリティ認証(ISO27017)とは
ここでは、ISO27017に準拠したISMSクラウドセキュリティ認証の概要についてご紹介します。
ISMS認証を前提としたアドオン認証
ISMSクラウドセキュリティ認証は、ISO27001に準拠したISMS認証の取得を前提としたアドオン認証です。
クラウドサービスの情報セキュリティに関する第三者認証であり、規範とすべき国際規格の名称から、ISO27017認証とも呼ばれています。
ISO27017は、2015年に国際標準化機構(ISO)が発行したクラウドサービスセキュリティ管理策に関する国際規格です。
日本でもISO27017に準拠した第三者認証の導入を求める声の高まりを受け、2016年にISMSクラウドセキュリティ認証がスタートしました。
2022年4月1日現在、290を超える組織が認証登録されています。
ISMS認証の適用範囲内に含まれるクラウドサービスについて認証されるのが特徴です。
ISO27017認証の対象
ISO27017認証とも呼ばれるISMSクラウドセキュリティ認証の対象は、クラウドサービスを提供する組織と利用する組織の両方です。
他組織が提供するクラウドサービスを利用して、自組織のクラウドサービスを提供する組織は提供・利用の両方で申請できます。
IaaS、PaaSやSaaSといった、クラウドサービスの種類は問われません。
上記をまとめると、ISO27017の認証を取得できるのは、ISMS認証を前提とした以下の3つのケースです。
| 対象の区分 | 対象の概要 |
|---|---|
| クラウドサービスプロバイダ | IaaS、PaaSあるいはSaaSを提供する組織 |
| クラウドサービスカスタマ | IaaS、PaaSあるいはSaaSを利用する組織 |
| クラウドサービスプロバイダおよびクラウドサービスカスタマ | IaaS、PaaSあるいはSaaSを利用し、IaaS、PaaSあるいはSaaSを提供する組織
例)他組織のIaaSを利用しSaaS型を提供する組織 |
ISO27017とISMSクラウドセキュリティ認証の違いとは
ISO27017とISMSクラウドセキュリティ認証には以下のような違いがあります。
- ISO27017:クラウドサービスセキュリティ管理策の国際規格
- ISMSクラウドセキュリティ認証:「JIP-ISMS517-1.0」への適合を証明する認証制度
認証制度としてISO27017を運用するために、国内規格化されたのが「JIP-ISMS517-1.0」と呼ばれる要求事項です。
ISMSクラウドセキュリティ認証の要求事項は、正式には次のような名称で定められています。
- ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)
ISO27017認証を取得するメリットとは
ISO27017に適合していると証明できれば、情報セキュリティを強化する仕組みを導入済みだと対外的にアピールできるのがメリットです。
ここではクラウドサービスの提供側と利用側の観点から、ISMSクラウドセキュリティ認証を取得するメリットについて紹介します。
クラウドサービスプロバイダ(CSP)の場合
クラウドサービスプロバイダがISO27017に適合していると証明するメリットは、次のとおりです。
- クラウドサービス固有のリスクをアセスメントした上で、情報セキュリティ保護にかかる仕組みを構築できる
- クラウドサービス利用者から情報の預け先としての信頼を得られる
- 第三者認証であることから競合他社との差別化に役立ち、競争で優位にたてる
例えば内閣サイバーセキュリティーセンターが発行する「政府機関の情報セキュリティ対策のための統一基準」を見てみましょう。
クラウドサービスなど外部サービスの選定においては「セキュリティ要件を満たすことを確実にする」と明記されています。
認証取得を実現すれば、官公庁の入札に参加できるほか大手クライアントから仕事を請け負うチャンスが増えるでしょう。
クラウドサービスカスタマ(CSC)の場合
クラウドサービスカスタマとは、クラウドストレージに業務用ファイルを格納したりAWSを利用したりしている組織も含みます。
認証を取得すると、委託先のクラウドまで情報セキュリティの管理範囲を広げている組織として認知されるわけです。
クラウドサービスカスタマがISO27017に適合していると証明するメリットは、次のような点が考えられます。
- ISO27017を基準に信頼性の高いクラウドサービスを選択できる
- 預けられたデータの適切な取り扱いを明示できるため、顧客から信頼を得られる
- 情報セキュリティの社内運用ルール策定に役立つため、セキュリティを強化できる
ISO27017に基づく要求事項「JIP-ISMS517-1.0」とは
ISMSクラウドセキュリティ認証を取得するためには、要求事項である「JIP-ISMS517-1.0」を満たす必要があります。
「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」は、JIPDECによって発行された10ページ程度の文書です。
ISO27017で規定された管理策を用いた仕組みづくりに役立つガイドラインが記載されています。ここでは、ISO27017に基づく要求事項の概要について見ていきましょう。
ISO27017に基づく3つの要求事項
ISO27017の要求事項は、ISMSクラウドセキュリティ認証を検討しているなら、まず目を通しておきたい文書の1つです。
ここでは次のとおり、ISO27017に準拠した「JIP-ISMS517-1.0」に記載された3つの要求事項について見ていきましょう。
- クラウドサービスを含むISMSの適用範囲を決めよう
- 情報セキュリティリスクアセスメントを実施し、リスク対応の選択肢を選定しよう
- 内部監査をしよう
留意点として、ISMS の適用範囲内でクラウドサービスに関するリスクアセスメントを実施する点が挙げられます。
またクラウドサービス固有のリスク対応の選択肢の選定においては、ISO27017「実施の手引き」に記載された管理策を考慮することも大事な点です。
つまり「JIP-ISMS517-1.0」に加えて、ISO27017も参照する必要があります。
上記の要求事項をより深く理解するためのガイドや、適用宣言書のサンプルも添付されているので、ぜひ目を通してください。
AWSをはじめとするISO27017認証取得企業
ISO27017は、世界的にも注目を集めている国際規格です。
実際に次の世界3大クラウドサービスプロバイダもISO27017認証を取得しています。
- AWS(Amazon)
- GCP(Google)
- Azure(Microsoft)
上記のことから、事業を拡大するためには国際規格としての第三者認証が重要だといえるでしょう。
AWSなどが提唱するクラウド責任共有モデル
AWSをはじめとする国際的なクラウドサービスプロバイダは、クラウド責任共有モデルを採用しています。
クラウド責任共有モデルとは、情報セキュリティにおけるクラウド事業者と利用者の責任分担の考え方です。
基本的にクラウドサービスプロバイダは、管理権限がない領域における情報セキュリティの責任を果たせません。
ISMSクラウドセキュリティ認証の取得を通じて、責任の範囲についても提供側と利用側の両方がよく理解する必要があります。
責任の範囲への理解を深めることで、より強固なセキュリティを目指せるでしょう。
まとめ
ISO27017はAWSが認証を取得するなど、世界的に通用するクラウドサービスセキュリティ管理策の国際規格です。
クラウドサービスの提供や利用している組織は、ISMS認証の取得を前提にISO27017に準拠したISMSクラウドセキュリティ認証を取得できます。
ISMSクラウドセキュリティ認証を取得すれば、官公庁の入札などビジネスチャンスが広がるでしょう。
オフィスDXの第一歩として「受付のDX」から始めよう!
・リモートワーク環境が整わず、出社しなければいけない従業員がいる
・社内をフリーアドレスにしたいけど移行できずにいる
・来客対応がアナログなまま効率化できてない
・経団連が発表した「来訪者履歴」が自動で取れていない
・会社で利用するビジネスチャットをベースに効率化をしていきたい
などの課題があれば、RECEPTIONISTで即解決しましょう!
