2023年12月15日
ISO27017取得に必要な費用を徹底解剖
ISO27017にかかる費用は、トータルで200~3000万円ほどかかるのが一般的です。
費用には2種類あり、1つ目は審査費用です。これは審査をして貰う審査機関に支払う費用で、自社で新規認証を目指す場合でも必ず発生します。
2つ目はコンサルタント費用です。これは新規認証をサポートしてもらうコンサルタントに支払う費用であり、自社で認証を目指す場合には発生しません。
2024年5月14日
ISO27017とは、クラウドサービスに特化した情報セキュリティの認証であり、対象はクラウドサービスを提供もしくは利用する組織です。ISO27017を認証取得することで、クラウドサービス固有のリスクを低減し、情報セキュリティを強固にすることができます。
目次
ISOとは国際標準化機構の略称であり、この国際標準化機構が国際規格であるISO規格を定めています。
標準化機構という名の通り、ISO規格は情報セキュリティから製品の品質など様々な分野での実施すべき目安を定めています。
クラウドサービスに限った話ではないですが、クラウドサービスは目に見えない分、取り扱いを誤ると情報の漏えいやデータ消失の危険性があります。このようなクラウドサービスの利用に伴うリスクに特化した規格として、ISO27017が発行されました。
対象となる組織は、クラウドサービスを提供する組織もしくはクラウドサービスを利用する組織です。
審査を受けて認証取得することで、クラウドサービス固有のリスクを低減し、顧客や取引先からの信頼向上が期待できます。
ISO27017はISO27001に追加して取得できる「アドオン認証」です。
つまり、ISO27001を既に認証しているか、もしくはISO27001と同時に認証する必要があります。ISO27001を認証せずISO27017のみ取得することは出来ません。
ISO27001は情報セキュリティ全般を対象としていますが、クラウドサービスの急速な普及に比べてクラウドサービスセキュリティの項目は必ずしも十分なものではありませんでした。
そのためISO27017を認証することでクラウドサービスセキュリティに関しても強固な体制を構築することができます。
同じクラウドサービスセキュリティに関するISO認証として、ISO27018が存在します。
ISO27017はクラウドサービスそのものの情報セキュリティが対象となりますが、ISO27018はそのクラウド内で取り扱う個人情報の保護を目的とした規格です。
ISO27017はISO27001に追加して取得できるアドオン規格です。
ISO27017は「クラウドサービスを提供する側」、「クラウドサービスを利用する側」、もしくはその両方の立場で取得することが可能です。
ISO27001で情報セキュリティ全般の管理策を網羅し、クラウドサービスに特化した管理策を最大79個検討する必要があります。
「クラウドサービスを提供する側」では、提供するクラウドサービスのセキュリティを強固にすることはもちろん、利用者に安心してクラウドサービスを利用してもらうために必要な情報を提供します。
「クラウドサービスを利用する側」では、利用するクラウドサービスのセキュリティが問題ないか規約や契約書などを確認し、確認が出来ない項目については先方に問い合わせたりなどする必要があります。そうすることで適切にクラウドサービスを利用することができます。
ISO27017はクラウドサービスの急速な普及に伴い、その需要も高まりました。
特にAWS(Amazon)、GCP(Google)、Azure(Microsoft)の世界的なクラウドサービスプロバイダがISO27017を取得したことで、クラウドサービスプロバイダとしてISO27017を取得する意義が大きくなりました。
ISO27001で情報資産全般を網羅しているのに関わらず、ISO27017も認証する必要性はあるのでしょうか。
先述した通りISO27001のみではクラウドサービスのセキュリティ体制を構築するには不十分です。
特にアプリケーションやシステムなどのクラウドサービスを提供している事業者は、そのサービス自体の安全性を証明する必要があります。
近年はサイバー攻撃などが増加していることからも、利用者側としては同じISO27017認証をしているサービスの方が安心して利用できます。
こういった背景からもISO27017を取得する企業は増えており、その多くが主要顧客からの要求で合ったり、入札条件として提示されたりなど、顧客側の要求は強まっています。
需要が伸びている規格ではありますが、比較的新しい規格であるため世間的にもメジャーとなる前にISO27017認証をすることで競合他社との差別化につなげることもできます。
ISO27017を取得する条件は、ISO27001を取得しているかどうかです。同時に取得することも可能です。
「クラウドサービスを提供する側」、「クラウドサービスを利用する側」、もしくはその両方の立場で取得することが可能と先述しましたが、もちろんクラウドサービスを提供していない組織が「クラウドサービスを提供する側」としてISO27017を取得することは出来ません。
また、「クラウドサービスを提供する側」がクラウドサービスプロバイダのみ認証して、クラウドサービスカスタマとしては認証しないとするのは審査機関によっては出来ない可能性があります。
理由としては基本的に「クラウドサービスを提供する側」もクラウドサービスの基盤にAWSなどのクラウドサービスを利用しており、「クラウドサービスを利用する側」に該当するためです。
以下がISO27017認証が出来る審査機関の一例です。
ISO27001の後に新たに出来た認証規格のため、現状ISO27017の審査をしていない審査機関も少なくありません。
場合によっては審査機関の移転も視野に入れる必要もあるため、注意してください。
ISO27017は、あくまでISO27001が土台となるため、ISO27001を取得するために作成した規程類をアップデートする必要があります。
まず始めにISO27017の審査を、どのタイミングで受けるのか決める必要があります。
通常はISO27001の審査と同時に実施するケースが多いです。
しかし、ISO27001の審査までにISO27017の審査準備が間に合わないケースや、顧客要求などで最短で取得したいケースなどもあるため、ISO27017の審査だけを単独で実施することもあります。
ただし、審査機関によっては単独の審査は受け付けない場合もあるため、必ず審査機関に確認をしてください。
審査時期がある程度固まれば、審査に間に合うようにISO27017の構築と運用をする必要があります。
まずはISO27001に追加されるクラウドに特化した管理策を洗い出しましょう。
例えばISO27001には「A.5.1.1 情報セキュリティのための方針群」という管理策がありましたが、ISO27017ではクラウドに関する要求事項が追加されています。
また、ISO27001には無かった内容の7つの管理策が追加されています。
- CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
- CLD.8.1.5 クラウドサービスカスタマの資産の除去
- CLD.9.5.1 仮想コンピューティング環境における分離
- CLD.9.5.2 仮想マシンの要塞化
- CLD.12.1.5 実務管理者の運用のセキュリティ
- CLD.12.4.5 クラウドサービスの監視
- CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合
上記のような追加管理策を洗い出し、現状の運用で要求事項が満たせていない項目が無いか精査します。
もし満たせていなければ、管理策の適用可否の判断や、要求事項を満たすために社内規程やサービスの仕様、サービス規約などを修正もしくは作成します。
基本的にISO27017で追加される管理策には、それぞれ「クラウドサービスを提供する側」、「クラウドサービスを利用する側」の2つの基準が定められています。
そのため、自分たちがどちらの側で取得するのかによって管理策の内容は変わります。
ISO27017の土台が出来れば、実際に新たに作成したルール通りに運用を回します。
ISO27017の運用を独自に回すのではなく、これまでのISO27001の運用にクラウドの要求事項を乗せるイメージです。
そのため、ISO27001と同様に実際の運用に関しては活動の結果を証拠として記録を残しましょう。
ISO27017の取得のために限らず、ISO27001を維持するためにも、内部監査とマネジメントレビューは必須です。
一通りの運用について、ルール通り出来ているか内部監査でチェックを行い、マネジメントレビューにて報告し、次に向けてのアクションを決めていきます。
実施方法はISO27001と大きな違いはありませんが、ISO27017の要求事項も内部監査のチェックリストに追加することを忘れないようにしましょう。
先述した通り、ISO27017の審査は基本的にISO27001と同時に実施されることが多いです。
ISO27001では広く浅い審査となることが多いですが、ISO27017では組織が提供するクラウドサービスや使用するクラウドサービスのセキュリティを深く審査されます。
そのため、クラウドサービスの仕様に詳しい方が参加されると良いでしょう。
審査後の流れはその他のISOの認証の流れと違いありません。
不適合が無ければそのまま認証手続きへと進んでいき、不適合があれば期限までに審査機関に改善文書を提出し認められれば認証手続きへ移行します。
ISO27017を取得するにあたって、必ず発生する費用は審査費用です。
審査費用は審査機関/会社人数・規模などで料金が変わるので、審査機関に見積依頼して確認するのが正確です。
1拠点30名のシステム開発の企業がISO27017審査を受けた場合、新規認証審査では最低でも100万円くらいは発生するケースが多いです。(ISO27017単体では取得はできませんので、ISO27001審査の料金と合算します。)
その他にはクラウドサービスへのセキュリティ機能の追加費用が考えられます。
しかし、審査で重要視されるログ情報やバックアップの取得などはクラウドサービスを提供している企業側で既にしっかりと取得していることが多いため、あまり気にする必要はありません。
強いてあげるとすればadmin権限を所有している管理者に、多要素認証を搭載するなどのセキュリティ強化をすべきかどうか検討する必要があります。
ISO27017を取得する企業は「クラウドサービスを提供する側」が比較的多いです。
一概にクラウドと言っても主に「SaaS」「PaaS」「IaaS」の3つを提供している組織に分類することができます。
ISO27017を取得している企業は対外的なアピールに繋がるため、HPに掲載しているケースが多く、検索にヒットしやすいです。
また、掲載を許可している組織は認定機関が一覧で検索できるようにしている「ISMSクラウドセキュリティ認証取得組織」等で検索することができます。
参考URL:ISMSクラウドセキュリティ認証取得組織検索ISO27017はISO27001に追加で認証できるアドオン規格です。クラウドサービスの普及に伴い需要が高まっている規格であり、「クラウドサービスを提供する側」、「クラウドサービスを利用する側」で要求事項は異なります。
そのため自分たちはどちらの側で取得する必要があるのか十分に見極めてからISO27017の構築に取り組んでください。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください