ISO/IEC27017認証のメリット、取得する方法とは？

１．ISO/IEC 27017とは？ISMSクラウドセキュリティ認証とは？

ISO/IEC 27017は、クラウドサービスにおける情報セキュリティのための国際規格です。

ISO/IEC 27017:2015はISOより発行されたクラウドセキュリティに関する国際規格で、クラウドサービスの提供および利用に関する情報セキュリティ管理のためのガイドラインです。2015は最新版の年号を示しています。

2005年に制定されたISO/IEC 27001ではクラウドサービスにおける安全性を十分にカバーできていませんでした。そこで、2015年に新たにISO/IEC 27017が制定されました。
ISO27017はISO27001に追加して取得できる「アドオン認証」であり、クラウドセキュリティを補完する役割を果たしています。

２．ISO27017とISO27001との違い

ISO27017とISO27001との違いは、一言でいうとISO27017はISO27001のアドオン認証です。

アドオン認証とは、ISMS（ISO/IEC 27001）認証を前提として、特定の分野、固有の規格を満たしている組織を認証する仕組みのことです。

３．クラウドサービス事業者とクラウドサービス利用者

ISO27017認証を取得する際には、

クラウドサービスを提供するクラウドサービス事業者(Cloud Service Provider, CSP)として取得するか、

クラウドサービスを利用するクラウドサービス利用者(Cloud Service Customer, CSC)として取得するか、

またはその両方の立場を併せ持つ事業者として取得するか、

自社の立場を明確にする必要があります。

CSPとは、クラウドサービスを提供している企業・団体「クラウドサービス事業者(Cloud Service Provider, CSP)」のことです。

例えば「AWS(Amazon Web Services)を利用してWebサービスを運営している」「ビジネスチャットツールを専用のシステム上で稼働させ、クラウドサービスとして利用を促している」これらの会社はいずれもCSPに該当します。

CSCとはクラウドサービスを利用している企業・団体「クラウドサービス利用者(Cloud Service Customer, CSC)」のことです

例えば「業務ファイルはクラウドクラウドストレージサービスに格納している」「Google社が提供しているGoogleAppsを利用している」「AWS(Amazon Web Services)を利用して自社サイトを運営している」これらの会社はいずれもCSCに該当します。

４．ISO27017認証取得のメリット

ISO27017認証取得のメリットは3つあります。

⑴セキュリティ、信頼性の向上

クラウド特有のリスクに配慮したセキュリティを構築していることの宣言となりますのでセキュリティ、
信頼性の向上につながります。

⑵入札への参加

今まではＰマーク、ISMSが入札への参加要件になっている自治体が多かったのですが、最近ではISO27017を入札への参加要件にしている自治体もでてきています。

⑶セキュリティチェックシートへの対応

大手企業からのセキュリティチェックシートへの対応についても今まではＰマーク、ISMSについての質問が多かったですが、最近ではISO27017についても質問があることが多くなっており、認証していれば
信頼を得られるケースも増えています。

ISMS認証取得のメリットについて、詳細が知りたい方はこちらの記事をご確認ください。

あわせて読みたい記事

ISMS(ISO27001)の必要性は？取得のメリット・デメリットを紹介

１．こういう時にはISMS（ISO27001）認証取得を ISMSの認証取得企業数は年々増加しています。 しかし、他の企業や組織がどのような理由で取得しているのか、気になる方も多いのではないでしょうか…

５．ISO27017認証取得する企業の特徴

ISO27017認証取得する企業の特徴として以下のようなものが挙げられます。

• 大手企業との取引が多く、セキュリティチェックシートで求められる内容が難しい
• 顧客に対して、自社サービスのセキュリティ体制をアピールしたい。
• データが消失した場合など、万が一の事態に慌てず対応できるような業務プロセスを構築したい。
• データを格納しているサーバが地理的に存在する国の法律やガイドラインを抑えておきたい。
• サービスを支えているサーバやソフトウェアの保守が終了した場合の対策を検討したい。

６．AWSを含む大企業がISO27017を取得している

ISO27017は、世界的にも注目を集めている国際規格です。
実際に次の世界3大クラウドサービスプロバイダもISO27017認証を取得しています。

• AWS（Amazon）
• GCP（Google）
• Azure（Microsoft）

７．すでにISO27001を取得している場合の取得方法

前提としてISO27017を認証取得するためには、まずISO27001（ISMS）を認証取得しなければなりません。
ISO27017のみを認証取得するということは出来ないシステムとなっています。

ISO27001を取得している企業はISO27017をISO27001のアドオン取得、つまりISO27001に追加で
取得することができます。

簡単に言い換えるとISO27001で構築したシステムをベースとして、ISO27017のシステムを
追加するイメージになります。

認証取得したい場合、先にISO27001取得しておくか、ISO27001とISO27017を同時に取得する
必要があります。

８．ISO27017認証取得の成功事例

⑴A社

認証範囲：医療系のシステム
人数　　：30名
取得理由：入札への参加要件になっていたため
期間　　：6か月

新しい自治体へのチャレンジとして、入札に参加しようとしたが、ISMSだけではなく、ISO27017も条件になっていました。今年度の入札まで期限が迫っていたのですが、最短希望だった6ヶ月認証ができた事例です。

お客様からのお声
『臨機応変にスケジュールを作成してくれて無事期限までに認証することができました。』

⑵B社

認証範囲：SaaS型ファイル共有サービス
人数　　：500名
取得理由：顧客からのセキュリティチェックシート対応
期間　　：8か月

グループ5社がISMSを取得している状況の中、子会社の一つが顧客からのセキュリティ要望でISO27017認証が必須になり、子会社のみでの認証を実現した事例です。

お客様からのお声
『グループ認証での取得だったのですが、グループ企業のことも考慮してくれたので大変助かりました。』

⑶C社

認証範囲：100名
人数：音声自動化システム
取得理由：競合他社との差別化
期間　　：6か月

業界的にもISMSを取得していることは当たり前になっていました。その為、ISO27017を取得している企業はなかったので、認証することにより、他者との優位性を得ることができた事例です。

お客様からのお声
『既にISMSを取得しており、ISO27017審査を受けようか悩んでいたのですが最適なスケジュールを提示してくれました。ありがとうございました。』

９．まとめ

ISO/IEC 27017とは？ISMSクラウドセキュリティ認証とは、クラウド上でのセキュリティを適切に管理していることを対外的に示す認証のことで、取得することにより様々なメリットがあります。
またISO/IEC 27017を取得するためにはISO27001の取得が必須になります。
取得をご検討の企業様は是非当社にお問い合わせください。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら
• 見積もり依頼はこちら