2022年11月11日
AWSではISO27001やそれ以外にも様々なセキュリティ認証を取得しています。また、セキュリティ対策も幅広くリスクを管理する体制が構築されており、世界トップクラスの高度なセキュリティ戦略を実施しています。その為、業務でAWSを使っている企業でも安心してISO27001を取得することができます。
1.AWSが認証しているISO27001とは
AWSはISO27001を取得しています。
そもそもISO27001とは、取得することで「大切な情報が外に漏れないような仕組みを作って実行していますよ」と対外的に示すことができるセキュリティ認証です。
ISOは国際的な規格で、企業がISMSの規格で要求されている取り組みを実施しているか、認証機関の審査に合格しないと取得することができません。
AWSは、国際認定フォーラム (IAF) に加盟しているオランダ認証協議会から認定を受けたISO認証機関である EY CertifyPointを利用して、ISO27001を取得しております。
ISMSという規格の概要については、こちらの記事に記載しております。
ISMS(ISO27001)認証について徹底解説
2.AWSが取得している代表的なセキュリティ認証
AWSはISO27001のほか、様々はセキュリティ認証を取得しています。
その中で代表的な認証について下記に記載しています。
特筆すべきは、AWSはクラウド事業を行っているので、クラウドセキュリティに特化した規格であるISO27017を取得していることです。
ISO27017とは、クラウドサービスを提供している事業者が利用者に対して、より安全なクラウド環境を構築し、セキュリティ問題のリスクを軽減するために開発されたセキュリティ基準です。
AWSの認証例
ISO 27001 情報セキュリティ認証
ISO 27017 クラウド固有の統制
ISO 27701 プライバシー情報管理
ISO 27018 個人データ保護
ISO 22301 セキュリティと耐障害性
ISO 27017という規格の概要については、こちらの記事に記載しております。よろしければご覧ください。
ISO27017【ISMS(ISO27001)】:cloud(クラウド)サービスに対応した規格の取得で注意すべきポイント
3.AWSのセキュリティ状況解説
AWSの導入を検討する際、情報システム担当者が気になる点として、AWSのセキュリティ対策があります。
結論から言うと、AWSのセキュリティは世界トップクラスの高い水準に達しており、
内部外部のセキュリティリスクにも対応できるシステムが構築されていると言えます。
前述の通り、AWSはセキュリティ認証であるISO27001やISO27017を取得しています。
さらに、様々なセキュリティ対策を講じています。
①幅広くリスクを管理
AWSでは社内で管理している社内外の情報や社内で運用しているアプリケーションの安全にも配慮したプラットフォームを構築しています。
その対策によって、外からの脅威及び内側からの脅威にも対応します。
参考:クラウドセキュリティ | AWS(外部リンク)
②専門家が管理する世界トップクラスの高度なセキュリティ戦略の実施
AWSがセキュリティ対策が出来ている最大の理由は、専門家による高度なセキュリティの戦略が実現していることです。
世界の中でもトップレベルの専門家がAWSに在籍し、システムの管理・セキュリティサービスの導入を実施しています。
AWSのセキュリティは防止・検出・対応・修復を世界トップクラスのセキュリティ専門家たちにより管理されており、対応を実施しています。
参考:クラウドセキュリティ | AWS(外部リンク)
4.ISO27001認証機関について
ISO27001の認証機関とは、企業がISO27001(ISMS)で要求されている取り組みを正しく実施できているか確認し認証する機関のことです。
日本国内には60社ほど存在し、ISO27001認証の取得を希望している企業からの審査依頼を受けて審査を行う、という流れで認証が行われます。
認証機関は、各国に1機関だけ存在している「認定機関」から審査の実施許可をもらうことで審査が行えるようになっています。
世界中の認証機関すべてをISO (国際標準化機構)ひとつで確認することができないため、各国に認定機関を設置して審査を行うという構造になっているのです。
ISMSの認証機関について、詳しくはこちらの記事をご覧ください。
ISMS認証機関はどう選ぶ?絶対に押さえるべき3つのポイント
5.ISO27001認証のメリット・デメリット
ISO27001認証のメリット・デメリットをご紹介します。
認証にもメリット・デメリットがありますので、取得する前に把握しましょう。
メリット
① 取引先や顧客から求められている要件を満たせる
取引先から求められる条件に「ISO27001の取得」が含まれている場合は、取得することで取引ができるようになります。その結果、「売上アップできた」「高額な案件を受注できた」ということもあります。
②入札に参加できるようになる
入札参加の条件に「ISO27001の取得」が含まれている場合、取得することで、入札に参加できるようになります。
③アピールになる
ISO27001を取得していることを自社のHPや名刺やパンフレットに載せ、信頼づけの要素としてアピールできるようになります。
「ライバル・競合と差別化できた」というケースもあります。
④体制が整う
ISO27001を取得するにあたり、役割や手順を明確にする必要があるため、組織体制が整います。
⑤従業員の意識が向上する
社内周知や教育を行うことで従業員のセキュリティ意識が上がります。
デメリット
①お金がかかる
ISO27001を維持するとなると、毎年審査費用が発生します。
また、コンサル会社のサポートを利用する場合はサポート料もかかるでしょう。
②手間がかかる
ISO27001を取得するには、マニュアルを作成したり、情報資産を洗い出したり、リスクアセスメント、内部監査、マネジメントレビューなどなど、やることが多数発生します。
担当者はこれらを一手に引き受けるので、負担が大きくなり、残業や時間外勤務が発生してしまうこともあります。
ISMS取得のメリット・デメリットについてはこちらの記事で解説しております。
ISMS(ISO27001)の必要性は?取得のメリット・デメリットを紹介
6.ISO27001認証までの流れ
ISO27001認証取得の流れは下記の7ステップあります。
STEP1:取得のための計画作成
STEP2:マネジメントシステム構築
STEP3:ISO27001の運用
STEP4:内部監査、マネジメントレビュー
STEP5:一次審査
STEP6:二次審査
STEP7:認証
ISO27001取得の流れについて、詳しくはこちらの記事をご覧ください。
【初心者の方必見】ISMS取得スケジュールを7つのステップで解説
7.認証までどれくらいかかる?
ISO27001認証を取得するためにはまず、マネジメントシステムを構築します。
その後、新規取得の審査を受けていただき、合計で5ヶ月程度で取得することができます。
8.認証までの費用相場
審査機関による審査を受けるのに必要な費用は
・文書審査料
・実地審査料(現地審査料)
・ISO登録料
があります。
また、審査員の移動のための交通費や宿泊代なども請求されます。
これら全てが支払われて初めて「登録」となるので、忘れずに支払いを行ってください。
審査料金は、申請する審査機関、組織の従業員数、業種、適用範囲などによって金額が変動します。複数の審査機関に見積りをとって比較してみましょう。
審査費用の相場としては従業員が30人程度であれば50万円から、50人程度100万円からです。
ISMSの新規取得費用について、詳しくはこちらの記事をご覧ください。
ISMS(ISO27001)新規取得費用いくら見ればいいの?
9.Pマークとの違いは?
Pマークは個人情報の保護を目的としているのに対してISO27001は、情報セキュリティリスクのマネジメントをテーマとして取り組みをしています。
また、ISO27001の対象は情報資産ですが、Pマークは個人情報を含んだ情報全般を対象としています。
Pマークとの違いについてはこちらの記事をご覧ください。
プライバシーマーク(Pマーク)とISMSの違いを徹底比較!結局どっちが良いの?
10.ISO27001とクラウドセキュリティ認証との関係
クラウドセキュリティ認証(ISO27017)とは、「ISO27001に既にあるクラウドセキュリティの要求事項をより深くし、規格化させたもの」です。
取得方法としては、
①ISO27001をすでに持っている企業が追加でISO27017を取得する
②ISO27001とISO27017を同時で取得する
の2択になります。
クラウドセキュリティ認証は、ISO27001のアドオン認証です。ISO27001も取得することが必須になります。
クラウドセキュリティ認証の概要についてはこちらの記事で詳しく記載しております。
【解説】クラウドセキュリティとは?関連する認証が人気の理由とは
11.どうしてクラウドセキュリティ認証企業が増えるのか?
クラウドが普及していく中で、クラウド上の情報をセキュリティリスクから守る必要が出てきました。
その安全性を確保する認証がISO27017です。
ISO27017はクラウドセキュリティのための国際規格でです。
SaaS、PaaS、IaaSを提供する企業、そういった業種では、取得の必要性が高まっています。
今後の社会情勢も踏まえてISO27017を取得する企業は増えていくでしょう。
まとめ
SaaS系企業が増えていくにつれ、ISO27001・ISO27017を取得する企業、AWSを社内で活用する企業も増えていくでしょう。
AWSではISO27001を取得しており、それ以外にも様々なセキュリティ認証を取得しています。
また、セキュリティ対策としては幅広くリスクを管理する体制が構築され、世界トップクラスの高度なセキュリティ戦略を実施しています。
業務でAWSを使っている企業でも安心してISO27001・ISO27017を取得することができます。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ