ISO27017：クラウドセキュリティ認証取得の手順やポイントを解説

１．そもそもISO27017とは？

ISO27017の正式名称は『ISO/IEC 27017』で、クラウドサービスにおける情報セキュリティ管理策のガイドライン規格です。
2015年に発行され、国内では2016年に【ISMS-AC】による認証制度が開始されました。
有名な取得企業は、Amazon Web service、Google、Microsoftなどです。

ISO27017の立ち位置は、
「ISMS（ISO27001）にすでにあるクラウドセキュリティの要求事項をより深くし、規格化させたもの」です。
クラウドサービスを扱う組織において、情報を守るセキュリティの仕組みを構築することができます。

２．ISO27017取得のメリット

取得することによって得られる最大のメリットは、
・自社サービスの安全性をアピールすることができる
ということです。

他には、
・クラウドサービスに関するリスクを低減できる
・クラウドサービスを適切に提供し、利用してもらう体制を確立できる
・認証取得による組織内外からの信頼が向上する
・ISO27001との同時審査による効率的な認証取得が可能
などが考えられます。

３．ISO27017需要の増加

近年、情報セキュリティに対する意識は高く、内部だけでなく外部からの脅威も増しており、セキュリティ事故が日常的に発生している状態です。
特に、個人情報の漏洩を伴う、セキュリティ事故は、クライアント・取引先だけでなくあらゆる関係者に影響を与える重大な経営リスクとなっています。

ここ数年、クラウドの市場拡大に伴い、セキュリティマネジメントが複雑になり、全社でリスク評価に取り組む必要があります。
多くの会社が新サービスを提供し各種クラウドが整えられ、企業活動の利便性はさらに高くなりました。

各種クラウドが自社ビジネスにも組み込みやすくなってきている昨今では、自社でIT設備を導入するよりも、
クラウドサービスを利用することでコストが抑えられるので、ISO27017の需要が増加しております。

４．取得するべき業種は？

取得するべき業種は、クラウドサービスを提供している企業で
一般的には【SaaS】【PaaS】【IaaS】関連のサービスを提供する企業になります。

具体的には、下記に当てはまる企業です。
・他社のクラウドサービスを使ってアプリなどのクラウドサービスを提供している企業
・他社のクラウドサービスを利用している企業
・他社のクラウドサービスを使ってビジネスをしている企業
・クラウド設備を自社で保有し、クラウドサービス提供している企業

実際に取得している企業
・Amazon Web service
・Google
・Microsoft
・IDCフロンティア
・NTTデータ
・サイボウズ
・さくらインターネット
・Sansan
・鈴与シンワート
・ソフトバンク
・Chatwork

 

５．どれくらいで取得できるの？

企業規模を考えないなら、
・ISO27001を取得している：6か月ぐらいで取得可能
・ISO27001を新規で取得する：8か月ぐらいで取得可能
※企業規模やクラウドサービスの種類によっては、12か月ぐらい必要な場合もあります。

６.ISO27017取得にかかる費用

取得にかかる費用は、審査費用がマストです。
審査機関／会社人数・規模などで料金が変わるので、審査機関に見積依頼して確認しましょう。

また、ISO 27017単体では取得はできませんので、基本的にISO 27001審査の料金と合算されています。

 

７．ISO27017を取得する上で注意すべき3つのポイント

ISO27017を取得する上で、気を付けなければならないポイントが３つあります。

① 取得について

すでにISMS（ISO27001）を取得済であるか、ISMSとISO27017を同時に取得する必要があります。
ISO27017は、ISMSのアドオン認証です。 アドオン認証とは、「ISMSを持っている企業が追加で取れる規格」という意味です。
なので、ISO27017を認証取得したい場合、 ISMSと同時にISO27017を構築し、取得する ISMSを持っている企業が、追加でISO27017を構築し取得する のどちらかのパターンになります。

 

② 適用範囲

ISO27017の適用範囲は、ISMS（ISO27001）と同一、または範囲内となります。
ISMSとISO27017の対象組織・対象拠点・対象部門は同一か、ISMSの範囲にISO27017が包括されている状態にしなければいけません。

 

③ 審査

ISMS（ISO27001）と同時に審査を受けます。
厳密には、別々の審査も可能ですが、費用や工数の関係から同時審査を推奨します。

 

 

８．具体的に何をすればいいの？

ISO27017を取得するために、具体的にやることは２点あります。

① ISMSの114の管理策をクラウドサービス用にアップデート

そもそもISMS（ISO27001）のアドオン認証なので、まずはISMS（ISO27001）を構築することが前提です。
また、ISMS（ISO27001）をすでに構築している企業様では、構築したルールをクラウドサービス用にアップデートする必要があります。

 

② ISO27017の新しい基準７項目の追加

ざっくりいうと、ISMSには無い７つの項目を追加する必要があります。
この7項目に対して、社内でセキュリティルールを決め、運用していく必要がございます。
いかがISO27017の新しい基準７項目です。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

 

９．似たようなISO27018って何？

ISO27018は、個人情報を含むクラウドサービスに特化した規格です。
よって、個人情報を取り扱うクラウドサービスを提供している企業（提供者）が対象です。
ISO27017・・・クラウドサービス「全般」のセキュリティマネジメントシステム
ISO27018・・・クラウドサービス内の「個人情報」に焦点を当てたセキュリティマネジメントシステム

※注意点
2021年頃から基準がかわり、ISO27018（個人情報のクラウドセキュリティ）は、「クラウド上の個人情報の処理を委託された事業者のみ」が対象となりました。
つまり、クラウド上でのBPO（業務の企画・設計から実施までを一括して外部委託）のような業態でないと対象外になり、ISO27018は取得できないケースがございます。
無駄な作業をやらないためにも、事前に自社がISO27018の対象であるかどうかを、ISO27018ができる審査機関へ問合せすることをオススメします。

 

まとめ

ISO27017の取得で注意すべきポイントは下記の3点です。
①すでにISO27017（ISMS）を取得済であるか、ISO27001とISO27017同時取得する必要がある
②適用範囲がISO27001と同一、または範囲内であること
③審査はISO27001（ISMS）と同時に受けるべき

ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンスです。