ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

ISO27017:クラウドセキュリティ認証取得の手順やポイントを解説

スタッフ写真
スタッフ写真

2023年4月13日

ISO27017:クラウドセキュリティ認証取得の手順やポイントを解説

ISO27017とは、クラウドセキュリティの認証です。ISO27017を取得することでクラウドセキュリティのマネジメントシステムが構築できます。
クラウドサービスを提供している企業は、ISO27017の認証を取得すると多くのメリットがあり、この記事では、ISMS(ISO27001)とISO27017の違いや、ISO27017を取得するための3つのポイントを記載します。

1.そもそもISO27017とは?

ISO27017の正式名称は『ISO/IEC 27017』で、クラウドサービスにおける情報セキュリティ管理策のガイドライン規格です。
2015年に発行され、国内では2016年に【ISMS-AC】による認証制度が開始されました。
有名な取得企業は、Amazon Web service、Google、Microsoftなどです。

ISO27017の立ち位置は、
「ISMS(ISO27001)にすでにあるクラウドセキュリティの要求事項をより深くし、規格化させたもの」です。
クラウドサービスを扱う組織において、情報を守るセキュリティの仕組みを構築することができます。

2.ISO27017取得のメリット

取得することによって得られる最大のメリットは、
・自社サービスの安全性をアピールすることができる
ということです。

他には、
・クラウドサービスに関するリスクを低減できる
・クラウドサービスを適切に提供し、利用してもらう体制を確立できる
・認証取得による組織内外からの信頼が向上する
・ISO27001との同時審査による効率的な認証取得が可能
などが考えられます。

3.ISO27017需要の増加

近年、情報セキュリティに対する意識は高く、内部だけでなく外部からの脅威も増しており、セキュリティ事故が日常的に発生している状態です。
特に、個人情報の漏洩を伴う、セキュリティ事故は、クライアント・取引先だけでなくあらゆる関係者に影響を与える重大な経営リスクとなっています。

ここ数年、クラウドの市場拡大に伴い、セキュリティマネジメントが複雑になり、全社でリスク評価に取り組む必要があります。
多くの会社が新サービスを提供し各種クラウドが整えられ、企業活動の利便性はさらに高くなりました。

各種クラウドが自社ビジネスにも組み込みやすくなってきている昨今では、自社でIT設備を導入するよりも、
クラウドサービスを利用することでコストが抑えられるので、ISO27017の需要が増加しております。

4.取得するべき業種は?

取得するべき業種は、クラウドサービスを提供している企業で
一般的には【SaaS】【PaaS】【IaaS】関連のサービスを提供する企業になります。

具体的には、下記に当てはまる企業です。
・他社のクラウドサービスを使ってアプリなどのクラウドサービスを提供している企業
・他社のクラウドサービスを利用している企業
・他社のクラウドサービスを使ってビジネスをしている企業
・クラウド設備を自社で保有し、クラウドサービス提供している企業

実際に取得している企業
・Amazon Web service
・Google
・Microsoft
・IDCフロンティア
・NTTデータ
・サイボウズ
・さくらインターネット
・Sansan
・鈴与シンワート
・ソフトバンク
・Chatwork

 

5.どれくらいで取得できるの?

企業規模を考えないなら、
・ISO27001を取得している:6か月ぐらいで取得可能
・ISO27001を新規で取得する:8か月ぐらいで取得可能
※企業規模やクラウドサービスの種類によっては、12か月ぐらい必要な場合もあります。


期間具体的にすること
ISMS構築
①~⑨
6か月~
8か月
①基本方針/適用範囲
②役割及び責任の明確化
③規程/ルールの策定
④適用宣言書の作成
⑤セキュリティ目的設定
⑥サービス契約書・
利用約款のチェック
⑦情報資産の洗い出し
⑧リスクアセスメントの実施
⑨従業員への教育
ISMS運用
⑩~⑬
3か月~
5か月
⑩事業継続の実施
⑪内部監査
⑫是正処置対応
⑬マネジメントレビュー
ISMS審査
⑭~⑯
3か月~
5か月
⑭一次審査
⑮二次審査
⑯認証完了

6.ISO27017取得にかかる費用

取得にかかる費用は、審査費用がマストです。
審査機関/会社人数・規模などで料金が変わるので、審査機関に見積依頼して確認しましょう。

また、ISO 27017単体では取得はできませんので、基本的にISO 27001審査の料金と合算されています。

 

7.ISO27017を取得する上で注意すべき3つのポイント


クラウド

ISO27017を取得する上で、気を付けなければならないポイントが3つあります。

① 取得について

すでにISMS(ISO27001)を取得済であるか、ISMSとISO27017を同時に取得する必要があります。
ISO27017は、ISMSのアドオン認証です。 アドオン認証とは、「ISMSを持っている企業が追加で取れる規格」という意味です。

なので、ISO27017を認証取得したい場合、 ISMSと同時にISO27017を構築し、取得する ISMSを持っている企業が、追加でISO27017を構築し取得する のどちらかのパターンになります。

 

② 適用範囲

ISO27017の適用範囲は、ISMS(ISO27001)と同一、または範囲内となります。
ISMSとISO27017の対象組織・対象拠点・対象部門は同一か、ISMSの範囲にISO27017が包括されている状態にしなければいけません。

 

③ 審査

ISMS(ISO27001)と同時に審査を受けます。
厳密には、別々の審査も可能ですが、費用や工数の関係から同時審査を推奨します。

 

 

8.具体的に何をすればいいの?

ISO27017を取得するために、具体的にやることは2点あります。

① ISMSの114の管理策をクラウドサービス用にアップデート

そもそもISMS(ISO27001)のアドオン認証なので、まずはISMS(ISO27001)を構築することが前提です。
また、ISMS(ISO27001)をすでに構築している企業様では、構築したルールをクラウドサービス用にアップデートする必要があります。

 

② ISO27017の新しい基準7項目の追加

ざっくりいうと、ISMSには無い7つの項目を追加する必要があります。
この7項目に対して、社内でセキュリティルールを決め、運用していく必要がございます。
いかがISO27017の新しい基準7項目です。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

 

9.似たようなISO27018って何?

ISO27018は、個人情報を含むクラウドサービスに特化した規格です。
よって、個人情報を取り扱うクラウドサービスを提供している企業(提供者)が対象です。
ISO27017・・・クラウドサービス「全般」のセキュリティマネジメントシステム
ISO27018・・・クラウドサービス内の「個人情報」に焦点を当てたセキュリティマネジメントシステム

※注意点
2021年頃から基準がかわり、ISO27018(個人情報のクラウドセキュリティ)は、「クラウド上の個人情報の処理を委託された事業者のみ」が対象となりました。
つまり、クラウド上でのBPO(業務の企画・設計から実施までを一括して外部委託)のような業態でないと対象外になり、ISO27018は取得できないケースがございます。
無駄な作業をやらないためにも、事前に自社がISO27018の対象であるかどうかを、ISO27018ができる審査機関へ問合せすることをオススメします。

 

まとめ

ISO27017の取得で注意すべきポイントは下記の3点です。
①すでにISO27017(ISMS)を取得済であるか、ISO27001とISO27017同時取得する必要がある
②適用範囲がISO27001と同一、または範囲内であること
③審査はISO27001(ISMS)と同時に受けるべき

ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンスです。

ISO・Pマーク認証更新でお悩みの方へ

Pマークについてお悩み、ご質問がある方はこちら

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

\SNSでシェアしてね/

クリップボードにコピーしました

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。