１．ISOについて

ISOとは国際標準化機構の略称であり、この国際標準化機構が国際規格であるISO規格を定めています。
標準化機構という名の通り、ISO規格は情報セキュリティから製品の品質など様々な分野での実施すべき目安を定めています。

２．ISO27017（クラウドサービスセキュリティ）とは

クラウドサービスに限った話ではないですが、クラウドサービスは目に見えない分、取り扱いを誤ると情報の漏えいやデータ消失の危険性があります。このようなクラウドサービスの利用に伴うリスクに特化した規格として、ISO27017が発行されました。

対象となる組織は、クラウドサービスを提供する組織もしくはクラウドサービスを利用する組織です。
審査を受けて認証取得することで、クラウドサービス固有のリスクを低減し、顧客や取引先からの信頼向上が期待できます。

３．ISO27017と他の規格との違い

(1)ISO27017とISO27001（ISMS）との違い

ISO27017はISO27001に追加して取得できる「アドオン認証」です。
つまり、ISO27001を既に認証しているか、もしくはISO27001と同時に認証する必要があります。ISO27001を認証せずISO27017のみ取得することは出来ません。

ISO27001は情報セキュリティ全般を対象としていますが、クラウドサービスの急速な普及に比べてクラウドサービスセキュリティの項目は必ずしも十分なものではありませんでした。
そのためISO27017を認証することでクラウドサービスセキュリティに関しても強固な体制を構築することができます。

(2)ISO27017とISO27018との違い

同じクラウドサービスセキュリティに関するISO認証として、ISO27018が存在します。
ISO27017はクラウドサービスそのものの情報セキュリティが対象となりますが、ISO27018はそのクラウド内で取り扱う個人情報の保護を目的とした規格です。

４．情報セキュリティ内でのISO27017の位置づけ

ISO27017はISO27001に追加して取得できるアドオン規格です。
ISO27017は「クラウドサービスを提供する側」、「クラウドサービスを利用する側」、もしくはその両方の立場で取得することが可能です。
ISO27001で情報セキュリティ全般の管理策を網羅し、クラウドサービスに特化した管理策を最大79個検討する必要があります。

「クラウドサービスを提供する側」では、提供するクラウドサービスのセキュリティを強固にすることはもちろん、利用者に安心してクラウドサービスを利用してもらうために必要な情報を提供します。

「クラウドサービスを利用する側」では、利用するクラウドサービスのセキュリティが問題ないか規約や契約書などを確認し、確認が出来ない項目については先方に問い合わせたりなどする必要があります。そうすることで適切にクラウドサービスを利用することができます。

５．ISO27017需要増加の背景

ISO27017はクラウドサービスの急速な普及に伴い、その需要も高まりました。
特にAWS（Amazon）、GCP（Google）、Azure（Microsoft）の世界的なクラウドサービスプロバイダがISO27017を取得したことで、クラウドサービスプロバイダとしてISO27017を取得する意義が大きくなりました。

６．ISO27017認証のメリットについて

ISO27001で情報資産全般を網羅しているのに関わらず、ISO27017も認証する必要性はあるのでしょうか。
先述した通りISO27001のみではクラウドサービスのセキュリティ体制を構築するには不十分です。
特にアプリケーションやシステムなどのクラウドサービスを提供している事業者は、そのサービス自体の安全性を証明する必要があります。
近年はサイバー攻撃などが増加していることからも、利用者側としては同じISO27017認証をしているサービスの方が安心して利用できます。

こういった背景からもISO27017を取得する企業は増えており、その多くが主要顧客からの要求で合ったり、入札条件として提示されたりなど、顧客側の要求は強まっています。

需要が伸びている規格ではありますが、比較的新しい規格であるため世間的にもメジャーとなる前にISO27017認証をすることで競合他社との差別化につなげることもできます。

７．ISO27017を取得するための条件

ISO27017を取得する条件は、ISO27001を取得しているかどうかです。同時に取得することも可能です。

「クラウドサービスを提供する側」、「クラウドサービスを利用する側」、もしくはその両方の立場で取得することが可能と先述しましたが、もちろんクラウドサービスを提供していない組織が「クラウドサービスを提供する側」としてISO27017を取得することは出来ません。

また、「クラウドサービスを提供する側」がクラウドサービスプロバイダのみ認証して、クラウドサービスカスタマとしては認証しないとするのは審査機関によっては出来ない可能性があります。
理由としては基本的に「クラウドサービスを提供する側」もクラウドサービスの基盤にAWSなどのクラウドサービスを利用しており、「クラウドサービスを利用する側」に該当するためです。

８．ISO27017認証ができる審査機関

以下がISO27017認証が出来る審査機関の一例です。

• 株式会社日本能率協会マネジメントセンター
• BSIグループジャパン株式会社
• インターテック・サーティフィケ―ション株式会社

ISO27001の後に新たに出来た認証規格のため、現状ISO27017の審査をしていない審査機関も少なくありません。
場合によっては審査機関の移転も視野に入れる必要もあるため、注意してください。

９．ISO27017取得までの流れ

ISO27017は、あくまでISO27001が土台となるため、ISO27001を取得するために作成した規程類をアップデートする必要があります。

(1)計画を作成する

まず始めにISO27017の審査を、どのタイミングで受けるのか決める必要があります。
通常はISO27001の審査と同時に実施するケースが多いです。
しかし、ISO27001の審査までにISO27017の審査準備が間に合わないケースや、顧客要求などで最短で取得したいケースなどもあるため、ISO27017の審査だけを単独で実施することもあります。
ただし、審査機関によっては単独の審査は受け付けない場合もあるため、必ず審査機関に確認をしてください。

(2)クラウドサービスに関する情報セキュリティマネジメントシステムを構築する

審査時期がある程度固まれば、審査に間に合うようにISO27017の構築と運用をする必要があります。

まずはISO27001に追加されるクラウドに特化した管理策を洗い出しましょう。
例えばISO27001には「A.5.1.1　情報セキュリティのための方針群」という管理策がありましたが、ISO27017ではクラウドに関する要求事項が追加されています。

また、ISO27001には無かった内容の7つの管理策が追加されています。

• CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
• CLD.8.1.5 クラウドサービスカスタマの資産の除去
• CLD.9.5.1 仮想コンピューティング環境における分離
• CLD.9.5.2 仮想マシンの要塞化
• CLD.12.1.5 実務管理者の運用のセキュリティ
• CLD.12.4.5 クラウドサービスの監視
• CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

上記のような追加管理策を洗い出し、現状の運用で要求事項が満たせていない項目が無いか精査します。
もし満たせていなければ、管理策の適用可否の判断や、要求事項を満たすために社内規程やサービスの仕様、サービス規約などを修正もしくは作成します。

基本的にISO27017で追加される管理策には、それぞれ「クラウドサービスを提供する側」、「クラウドサービスを利用する側」の2つの基準が定められています。
そのため、自分たちがどちらの側で取得するのかによって管理策の内容は変わります。

(3)実際に運用する

ISO27017の土台が出来れば、実際に新たに作成したルール通りに運用を回します。
ISO27017の運用を独自に回すのではなく、これまでのISO27001の運用にクラウドの要求事項を乗せるイメージです。
そのため、ISO27001と同様に実際の運用に関しては活動の結果を証拠として記録を残しましょう。

(4)社内チェック（内部監査）とトップへの報告（マネジメントレビュー）

ISO27017の取得のために限らず、ISO27001を維持するためにも、内部監査とマネジメントレビューは必須です。
一通りの運用について、ルール通り出来ているか内部監査でチェックを行い、マネジメントレビューにて報告し、次に向けてのアクションを決めていきます。

実施方法はISO27001と大きな違いはありませんが、ISO27017の要求事項も内部監査のチェックリストに追加することを忘れないようにしましょう。

(5)審査を受ける

先述した通り、ISO27017の審査は基本的にISO27001と同時に実施されることが多いです。
ISO27001では広く浅い審査となることが多いですが、ISO27017では組織が提供するクラウドサービスや使用するクラウドサービスのセキュリティを深く審査されます。
そのため、クラウドサービスの仕様に詳しい方が参加されると良いでしょう。

審査後の流れはその他のISOの認証の流れと違いありません。
不適合が無ければそのまま認証手続きへと進んでいき、不適合があれば期限までに審査機関に改善文書を提出し認められれば認証手続きへ移行します。

10．ISO27017に必要な費用

ISO27017を取得するにあたって、必ず発生する費用は審査費用です。
審査費用は審査機関／会社人数・規模などで料金が変わるので、審査機関に見積依頼して確認するのが正確です。
1拠点30名のシステム開発の企業がISO27017審査を受けた場合、新規認証審査では最低でも100万円くらいは発生するケースが多いです。（ISO27017単体では取得はできませんので、ISO27001審査の料金と合算します。）

その他にはクラウドサービスへのセキュリティ機能の追加費用が考えられます。
しかし、審査で重要視されるログ情報やバックアップの取得などはクラウドサービスを提供している企業側で既にしっかりと取得していることが多いため、あまり気にする必要はありません。
強いてあげるとすればadmin権限を所有している管理者に、多要素認証を搭載するなどのセキュリティ強化をすべきかどうか検討する必要があります。

11．ISO27017取得企業の特徴

ISO27017を取得する企業は「クラウドサービスを提供する側」が比較的多いです。
一概にクラウドと言っても主に「SaaS」「PaaS」「IaaS」の3つを提供している組織に分類することができます。

12．ISO27017取得企業一覧の調べ方はあるのか

ISO27017を取得している企業は対外的なアピールに繋がるため、HPに掲載しているケースが多く、検索にヒットしやすいです。

また、掲載を許可している組織は認定機関が一覧で検索できるようにしている「ISMSクラウドセキュリティ認証取得組織」等で検索することができます。

まとめ

ISO27017はISO27001に追加で認証できるアドオン規格です。クラウドサービスの普及に伴い需要が高まっている規格であり、「クラウドサービスを提供する側」、「クラウドサービスを利用する側」で要求事項は異なります。
そのため自分たちはどちらの側で取得する必要があるのか十分に見極めてからISO27017の構築に取り組んでください。

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約