2024年11月13日
ISO27017のコンサルってどうやって選べばいいの?
ISO27017(クラウドセキュリティ認証)のコンサルを選定するポイントは、実績数、専門知識、サポート体制の3点です。
具体的には、どれだけの支援実績があるか、そして業界特有の知識があるか、書類作成など作業まで支援してもらえるのか、打ち合わせはオンライン会議か訪問かなど、自分たちの要望に合うか確認しましょう。
2023年11月22日
クラウド認証とは、クラウドサービスにおける情報セキュリティ管理が適切に行われている組織であることを、第三者の視点で証明する認証のことです。
取得企業数が一番多くメジャーなものは、ISOのクラウドセキュリティ認証(ISO27017)です。
クラウド認証とは、クラウド上でのセキュリティを適切に管理していることを対外的に示す認証のことです。
クラウドサービスを扱う企業が増加するに連れて、情報セキュリティを適切に管理している証明となるクラウド認証の必要性も高まっています。
クラウド認証には様々な種類がありますが、代表的なものをご紹介します。
ISO/IEC 27017:2015はISOより発行されたクラウドセキュリティに関する国際規格で、クラウドサービスの提供および利用に関する情報セキュリティ管理のためのガイドラインです。
日本の特定非営利活動法人日本セキュリティ検査協会(JASA)による情報セキュリティ監査制度です。
Cloud Security Alliance (CSA、クラウドコンピューティングのセキュリティを確保するための米国業界団体)によるセキュリティ成熟度を評価する制度です。
この中で、ISO27017は、情報セキュリティのISO規格であるISMS認証を前提としたものであり、比較的認証のハードルが低く、取得を目指す企業が増えています。
クラウドセキュリティのポイントは大きく3つあります。
クラウドで提供されるサービスのうち、クラウドベンダーの責任範囲にある部分は、運用をベンダーに任せることができます。
こうした運用負荷の軽減は、クラウドを採用する大きなメリットの1つです。
しかし、これはユーザーが自由にカスタマイズしたり、直接コントロールすることが困難であることも意味します。
そのため、利用するクラウドサービスを選定する際には、システムが要求する水準・必要なコスト・得られるメリットといった面だけでなく、懸念されるこれらのリスクを総合的に評価する必要があります。
クラウドサービス会社に対する不安で一般的なものは以下の3点が挙げられます。
クラウドサービスにデータを保存することで、データが外部のサーバーやデータセンターに置かれるため、データプライバシーとセキュリティが懸念されます。
顧客のデータが不正アクセスやデータ漏洩のリスクにさらされる可能性があるため、クラウドプロバイダーのセキュリティ対策やプライバシー政策に信頼性があるのかという点が不安です。
クラウドサービスは、プロバイダーのサーバーやネットワーク上で提供されるため、サービスの可用性と障害への対応が懸念されます。
クラウドプロバイダーがサーバーやネットワークの障害を経験した場合、顧客のビジネスに影響を及ぼす可能性があるため、この点についての計画や対策が重要です。
クラウドプロバイダーに依存している場合、サービスのロックイン(移行の難しさ)とデータ携帯性が問題になることがあります。
クラウドプロバイダーを変更する場合やサービスをオンプレミスに移行する場合、データとアプリケーションの移行が複雑でコストがかかることがあり、この点が不安材料となります。
前述したように、不安は様々ありますが、特に不安を感じるのがセキュリティです。
クラウドにはクラウド環境に適応したセキュリティ対策、つまりクラウドセキュリティ対策が求められます。
対策は大きく3つあります。
クラウドセキュリティ対策とは、「情報セキュリティ対策」「サイバー攻撃対策」「セキュリティガバナンス施策」から成り立っており、これらのクラウドセキュリティ対策を総合的に講じることで安全にクラウドサービスを利用できます。
クラウドセキュリティ認証(ISO27017)を認証するためには、これらのセキュリティ対策を講じなければなりません。
データの可用性・機密性・完全性の3要素から構成されるセキュリティ対策です。
可用性:必要なときにいつでも安全にデータへアクセスできること
機密性:許可された利用者だけがデータにアクセスできるように制限されていること
完全性:データが改ざん、破壊されておらず、すべて最新の状態になっていること
クラウドサービスで提供されているサーバーやネットワーク、システムやアプリケーションへのサイバー攻撃を防ぐ施策のことを指します。
クラウドセキュリティ対策においては、セキュリティに関する意識や取り組みなどの仕組みが、クラウドセキュリティに関する標準規格に即して運用されているかというセキュリティガバナンスが適用されていることも大切です。
関連:法人向けクラウドストレージお勧め3選をプロが比較して解説|サイト引越し屋さん
クラウド認証、特にISO クラウドセキュリティ認証(ISO27017)を認証するメリットは3つあります。
クラウド特有のリスクに配慮したセキュリティを構築していることの宣言となりますのでセキュリティ、信頼性の向上につながります。
今まではPマーク、ISMSが入札への参加要件になっている自治体が多かったのですが、最近ではISO27017を入札への参加要件にしている自治体もでてきています。
大手企業からのセキュリティチェックシートへの対応についても今まではPマーク、ISMSについての質問が多かったですが、最近ではISO27017についても質問があることが多くなっており、認証していれば信頼を得られるケースも増えています。
ISMS認証取得のメリットについて、詳細が知りたい方はこちらの記事をご確認ください。
一方、クラウドセキュリティ認証(ISO27017)を取得するデメリットは2つあります。
クラウド認証を維持するとなると、毎年審査費用が発生します。また、コンサル会社のサポートを利用する場合はサポート料もかかるでしょう。
クラウド認証を取得するには、マニュアル作成・リスクアセスメント・内部監査・マネジメントレビューなどやることが発生します。
クラウド認証の担当者はこれを一手に引き受けるので、負担が大きくなるケースも多くあります。
セキュリティ認証の規格として有名なものに、ISO27001(ISMS)があります。
ISO27001は単体で取得できますが、クラウドセキュリティ認証(ISO27017)は、単体での取得はできません。
ISMS(情報セキュリティマネジメントシステム)とは、企業において情報セキュリティを適切に管理するためのマネジメントシステムのことです。
Information Security Management Systemの略称で、情報セキュリティマネジメントシステムと訳されます。
ISMSは、情報を扱う際のリスクを事前に察知して、そのリスクに対して企業としてどのような対策を取るかを策定するための仕組みです。
ISMS認証の取得方法、期間や費用についてはこちらの記事で解説しております。
よろしければご覧ください。
クラウドセキュリティ認証(ISO27017)は、ISMSのアドオン認証となっています。
言い換えるとISO クラウドセキュリティ認証(ISO27017)単体での認証はできません。必ずISMSとセットで認証する必要があります。
ISMS認証を取得していない企業がISO27017の取得を目指す場合、ISMSと合わせて2規格の認証を取得することになります。
クラウドセキュリティ認証ISO27017の要求事項について、ざっくりいうと、ISMSには無い7つの項目を追加する必要があります。
この7項目に対して、社内でセキュリティルールを決め、運用していく必要があります。
以下がISO27017の新しい基準7項目です。
ISO27017の認証取得についてお考えの方へ、取得の際の注意事項をまとめています。下記記事をご覧ください。
クラウド認証とは、クラウドサービスにおける情報セキュリティ管理が適切に行われている組織であることを第三者の視点で証明する認証のことです。
クラウド認証には様々な種類があり、組織や目的に合わせて認証制度を選ぶことが重要です。
比較的認証が取りやすく、メジャーなものがISOのクラウドセキュリティ認証(ISO27017)です。
クラウド認証をご検討されている企業様はまず、ISO27017の取得についてご検討されてみてはいかがでしょうか。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください