2022年9月16日
クラウドセキュリティとは、クラウド環境のリスクに対策を行い、クラウドに保存された情報を守ることです。
クラウドセキュリティとはクラウドサービスを提供している企業にとって重要なポイントであり、ISO27017の認証を取得することでセキュリティ対策の仕組みができているアピールになります。
1.クラウドセキュリティとは
クラウドセキュリティとは、クラウド環境のリスクに対策を行い、クラウドに保存された情報を守ることです。
オフィス、自宅、その他場所を問わずに利用できて便利なクラウドサービス。インターネットに接続さえできればどこでも利用できます。テレワークの普及も相まって活用する会社も増えていますね。
便利な反面、クラウド環境特有のリスクもあります。
クラウドサービスを提供する企業は適切なセキュリティ対策を施し、情報を保護する必要があるでしょう。
ISOだと、ISO27017がクラウドセキュリティに関する規格となります。
ISO27017の認証を取得することで、セキュリティ対策の仕組みができているアピールになります。
2.2022年、クラウドセキュリティ認証企業が増えている
現在、そのISO27017/クラウドセキュリティ認証を取得している組織が増えております。
背景には、
・ISO27017の取得が入札条件のひとつになっている
・大手クライアントからのアンケートに「ISO27017を取得しているか」が入っている
・取引前にクラウドセキュリティに関して事前確認される機会が増えた
というようなことがあります。
ISMS-ACで調べられるISO27017の取得企業数は325社(2022年8月現在)。
取得することで他社と“差別化”できるチャンスもまだまだあります。
ISO27001(ISMS)が20年前に流行し出したときと同様ですね。ISO27001も当初は認証しているだけで優位に立つことができました。
現在では、ISO27001は取得していて当たり前の時代です。
ISO27017の取得企業数が激増していない今が、他社との差別化のチャンスです。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
▼クラウドセキュリティ認証(ISO27017)の基本知識
クラウドセキュリティ認証(ISO27017)とは…
正式名称はISO/IEC 27017で、クラウドサービスに関する情報セキュリティ管理策のガイドラインです。
言い換えると、
「ISO27001の中のクラウドセキュリティの要求事項をより深くして規格化させたもの」
です。
ISO27017を取得するにはISO27001(ISMS)取得が前提条件となっており、
①ISO27001をすでに持っている企業が追加でISO27017を取得する
②ISO27001とISO27017を同時で取得する
の2択になります。(=アドオン認証)
こちらの記事でもISO27017取得について詳しく解説しています。
3.クラウドセキュリティ認証(ISO27017)の取得って難しいの?
結論から申し上げますと、まだ取得企業数もそこまで多くなく経験したことのある方も少ないので、専門のコンサルを導入しない場合は難しいと感じるでしょう。
先ほどお伝えしたようにクラウドセキュリティ認証(ISO27017)はISO27001(ISMS)のアドオン認証になります。
ですので、ISO27001+クラウドセキュリティ認証(ISO27017)両方の要求事項を満たさなければなりません。
具体的にクラウドセキュリティ認証(ISO27017)で追加される要求事項は大きく2つです。
① ISMSの114の管理策をクラウドサービス用にアップデート
そもそもISO27001のアドオン認証なので、まずはISO27001を構築することが前提です。
また、ISO27001をすでに構築している組織では、構築したルールをクラウドサービス用にアップデートする必要があります。
② ISO27017の新しい基準7項目の追加
ざっくりいうと、ISO27001には無い7つの項目を追加する必要があります。
以下7項目に対して、セキュリティルールを決め、運用していく必要があります。
CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合
4.認証までにどのくらいの期間がかかる?
コンサル会社のサポートを利用すると、キックオフから6〜8か月でISO27017の取得が可能です。
自社で構築されるケースだと約1年以上かかるケースが多いようです。
経験豊富なコンサルタントの力をかりることも有効な手段かもしれません。
5.認証に必要な3つのこと
① ISO27001(ISMS)の取得
すでにISO27001を取得済であるか、ISO27001とISO27017を同時に取得する必要があります。
ISO27017は、ISMSのアドオン認証です。 アドオン認証とはこの場合、「ISMSを持っている企業が追加で取れる規格」という意味です。
ですので、
・ ISMSと同時にISO27017を構築して取得する
・ISMSを取得済であり、追加でISO27017を取得する
のどちらかのパターンになります。
② 適用範囲
ISO27017の適用範囲は、ISO27001と同一、または範囲内となります。
ISO27001とISO27017の対象組織・対象拠点・対象部門は「同一」か、もしくは「ISO27001の範囲にISO27017が包括されている」状態にしなければいけません。
③ 審査
ISO27001と同時に審査を受けます。
厳密に言うと、ISO27017の新規取得時の1年目の場合のみ、別々の審査も可能な場合が多いですが、工数や費用の関係から同時審査を推奨します。
6.認証にかかる費用
クラウドセキュリティ認証(ISO27017)の審査費用については一般的にはISO27001審査費用の1.5倍~1.8倍と言われております。(※ISO27001+ISO27017の審査費用合算が、ISO27001の時と比べて1.5倍~1.8倍)
正確な金額はご希望の審査機関へお問い合わせください。
7.その他クラウドサービス事業者が取得しているISMAPについて
ISMAPとは、
内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営している「政府情報システムのためのセキュリティ評価制度」
のことです。
ISMAPは、
「Information system Security Management and Assessment Program」
の頭文字を取った略称となります。
顧客要求・官公庁からの要求でISMAPを求められるケースがありますが、調べてみるとISMAP取得のためには膨大な監査費用の捻出や、チェック項目が1000項目以上と、中小企業には厳しいものになっております。
ただ、ご安心ください。
ISMAPを求められる案件でも、ISO27017を取得していれば受注ができたというケースが事例として存在します。
ISO27017であれば中小企業でも取り組むことが容易なレベルです。
相手はISMAPを取得してほしいというよりも、「貴社のサービスが安全なのか?」を根拠をもって説明できればよいだけですので、一度ISO27017の取得でも良いか要求先に確認することをおすすめします。
まとめ
クラウドセキュリティとは、クラウド環境のリスクに対策を行い、クラウドに保存された情報を守ることです。
ISO27017の認証を取得することでセキュリティ対策の仕組みができているアピールになります。
ISO27017取得のポイントは以下の3点です。
①すでにISO27017を取得済であるか、ISO27001とISO27017同時取得する必要がある
②ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンス
費用も、ISO27001+ISO27017の審査費用合算が、ISO27001の時と比べて1.5倍~1.8倍程度と高すぎない
③顧客要求でISMAPを求められる案件でも、ISO27017を取得していれば受注ができたというケースが事例として存在する(ISO27017の取得がおすすめ)
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ