ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

【解説】クラウドセキュリティとは?関連する認証が人気の理由とは

2022年9月16日

【解説】クラウドセキュリティとは?関連する認証が人気の理由とは

クラウドセキュリティとは、クラウド環境のリスクに対策を行い、クラウドに保存された情報を守ることです。
クラウドセキュリティとはクラウドサービスを提供している企業にとって重要なポイントであり、ISO27017の認証を取得することでセキュリティ対策の仕組みができているアピールになります。

1.クラウドセキュリティとは

クラウドセキュリティとは、クラウド環境のリスクに対策を行い、クラウドに保存された情報を守ることです。

オフィス、自宅、その他場所を問わずに利用できて便利なクラウドサービス。インターネットに接続さえできればどこでも利用できます。テレワークの普及も相まって活用する会社も増えていますね。

便利な反面、クラウド環境特有のリスクもあります。
クラウドサービスを提供する企業は適切なセキュリティ対策を施し、情報を保護する必要があるでしょう。

ISOだと、ISO27017がクラウドセキュリティに関する規格となります。
ISO27017の認証を取得することで、セキュリティ対策の仕組みができているアピールになります。

2.2022年、クラウドセキュリティ認証企業が増えている

現在、そのISO27017/クラウドセキュリティ認証を取得している組織が増えております。

背景には、

・ISO27017の取得が入札条件のひとつになっている
・大手クライアントからのアンケートに「ISO27017を取得しているか」が入っている
・取引前にクラウドセキュリティに関して事前確認される機会が増えた

というようなことがあります。

 

ISMS-ACで調べられるISO27017の取得企業数は325社(2022年8月現在)。
取得することで他社と“差別化”できるチャンスもまだまだあります。

ISO27001(ISMS)が20年前に流行し出したときと同様ですね。ISO27001も当初は認証しているだけで優位に立つことができました。
現在では、ISO27001は取得していて当たり前の時代です。
ISO27017の取得企業数が激増していない今が、他社との差別化のチャンスです。

 

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
▼クラウドセキュリティ認証(ISO27017)の基本知識

クラウドセキュリティ認証(ISO27017)とは…
正式名称はISO/IEC 27017で、クラウドサービスに関する情報セキュリティ管理策のガイドラインです。
言い換えると、
「ISO27001の中のクラウドセキュリティの要求事項をより深くして規格化させたもの」
です。

ISO27017を取得するにはISO27001(ISMS)取得が前提条件となっており、

①ISO27001をすでに持っている企業が追加でISO27017を取得する
②ISO27001とISO27017を同時で取得する
の2択になります。(=アドオン認証)

 

こちらの記事でもISO27017取得について詳しく解説しています。
ISO27017【ISMS(ISO27001)】:cloud(クラウド)サービスに対応した規格の取得で注意すべきポイント

3.クラウドセキュリティ認証(ISO27017)の取得って難しいの?

結論から申し上げますと、まだ取得企業数もそこまで多くなく経験したことのある方も少ないので、専門のコンサルを導入しない場合は難しいと感じるでしょう。

先ほどお伝えしたようにクラウドセキュリティ認証(ISO27017)はISO27001(ISMS)のアドオン認証になります。
ですので、ISO27001+クラウドセキュリティ認証(ISO27017)両方の要求事項を満たさなければなりません。

具体的にクラウドセキュリティ認証(ISO27017)で追加される要求事項は大きく2つです。

① ISMSの114の管理策をクラウドサービス用にアップデート
そもそもISO27001のアドオン認証なので、まずはISO27001を構築することが前提です。
また、ISO27001をすでに構築している組織では、構築したルールをクラウドサービス用にアップデートする必要があります。

② ISO27017の新しい基準7項目の追加
ざっくりいうと、ISO27001には無い7つの項目を追加する必要があります。
以下7項目に対して、セキュリティルールを決め、運用していく必要があります。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

4.認証までにどのくらいの期間がかかる?

コンサル会社のサポートを利用すると、キックオフから6〜8か月でISO27017の取得が可能です。
自社で構築されるケースだと約1年以上かかるケースが多いようです。

経験豊富なコンサルタントの力をかりることも有効な手段かもしれません。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

5.認証に必要な3つのこと

① ISO27001(ISMS)の取得

すでにISO27001を取得済であるか、ISO27001とISO27017を同時に取得する必要があります。
ISO27017は、ISMSのアドオン認証です。 アドオン認証とはこの場合、「ISMSを持っている企業が追加で取れる規格」という意味です。
ですので、
・ ISMSと同時にISO27017を構築して取得する
・ISMSを取得済であり、追加でISO27017を取得する
のどちらかのパターンになります。

② 適用範囲

ISO27017の適用範囲は、ISO27001と同一、または範囲内となります。
ISO27001とISO27017の対象組織・対象拠点・対象部門は「同一」か、もしくは「ISO27001の範囲にISO27017が包括されている」状態にしなければいけません。

③ 審査

ISO27001と同時に審査を受けます。
厳密に言うと、ISO27017の新規取得時の1年目の場合のみ、別々の審査も可能な場合が多いですが、工数や費用の関係から同時審査を推奨します。

6.認証にかかる費用

クラウドセキュリティ認証(ISO27017)の審査費用については一般的にはISO27001審査費用の1.5倍~1.8倍と言われております。(※ISO27001+ISO27017の審査費用合算が、ISO27001の時と比べて1.5倍~1.8倍)

正確な金額はご希望の審査機関へお問い合わせください。

7.その他クラウドサービス事業者が取得しているISMAPについて

ISMAPとは、
内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営している「政府情報システムのためのセキュリティ評価制度」
のことです。

ISMAPは、
「Information system Security Management and Assessment Program」
の頭文字を取った略称となります。

顧客要求・官公庁からの要求でISMAPを求められるケースがありますが、調べてみるとISMAP取得のためには膨大な監査費用の捻出や、チェック項目が1000項目以上と、中小企業には厳しいものになっております。

ただ、ご安心ください。
ISMAPを求められる案件でも、ISO27017を取得していれば受注ができたというケースが事例として存在します。
ISO27017であれば中小企業でも取り組むことが容易なレベルです。

相手はISMAPを取得してほしいというよりも、「貴社のサービスが安全なのか?」を根拠をもって説明できればよいだけですので、一度ISO27017の取得でも良いか要求先に確認することをおすすめします。

まとめ

クラウドセキュリティとは、クラウド環境のリスクに対策を行い、クラウドに保存された情報を守ることです。
ISO27017の認証を取得することでセキュリティ対策の仕組みができているアピールになります。
ISO27017取得のポイントは以下の3点です。

①すでにISO27017を取得済であるか、ISO27001とISO27017同時取得する必要がある

②ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンス
費用も、ISO27001+ISO27017の審査費用合算が、ISO27001の時と比べて1.5倍~1.8倍程度と高すぎない

③顧客要求でISMAPを求められる案件でも、ISO27017を取得していれば受注ができたというケースが事例として存在する(ISO27017の取得がおすすめ)

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。