１．クラウドセキュリティとは

クラウドセキュリティとは、クラウド環境のリスクに対策を行い、クラウドに保存された情報を守ることです。

オフィス、自宅、その他場所を問わずに利用できて便利なクラウドサービス。インターネットに接続さえできればどこでも利用できます。テレワークの普及も相まって活用する会社も増えていますね。

便利な反面、クラウド環境特有のリスクもあります。
クラウドサービスを提供する企業は適切なセキュリティ対策を施し、情報を保護する必要があるでしょう。

ISOだと、ISO27017がクラウドセキュリティに関する規格となります。
ISO27017の認証を取得することで、セキュリティ対策の仕組みができているアピールになります。

２．2022年、クラウドセキュリティ認証企業が増えている

背景には、

・ISO27017の取得が入札条件のひとつになっている
・大手クライアントからのアンケートに「ISO27017を取得しているか」が入っている
・取引前にクラウドセキュリティに関して事前確認される機会が増えた

というようなことがあります。

ISMS-ACで調べられるISO27017の取得企業数は325社（2022年8月現在）。
取得することで他社と“差別化”できるチャンスもまだまだあります。

ISO27001（ISMS）が20年前に流行し出したときと同様ですね。ISO27001も当初は認証しているだけで優位に立つことができました。
現在では、ISO27001は取得していて当たり前の時代です。
ISO27017の取得企業数が激増していない今が、他社との差別化のチャンスです。

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
▼クラウドセキュリティ認証（ISO27017）の基本知識

クラウドセキュリティ認証（ISO27017）とは…
正式名称はISO/IEC 27017で、クラウドサービスに関する情報セキュリティ管理策のガイドラインです。
言い換えると、
「ISO27001の中のクラウドセキュリティの要求事項をより深くして規格化させたもの」
です。

ISO27017を取得するにはISO27001（ISMS）取得が前提条件となっており、

①ISO27001をすでに持っている企業が追加でISO27017を取得する
②ISO27001とISO27017を同時で取得する
の２択になります。（=アドオン認証）

こちらの記事でもISO27017取得について詳しく解説しています。
ISO27017【ISMS（ISO27001）】：cloud（クラウド）サービスに対応した規格の取得で注意すべきポイント

３．クラウドセキュリティ認証（ISO27017）の取得って難しいの？

結論から申し上げますと、まだ取得企業数もそこまで多くなく経験したことのある方も少ないので、専門のコンサルを導入しない場合は難しいと感じるでしょう。

先ほどお伝えしたようにクラウドセキュリティ認証（ISO27017）はISO27001（ISMS）のアドオン認証になります。
ですので、ISO27001＋クラウドセキュリティ認証（ISO27017）両方の要求事項を満たさなければなりません。

具体的にクラウドセキュリティ認証（ISO27017）で追加される要求事項は大きく2つです。

① ISMSの114の管理策をクラウドサービス用にアップデート
そもそもISO27001のアドオン認証なので、まずはISO27001を構築することが前提です。
また、ISO27001をすでに構築している組織では、構築したルールをクラウドサービス用にアップデートする必要があります。

② ISO27017の新しい基準７項目の追加
ざっくりいうと、ISO27001には無い７つの項目を追加する必要があります。
以下7項目に対して、セキュリティルールを決め、運用していく必要があります。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

４．認証までにどのくらいの期間がかかる？

コンサル会社のサポートを利用すると、キックオフから６〜８か月でISO27017の取得が可能です。
自社で構築されるケースだと約1年以上かかるケースが多いようです。

経験豊富なコンサルタントの力をかりることも有効な手段かもしれません。

５．認証に必要な３つのこと

① ISO27001（ISMS）の取得

すでにISO27001を取得済であるか、ISO27001とISO27017を同時に取得する必要があります。
ISO27017は、ISMSのアドオン認証です。 アドオン認証とはこの場合、「ISMSを持っている企業が追加で取れる規格」という意味です。
ですので、
・ ISMSと同時にISO27017を構築して取得する
・ISMSを取得済であり、追加でISO27017を取得する
のどちらかのパターンになります。

② 適用範囲

ISO27017の適用範囲は、ISO27001と同一、または範囲内となります。
ISO27001とISO27017の対象組織・対象拠点・対象部門は「同一」か、もしくは「ISO27001の範囲にISO27017が包括されている」状態にしなければいけません。

③ 審査

ISO27001と同時に審査を受けます。
厳密に言うと、ISO27017の新規取得時の1年目の場合のみ、別々の審査も可能な場合が多いですが、工数や費用の関係から同時審査を推奨します。

６．認証にかかる費用

クラウドセキュリティ認証（ISO27017）の審査費用については一般的にはISO27001審査費用の1.5倍～1.8倍と言われております。（※ISO27001+ISO27017の審査費用合算が、ISO27001の時と比べて1.5倍～1.8倍）

正確な金額はご希望の審査機関へお問い合わせください。

７．その他クラウドサービス事業者が取得しているISMAPについて

ISMAPとは、
内閣サイバーセキュリティセンター・情報通信技術（IT）総合戦略室・総務省・経済産業省が運営している「政府情報システムのためのセキュリティ評価制度」
のことです。

ISMAPは、
「Information system Security Management and Assessment Program」
の頭文字を取った略称となります。

顧客要求・官公庁からの要求でISMAPを求められるケースがありますが、調べてみるとISMAP取得のためには膨大な監査費用の捻出や、チェック項目が1000項目以上と、中小企業には厳しいものになっております。

ただ、ご安心ください。
ISMAPを求められる案件でも、ISO27017を取得していれば受注ができたというケースが事例として存在します。
ISO27017であれば中小企業でも取り組むことが容易なレベルです。

相手はISMAPを取得してほしいというよりも、「貴社のサービスが安全なのか？」を根拠をもって説明できればよいだけですので、一度ISO27017の取得でも良いか要求先に確認することをおすすめします。

まとめ

クラウドセキュリティとは、クラウド環境のリスクに対策を行い、クラウドに保存された情報を守ることです。
ISO27017の認証を取得することでセキュリティ対策の仕組みができているアピールになります。
ISO27017取得のポイントは以下の3点です。

①すでにISO27017を取得済であるか、ISO27001とISO27017同時取得する必要がある

②ISO27017の需要は年々増えており、取得企業の少ない今が、他社との差別化のチャンス
費用も、ISO27001+ISO27017の審査費用合算が、ISO27001の時と比べて1.5倍～1.8倍程度と高すぎない

③顧客要求でISMAPを求められる案件でも、ISO27017を取得していれば受注ができたというケースが事例として存在する（ISO27017の取得がおすすめ）

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約