ISO27017とISMAPの違いを簡単に解説

１．ISO27017とは

ISO27017は、ISO27001をベースにしたクラウドサービスセキュリティに関する国際認証です。

近年、クラウドサービスはその利便性から多くの企業に採用され、急速に普及しています。
それに伴い、セキュリティ対策も重要視されるようになりました。クラウドサービスを提供するプロバイダーと利用するカスタマーの双方に対して、クラウド環境での情報セキュリティ対策を講じることで、安全にクラウドサービスを利用できる環境を整えることが求められています。

ISO27017は、ISO27001（ISMS：情報セキュリティマネジメントシステム）を基盤としています。
ISO27001は、セキュリティを向上させるためのPDCAサイクルの仕組みとセキュリティ管理策を決めるための指針です。

ISO27001を認証取得したうえで、ISO27017のクラウドサービスセキュリティに関するセキュリティ管理策を認証することができます。これをアドオン認証と言います。
ISO27001とISO27017を同時に取得するケースもあります。

また、ISO27018という規格があります。
ISO27018は、クラウドサービスに関するセキュリティでアドオン認証ではありますが、クラウドサービス提供者がパブリッククラウド上（クラウドサービス提供者が構築した環境を、他の利用者と共同利用するタイプの利用形態）で管理する個人情報の保護に焦点を当てた認証となります。

２．ISMAPとは

ISMAP（Information system Security Management and Assessment Program）とは、政府情報システムのためのセキュリティ評価制度です。
この制度は、政府が求めるセキュリティ要件を満たすクラウドサービスを評価し、登録することで、セキュリティ水準を確保します。これにより、政府がクラウドサービスを導入する際の選定基準となります。

ISMAPは、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」に基づき、内閣サイバーセキュリティセンター、デジタル庁、総務省、経済産業省が運営しています。
また、技術支援はIPA（独立行政法人情報処理推進機構）が担当しています。

３．ISO27017とISMAPの違いについて

	ISO27017	ISMAP
特徴	クラウドサービスの提供・利用に対して適用されるクラウドセキュリティの認証。 取引先から要求されたり入札の参加条件／加点条件となっているケースが多い。 まずISO27001を取得していないと取得できない。 正式名称　ISO/IEC 27017	日本政府がクラウドサービスのセキュリティ評価を行うためのプログラム。 政府機関や地方自治体からの受注や公共入札案件などでも有利に働くケースがある。 読み方　イスマップ
難易度	中	難しい
費用	中	高い

ISO27017とISMAPの違いについては、国際認証でありクラウドサービスを管理・セキュリティ向上させるための仕組みであることと、日本政府がクラウドサービスを導入するための認定という形で大きな違いがあります。
その他にも以下のような違いを紹介します。

⑴審査制度が違う

■ISO27017の場合

前述のとおりISO27017はISO27001のアドオン認証となるので外部審査時は同時進行します。
ISO27001の規格要求には2種類あり、本文規格要求（セキュリティ向上をさせるためのPDCAサイクルの仕組み）と付属書A（セキュリティルールを制定するための管理策基準）です。これにアドオン認証のISO27017のクラウドサービスに関する管理策基準が加わります。

その管理策基準はさらに2つに分かれており、クラウドサービスカスタマとクラウドサービスプロバイダとなります。

• クラウドサービスカスタマとは、クラウドサービスを”利用する”事業者を指します
• クラウドサービスプロバイダとは、クラウドサービスを”提供する”事業者を指します

この本文規格要求と付属書Aの管理策基準に適合しているのかどうかを外部機関による審査をしていくのがISO27017です。

■ISMAPの場合

ISMAPの管理基準は、ISO27001、ISO27002、ISO27017を基準に作られた「クラウド情報セキュリティ管理基準」をはじめとし、「政府機関等の情報セキュリティ対策のための統一基準群」などを参照して作成されています。

大きく分けて説明すると以下3つの基準を管理策として実施することが必要になります。

• ガバナンス基準
• マネジメント基準
• 管理基準

これら3つの基準を、外部機関による監査で登録をされるかどうかの判断を行っていくのがISMAPです。

基準等の詳細についてはこちらの公式サイトを参照ください。
参照：ＩＳＭＡＰ – 政府情報システムのためのセキュリティ評価制度

⑵有効期限が違う

■ISO27017の場合

認定登録が下りた日から3年間

■ISMAPの場合

登録の対象となった監査対象期間の末日の翌日から1年4ヶ月後まで

⑶必要経費が違う

必要な費用についても違いがあります。

専門のコンサルティング会社によるサポートを利用するケースも多いですが、一旦コンサル費用を含めない金額を記載します。
ちなみにコンサル費用も企業により異なるので一概に言えませんが、100万円以上を想定しておいたほうが良いでしょう。

■ISO27017の場合

審査機関と認証範囲内の従業員数（プロバイダの場合、サービス数も）により値段は大きく変わってきますが、30名ほどの企業では、初回認証時おおよそ100〜200万円となります。

■ISMAPの場合

これも企業やサービスの規模によってかなり大きく値段が変わってきますが、おおよそ数百万円〜数千万円かかります。

４．ISO27017とISMAP、どちらを取得するべきか

ISO 27017とISMAPのどちらを取得すべきかは、組織・事業者の具体的なニーズによって異なります。以下に、それぞれの利点を挙げていきます。

⑴ISO27017の利点

• 国際認証と信頼性
  ISO 27017は国際標準であり、多くの組織に認知されています。（日本でも認知度は高まっているがまだまだ発展途上）
  そのためISO 27017の取得は、クラウドサービスのセキュリティに関する信頼性を高めるのに役立ちます。
• クラウドセキュリティの枠組み
  ISO 27017は、クラウド環境での情報セキュリティに焦点を当てた管理策基準となっています。クラウドサービスを提供または利用する組織にとって、適切なセキュリティコントロールをするための指針として役立ちます。

一般組織との契約時に一つのセキュリティ評価基準として認められ、契約がしやすくなるでしょう。

⑵ISMAPの利点

• 内部情報セキュリティの評価
  ISMAPは、組織が自己評価を行い、情報セキュリティ管理の強化や改善点を特定するのに役立ちます。組織が自身の情報セキュリティプロセスを評価し、必要に応じて改善を行うための仕組みを提供しています。
• リスク管理の強化
  ISMAPは、情報セキュリティリスクを評価し、管理するための仕組みを提供しています。組織が情報セキュリティリスクに対処し、ビジネスに関連するリスクを最小限に抑えるために役立ちます。

政府がクラウドサービスを導入するための評価登録となるので、政府との取引に有利です。

５．ISO27017認証の取得方法

コンサル会社のサポートを利用せず、自社で取得する場合は、基準となるISO27001：2022（JIS Q 27001:2023）とISO27017：2015（JIS Q 27017:2016）の規格要求事項を購入し、規程等のルールを整備、運用し、外部審査を受ける必要があります。

やはり、自社で構築するとなると、かなりのリソースを割かなければなりません。
取得のポイントなどを以下にまとめているので参照ください。

６．ISMAP認証の取得方法

これも流れは同じであり、自社で構築することとなるとかなりのリソースを割かなければなりません。
取得のポイントなどを以下にまとめているので参照ください。

７．まとめ

ISO27017とISMAPは、クラウドサービスに関する認証制度ということでは違いはありませんが、取得のためにかかる費用や制度に違いがあります。

ISO27017はISO27001をベースにしたクラウドサービスセキュリティに関する国際認証であり、クラウドサービスを管理・セキュリティ向上させるための仕組みです。
ISMAPは日本政府がクラウドサービスを導入するための認定に関するセキュリティ評価制度であり、政府が求めるセキュリティ要求事項を満たしているとみなされたクラウドサービス事業者が登録されます。

ISO27017とISMAPはどちらが良いかという答えはありません。認証目的により変わります。
組織の方向性によってどちらが良いか決め、取得を目指してはいかがでしょうか？