ISO27017とISMAPの違いを徹底比較！失敗しないクラウドセキュリティ規格の選び方

クラウドサービスの利用が企業活動の基盤となり、情報資産の多くがクラウド環境に置かれる時代となりました。これに伴い、クラウド固有のリスク（多拠点管理、外部委託、アクセス制御の複雑化など）に対するセキュリティ基準の重要性がますます高まっています。

特に、クラウドサービスのセキュリティに関する国際的な信頼性を示す「ISO27017」と、政府が定める国内基準である「ISMAP」は、この分野で非常に重要な位置を占めています。

しかし、いざ取得を目指すとなると

「ISO27017とISMAPの違いがわからない」
「取得する規格が決まっても、いったい何から始めたらいいのか分からない」
「自社だけで取得ができるのか不安」

と、お困りの企業様も多いのではないでしょうか？

このコラムでは、これら2つの規格・制度が注目される背景から、その具体的な違い、そして貴社のビジネスにどちらが適しているかを判断するためのポイントを体系的に解説します。

本コラムを通じて、皆さんが自社のセキュリティ体制を強化するための一歩を踏み出せることを目指します。

１．ISO27017とは

ISO/IEC 27017は、クラウドサービスにおける情報セキュリティ管理策を示した国際規格であり、クラウド特有のリスクに対応するためのガイドラインを提供します。
この規格は、情報セキュリティマネジメントシステム（ISMS）の国際規格であるISO27001を基盤とし、クラウドサービス特有のセキュリティリスク（例：共有責任モデル、仮想化技術の利用、顧客データの隔離など）に対応するための追加の管理策を定めています。

ISO27017は独立した認証制度ではなく、ISO27001の追加認証として取得する形となります。

例えば、クラウド利用者には「データの所在を確認すること」、提供者には「利用者ごとのデータを論理的に分離すること」など、クラウドならではのリスク対応が求められます。

ISO27001と併せてISO27017を取得することで、クラウドサービスのセキュリティ管理に特化した高いレベルの取り組みを国際的に証明でき、クラウドサービスの利用者・提供者双方にとって信頼性の向上につながります。

２．ISMAPとは

ISMAP（イスマップ： Information system Security Management and Assessment Program of Japan）は、日本政府が策定した、政府機関がクラウドサービスを調達する際のセキュリティ評価制度です。
この制度は、クラウドサービス提供者（CSP）が提供するサービスが、政府が定める厳格なセキュリティ要件を満たしているかを評価し、登録する仕組みです。

ISMAPは、ISO27001を基盤としつつ、日本の法制度や政府独自の要件（例：個人情報保護法やサイバーセキュリティ基本法）を反映した評価基準を採用しています。これにより、政府機関は個別にセキュリティ評価を行う手間を省き、クラウドサービスの円滑な導入を実現します。

公共事業や官公庁向けのクラウドビジネスを展開する企業にとって、ISMAPへの登録は必須条件となるため、クラウドサービス提供者にとって非常に重要な制度といえます。

３．ISO27017とISMAPの共通点

ISO27017とISMAPは一見異なる制度に見えますが、両者には共通する土台があります。それは、どちらもクラウドサービスのセキュリティ強化を目的としており、情報セキュリティの「機密性」「完全性」「可用性」を確保することを重視しているということです。

ISMAPは、日本政府がクラウドサービスを調達する際のセキュリティ評価制度であり、ISO27001を基盤に、日本の法制度や政府独自の要件を反映して策定されています。一方、ISO27017は、ISO27001をベースにクラウド特有のリスクに対応するための国際的な管理策を定めた規格です。

両者のセキュリティ基準には、アクセス制御や暗号化、物理的セキュリティなど、多くの共通点があります。また、どちらも外部の審査・評価を受ける必要があり、取得することで取引先や顧客に対する信頼性向上につながります。

このように、ISO27017とISMAPは「クラウド時代における信頼性を証明する手段」として、企業のセキュリティ体制を強化する上で重要な役割を果たしています。

４．ISO27017とISMAPの違い

両者の本質的な違いを理解することが、適切な選択の第一歩です。

５．ISO27017とISMAPの選び方

自社のビジネス目標に合わせて、どちらを取得すべきか判断しましょう。

(1) ISO27017のメリットと向いている企業

【メリット 】

グローバルで通用する

国際規格であるため、世界中の企業にセキュリティレベルの高さをアピールできます。

柔軟な適用範囲

特定のサービスや部門に絞って認証を取得できるため、スモールスタートが可能です。

幅広い顧客層

民間企業との取引において、信頼獲得の大きな武器になります。

【向いている企業】

• 民間企業向けにクラウドサービスを提供している企業
• 海外市場への進出を検討している企業
• 既存のISO 27001認証をクラウドサービスに拡張したい企業

(2) ISMAPのメリットと向いている企業

【メリット】

政府調達への参入

政府機関へのサービス提供を可能にする、最も強力な証明です。

高い信頼性の担保

ISMAPの審査基準は非常に厳格であり、取得すれば高いセキュリティレベルを公的に示すことができます。

【向いている企業】

• 国や自治体といった政府機関を主要な顧客層としたい企業
• 民間企業においても、ISMAPの高いセキュリティ基準をアピールポイントとしたい企業

(3) 選定時に考慮すべきポイント

最終的な判断は、以下のポイントを総合的に考慮して行いましょう。

主要顧客

顧客が民間企業か、それとも政府機関か。

ビジネス目標

国内での事業拡大を目指すのか、国際的な競争力を高めたいのか。

予算とリソース

ISMAPは審査費用や維持管理に多くのリソースを要します。

６．認証取得の流れ

(1)共通点

• ISO27001のマネジメントシステム構築が前提
  両者とも、ISO27001を基盤としたセキュリティ管理体制の構築が必要です。
• 文書作成、リスクアセスメント、内部監査、マネジメントレビューを実施
  セキュリティ方針や手順書の整備、リスク管理、内部監査、経営層によるレビューが求められます。
• 外部審査を受けて登録

認証機関や評価機関による審査を受け、基準を満たしていることを証明します。

(2)相違点

ISO27017

ISO認証機関の審査を受け、国際的に通用する認証を取得します。クラウド特有のリスク（例：共有責任モデル、仮想化技術、データ隔離など）に対応する管理策を追加で実施します。

ISMAP

政府が指定する評価機関で詳細審査を受け、ISMAPクラウドサービスリストに登録します。日本の法制度や政府独自の要件（例：個人情報保護法、サイバーセキュリティ基本法）を反映した基準に対応します。政府調達におけるクラウドサービス選定の必須要件となります。

(3)共通の流れ

①体制構築

専門の担当者を任命し、プロジェクトチームを立ち上げます。

②現状分析・ギャップ分析

既存のセキュリティ対策が基準にどれだけ満たないかを洗い出します。

③文書化

セキュリティ方針、手順書、リスク管理台帳などを整備します。

④内部監査・マネジメントレビュー

自社の体制が基準を満たしているか確認し、経営層がレビューを行います。

⑤外部審査

ISO27017

認証機関に審査を依頼し、認証を取得します。

ISMAP

登録評価機関に審査を依頼し、合格後にISMAP運営委員会に登録を申請します。

７．まとめ

ISO27017とISMAPは、いずれもISO27001を基盤にしたクラウド時代のセキュリティ規格ですが、対象・適用範囲・コスト・審査制度が大きく異なります。

• 海外や民間取引を意識するなら「ISO27017」
• 官公庁や公共案件を狙うなら「ISMAP」

自社の戦略に合わせて正しく選択することが、規格改訂やクラウドセキュリティ対策を実効性あるものにします。

今後のISO27001改訂においてもクラウドリスクへの対応は強化される見込みです。今回の比較をきっかけに、自社のセキュリティ体制を一歩前進させる取り組みを始めてみてはいかがでしょうか。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する