１．ISO27017とは

ISO27017とは、情報セキュリティ管理システム（ISMS）の国際標準であるISO27001に基づいて、クラウドサービスに特化した情報セキュリティのガイドラインを提供するものです。

クラウドサービスの提供者と利用者の両方に対して、情報セキュリティリスクを管理するための具体的な措置を示しています。

ISO27017を取得することで対外的信頼が得られ、入札参加の条件を満たすことができる、大手取引でのセキュリティチェックシートの一部を免除できる、資金調達の際の説得材料のひとつになる、 などのメリットがあります。

２．ISO27001（ISMS）とISO27017との関連性

ISO27017は、ISO27001の基本的なフレームワークに基づいています。

ISO27001は、情報セキュリティリスクを管理するための全般的なフレームワークを提供する一方、ISO27017は、クラウドサービスに特化した情報セキュリティリスクを管理するための具体的なガイドラインを提供します。

ISO27017は、ISO27001と密接に関連しており、ISO27001は、情報セキュリティマネジメントシステム（ISMS）の要求事項を定めたもので、ISO27017はその中のクラウドサービスに特化した規格と言えます。

また、ISO27017はアドオン認証と呼ばれるものになっており、「ISO27001（ISMS）とISO27017を同時取得」
もしくは、「ISO27001（ISMS）をすでに持っている企業がISO27017を追加で取得」の2パターンの取得方法しかありません。

３．ISO27017認証の対象業者

ISO27017の認証対象は、クラウドサービスを提供する企業や、そのサービスを利用する企業です。
クラウドサービスの提供者と利用者が共に情報セキュリティを確保することが求められます。

例えば、人事労務システム、決済管理システム、大容量データをクラウドで管理しているシステムなどを提供・利用している企業が認証対象に当てはまります。

４．ISO27017の要求事項の入手方法

ISO27017の要求事項は、ISOの公式ウェブサイトから購入することができます。（「ISO27017　規格本文」と検索すると出てきます。）

また、ISO27017の要求事項を理解するためのガイドブックやセミナーも提供されています。
これらを活用することで、ISO27017の要求事項に対する理解を深め、適切な対応策を立てることが可能です。

また、ISO27017の要求事項は、情報セキュリティ管理システム（ISMS）の国際標準であるISO27001に基づいています。したがって、ISO27001の基本的なフレームワークを理解していることが、ISO27017の要求事項を理解する上で非常に重要です。

ISO27017の認証を取得するためには、ISO27001の基本的なフレームワークに基づいた情報セキュリティ管理システムを設計・実装・運用する必要があります。
その上で、ISO27017の要求事項に対応するための具体的な措置を講じる必要があります。

５．審査に向けて対応が必要な要求事項

ISO27017の認証を取得するためには、審査を受けなければなりません。

審査に向けては、対応が必要な要求事項があります。これらの要求事項は、情報セキュリティ管理システム（ISMS）の国際標準であるISO27001と、クラウドサービスに特化した情報セキュリティのガイドラインであるISO27017に基づいています。

⑴ISO27001を認証していない場合

まず、ISO27001の基本的なフレームワークに基づいた情報セキュリティ管理システムを設計・実装・運用する必要があります。

これには、情報セキュリティリスクを管理するための全般的なフレームワークを提供することが含まれます。

その上で、ISO27017の要求事項に対応するための具体的な措置を講じる必要があります。

これには、クラウドサービスに特化した情報セキュリティリスクを管理するための具体的なガイドラインを提供することが含まれます。

⑵ISO27001をすでに認証している場合

既存の情報セキュリティ管理システムに対して、ISO27017の要求事項に対応するための具体的な措置を追加する必要があります。

これには、クラウドサービスに特化した情報セキュリティリスクを管理するための具体的なガイドラインを提供することが含まれます。

以上のように、ISO27017の認証を取得するためには、ISO27001の基本的なフレームワークとISO27017の要求事項に対応するための具体的な措置を講じることが必要です。

これにより、クラウドサービスの提供者と利用者が情報セキュリティリスクを共有し、それぞれが責任を果たすことで、情報セキュリティを確保することを目指します。

６．ISO27017認証に必須の管理策

ISO27017認証を取得するためには、具体的な管理策が必要です。

管理策とは、情報セキュリティリスクを適切に管理し、クラウドサービスの安全性を確保するためのものです。

⑴管理策一覧

ISO27017の要求事項に対応するための管理策を一覧化することが重要です。
ISO27017特有の管理策としては、次のようなものが挙げられます。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化
CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合

これには、情報セキュリティポリシーの策定、リスク評価とリスク処理のプロセス、人的資源のセキュリティ、物理的および環境的セキュリティ、運用のセキュリティ、通信のセキュリティ、システム取得、開発および保守のセキュリティ、サプライヤー関係のセキュリティ、情報セキュリティ事故対応、情報セキュリティの継続的改善などが含まれます。

⑵各管理策の概要

各管理策の目的とその達成方法を明確にすることが求められます。

例えば、情報セキュリティポリシーの策定では、組織の情報セキュリティに関する方針を明文化し、全従業員に周知することが目的です。

これを達成するためには、情報セキュリティポリシーを作成し、定期的に見直し、必要に応じて更新することが求められます。

また、リスク評価とリスク処理のプロセスでは、情報セキュリティリスクを適切に管理するためのフレームワークを設定することが目的です。

これを達成するためには、リスク評価とリスク処理のプロセスを定義し、リスク評価を定期的に実施し、評価結果に基づいてリスク処理を行うことが求められます。

これらの管理策は、ISO27017の要求事項に対応するための具体的な手段であり、これらを適切に実施することで、クラウドサービスの情報セキュリティを確保することができます。

⑶設備投資必須の管理策はあるのか

設備投資必須の管理策は基本的にはありません。

しかし、管理策には情報セキュリティポリシーの策定、リスク評価とリスク処理、人的資源のセキュリティ、物理的環境のセキュリティなどがあり、従業員規模が大きな会社に関しては設備投資が必要な場合もあります。

７．ISO27017認証取得までの流れ

ISO27017を認証取得するために、いくつかの工程を踏まなければなりません。
大きく7つのステップがあります。

①体制を決める
②審査機関を決める
③ISMS、ISO27017の要求に従って運用ルールを構築する
④資産管理、リスクアセスメントを行う
⑤内部監査を行う
⑥マネジメントレビューを行う
⑦審査を受ける

ISO27017認証取得までの流れの詳細については、下記記事にて詳しく解説しています。

まとめ

ISO27017は、クラウドサービスに特化した情報セキュリティのガイドラインを提供するもので、クラウドサービスの提供者と利用者が情報セキュリティリスクを共有し、それぞれが責任を果たすことで、情報セキュリティを確保することを目指しています。

情報セキュリティは、クラウドサービスを提供する企業にとって、避けては通れない課題です。ISO27017を理解し、適切に対応することで、その課題を乗り越えていきましょう。