2025年12月17日
目次
Close
- 1.ISO27017とは?
- (1)規格の目的とクラウドセキュリティで求められる背景
- (2)ISO27017とISO27018の違い
- 2.ISO27001(ISMS)とISO27017の関係
- (1)ISO27001が“土台”になる理由
- (2)ISO27017単独で認証できない理由
- (3)ISO27017が補強するセキュリティ領域
- 3.ISO27017の適用対象と想定利用シーン
- (1)クラウドサービス提供者(プロバイダ)
- (2)クラウドサービス利用者(カスタマ)
- (3)IaaS/PaaS/SaaSごとの適用イメージ
- 4.ISO27017の要求事項とは?(全体像)
- (1)ベースとなるISO27001附属書Aの管理策
- (2)ISO27017で追加されるクラウド特有の管理策
- (3)ISO27017への対応の意味
- 5.ISO27017固有の管理策(クラウド特有のリスク対応)
- (1)追加された管理策の一覧
- (2)ISO27001既存管理策へのガイダンス(実施の手引き)
- (3)設備投資が必要になるケースの有無
- 6.クラウドサービス提供者向けの要求事項
- (1)役割・責任分界の明確化
- (2)顧客データの取り扱いルール
- (3)ログ・可視化・監査への対応
- 7.クラウドサービス利用者向けの要求事項
- (1)契約・SLAで必ず確認すべき項目
- (2)可視化・監査権限の確保
- (3)安全な利用体制を整えるポイント
- 8.【ケース別】ISO27017審査に向けた対応ポイント
- (1)ISO27001を未認証の場合
- (2)ISO27001をすでに認証済みの場合
- 9.ISO27017で“よくある不適合・指摘ポイント”
- 10.ISO27017要求事項チェックリスト(初心者向け)
- (1)共通で確認すべきポイント
- (2)提供者向けチェック項目
- (3)利用者向けチェック項目
- 11.ISO27017認証取得までの流れ
- 12.ISO27017のよくある質問(FAQ)
- (1)Q1. 規格文書はどこで入手できる?
- (2)Q2. ISO27017の適用範囲は?
- (3)Q3. 設備投資は必要?
- 13.まとめ
「ISO27017ってどんな規格?ISO27001との違いや関係性がよくわからない」
このような疑問をお持ちではないでしょうか。
クラウドサービスの利用が急速に広がるなか、従来のオンプレミス環境では想定しづらかったリスクが顕在化し、クラウド特有のセキュリティ対策を求める声が高まっています。そこで注目されるのが、クラウドに特化した国際規格ISO27017です。
しかし、ISO27017は単独で認証できる規格ではなく、ISO27001(ISMS)を土台として追加管理策を適用する仕組みであるため、正しい理解が不可欠です。提供者と利用者の双方に責任が求められる「共有責任モデル」や、SLAへのセキュリティ反映、ログ管理、テナント分離など、審査で必ず確認されるポイントも数多く存在します。
この記事では、ISO27017の基本知識から、クラウド特有の管理策、提供者・利用者それぞれの対応事項、審査に向けた準備、よくある不適合事例、初心者向けチェックリスト、認証取得までの流れ、FAQまで体系的に解説します。
最後までお読みいただくことで、ISO27017の全体像を理解し、クラウド環境におけるセキュリティ体制を強化するための具体的なステップを自社に適用できるようになります。クラウド時代の情報セキュリティを確立し、ビジネスの信頼性を高める第一歩を踏み出してください。
1.ISO27017とは?
ISO/IEC 27017:2015 は、クラウドサービスに特化した情報セキュリティ管理策を示す国際規格であり、「実施の手引き(Code of Practice)」および「ガイドライン」を提供します。
クラウド環境ではオンプレミスと異なり、インフラやシステムをプロバイダと共有する共有責任モデル(Shared Responsibility Model)に基づいて運用されます。このモデルの複雑さや責任分界の曖昧さが、ISO27017が必要とされる最大の背景です。
(1)規格の目的とクラウドセキュリティで求められる背景
クラウド移行に伴い、従来のオンプレミスでは想定しづらかった課題が発生しています。
- 責任分界の曖昧さ(提供者と利用者の境界が不明確)
- データの場所や経路のブラックボックス化
- 設定ミスによる情報漏洩(例:オープンS3バケット)
- 利用者側のログ可視性不足
- マルチテナント環境での情報漏洩リスク
- 管理コンソールへの不正アクセス
ISO27017は、こうしたクラウド特有のリスクに対応するため、提供者・利用者双方の役割と責任を明確化し、安全なクラウド利用環境を整備することを目的としています。
(2)ISO27017とISO27018の違い
| 規格 | 対象範囲 | 目的・特徴 |
| ISO27017 | クラウドサービス全般(個人情報以外も含む) | クラウド特有のリスク(可用性・分離性・管理など)へのセキュリティ管理策(ガイドライン) |
| ISO27018 | パブリッククラウド上のPII(個人識別可能情報) | 個人情報保護に特化(処理の同意、目的外利用禁止、データアクセス制限など) |
- ISO27017 → クラウド全体のセキュリティ強化
- ISO27018 → 個人情報保護(プライバシー)に特化
審査現場でも両者の適用範囲を誤解する企業が多く、最初のつまずきポイントとなりやすいです。
また、GDPRや改正個人情報保護法への対応を強化したい場合は、ISO27018が重要な役割を果たします。
2.ISO27001(ISMS)とISO27017の関係
ISO27017は、ISO27001(ISMS:情報セキュリティマネジメントシステム)を土台として機能する追加規格(アドオン)です。
ISO27001が組織的な情報セキュリティの枠組み(マネジメントシステム:MS)を定義しているのに対し、ISO27017はクラウド特有のリスクに対応するための具体的な管理策(セキュリティ対策のルール)を補強しています。
(1)ISO27001が“土台”になる理由
ISO27001が“土台”になる理由は、情報セキュリティを組織的に管理・運用し、継続的に改善していくための仕組みを要求している点にあります。ISO27001は、PDCAサイクル(計画・実行・評価・改善)を回すための枠組みを規定し、文書化や内部監査といったマネジメントシステムの基本要素を備えています。
一方でISO27017は、このような枠組みを持たず、クラウド特有のリスクに対応するための具体的な管理策のみを定義しています。したがって、ISO27017を正しく適用するためには、その管理策を受け入れる「器」としてISO27001のISMSが必須となるのです。
(2)ISO27017単独で認証できない理由
ISO27017には以下のマネジメントシステム要素が存在しません。
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
そのため認証は、「ISO27001を先に認証 → ISO27017を追加認証」という流れで行われます。
(3)ISO27017が補強するセキュリティ領域
| 補強領域 | 内容 |
| インシデント責任分界 | 提供者と利用者の役割分担を明確化(SLAなど) |
| 仮想化・マルチテナント環境 | 仮想マシンの分離、テナント間のデータ分離、ハイパーバイザのリスク対応 |
| クラウド設定ミス低減 | 誤設定による情報漏洩防止 |
| データライフサイクル管理 | 保存場所、移転、契約終了時の安全な消去、バックアップ責任所在 |
| 管理コンソールのセキュリティ | 特権アクセス管理、不正アクセス監視 |
| ネットワークセキュリティ | 仮想ネットワークのセキュリティ設定・監視 |
| ログの可視化・相互提供 | 利用者と提供者双方でのログ管理・共有 |
ISO27001が「基盤」となる一方で、ISO27017はクラウド特有のリスクを補強する「追加パーツ」として機能します。
3.ISO27017の適用対象と想定利用シーン
ISO27017の最大の特徴は、クラウドサービス提供者(プロバイダ)とクラウドサービス利用者(カスタマ)の双方に対して管理策を要求している点です。
(1)クラウドサービス提供者(プロバイダ)
AWS、GCP、Azureのようなメガクラウド事業者だけでなく、国内のIaaS/PaaS提供者やSaaS事業者も対象となります。
提供者に求められる対応は以下の通りです。
- 顧客データの取り扱いルールの明確化
- API・設定・ログなどの透明性確保
- 役割分界の文書化(責任マトリックス)
- SLAにおけるセキュリティコミットの明記
目的は、自社サービスのセキュリティ体制を客観的に証明し、顧客への信頼性を高めることにあります。
(2)クラウドサービス利用者(カスタマ)
他社クラウドサービスを利用するすべての企業が対象です。
利用者側にも以下の義務があります。
- 設定ミス防止(例:アクセス権限の過剰付与)
- 不必要なデータの蓄積防止
- リスク評価の実施
- アクセスログのレビュー
- SLAでの確認事項チェック
目的は、自社のセキュリティ体制を確立し、クラウド利用に伴うリスクを適切に管理することです。
(3)IaaS/PaaS/SaaSごとの適用イメージ
クラウドのサービスモデルによって、提供者と利用者の責任分界は異なります。ISO27017は、この違いを理解した上で管理策を適用することを求めています。
| モデル | 提供者の責任 | 利用者の責任 | 代表例 |
| IaaS | 仮想基盤・ネットワーク(物理層) | OS・ミドルウェア・アプリケーション・データ・アクセス管理 | ・AWS EC2 ・GCP Compute Engine |
| PaaS | IaaS範囲+OS・ミドルウェア(DBなど) | アプリケーション・データ・アクセス管理 | ・AWS Lambda ・Heroku ・Google App Engine |
| SaaS | アプリケーション層まで含めほぼ全て | アカウント管理(ID/Pass)、アクセス制御設定、データ入力・管理 | ・Salesforce ・Google Workspace ・Slack |
4.ISO27017の要求事項とは?(全体像)
ISO27017に独自のマネジメントシステム(MS)要求事項は存在せず、要求事項とされるものはすべて「管理策」です。多くの企業が「ISO27017にもISO27001のようなMS要求事項がある」と誤解しがちですが、実際にはクラウド特有のセキュリティ対策を追加する規格です。
(1)ベースとなるISO27001附属書Aの管理策
ISO27017は、ISO27001の附属書A(2022年版では93項目)の管理策を土台としています。これらの管理策をクラウド環境に適用する際に、具体的にどう解釈・実施すべきかを示す「ガイダンス(実施の手引き)」を提供します。
(2)ISO27017で追加されるクラウド特有の管理策
ISO27017は、ISO27001には存在しないクラウド環境特化の7つの追加管理策を定義しています。特に審査で注目されるのは以下の項目です。
| 管理策番号 | 内容 | 目的 |
| A.9.5.1C | 利用者と提供者の責任分界 | 共有責任モデルにおける役割の明確化 |
| A.12.1.5C | 仮想環境の分離 | マルチテナント環境での情報漏洩防止 |
| A.12.4.5C | ログの相互提供 | 利用者と提供者間での可視性確保 |
| A.13.1.4C | 顧客データの削除 | 契約終了時などにおける安全なデータ消去 |
(3)ISO27017への対応の意味
ISO27017への対応とは、実質的に「ISO27001の管理策 + クラウド用ガイダンスの適用 + 7つの追加管理策の適用」を行うことを指します。
これにより、クラウド環境における責任分界や仮想化リスク、ログの透明性、データ削除といったクラウド特有の課題に対応できる仕組みが整備されます。
5.ISO27017固有の管理策(クラウド特有のリスク対応)
ISO27017の核心部分は、「7つの追加管理策」と「ISO27001既存管理策へのガイダンス」です。これにより、クラウド環境に特有のリスクに対応する仕組みが整備されます。
(1)追加された管理策の一覧
ISO27017では、クラウド環境に特化した7つの管理策が追加されています。
| 管理策番号 | 内容 | 主な責任主体 |
| CLD.6.3.1 / 5.1.1C | 役割・責任の明確化(責任分界点をSLA等で文書化) | 提供者・利用者双方 |
| CLD.8.1.5 / 6.3.1C | 顧客データの安全な消去(契約終了時など) | 提供者 |
| CLD.9.5.1 / 6.3.1C | 仮想環境の分離(マルチテナント環境での干渉防止) | 提供者 |
| CLD.9.5.2 | 仮想マシンのハードニング(不要サービス停止など) | 提供者 |
| CLD.12.1.5 / 12.1.5C | 管理者コンソールの保護(特権ID管理、MFA導入、不正アクセス監視) | 利用者 |
| CLD.12.4.5 / 12.4.5C | ログの相互提供(利用者が必要なログにアクセスできる仕組み) | 提供者 |
| CLD.13.1.4 / 13.1.4C | 仮想ネットワーク及び物理ネットワークのセキュリティ | 提供者 |
(2)ISO27001既存管理策へのガイダンス(実施の手引き)
ISO27017は単なる解説書ではなく、「実装の要求」を示しています。ISO27001の既存管理策に対して、クラウド環境での具体的な適用方法を明確化します。
- 顧客データの消去プロセスを文書化(依頼ベースか定期かを明確化)
- 仮想環境でのテナント分離(VLAN分離等)を証明できること
- ログの相互提供(利用者が必要なログにアクセス可能か)
- 責任分界表(クラウド責任分界マトリックス)の作成
【具体例】ISO27001 / A.9.2.1 利用者登録及び登録削除
オンプレミス
- 入退社時にActive Directoryでアカウントを発行・停止
ISO27017ガイダンス
- 提供者 → 顧客がセルフサービスでユーザー登録・削除できる機能を提供
- 利用者 → 管理コンソールを使い、自社ポリシーに基づき遅滞なく登録・削除を実施
(3)設備投資が必要になるケースの有無
ISO27017自体は特定の設備導入を必須とはしていません。ただし、リスクアセスメントの結果、クラウド特有のリスク低減のために技術的改修が必要となる場合があります。
- 仮想環境の分離が不十分
- ログ提供の仕組みが未整備
- 多要素認証(MFA)が未導入
【その際に導入される代表的なソリューション例】
| ソリューション | 目的 |
| CASB (Cloud Access Security Broker) | 複数クラウド利用状況の可視化・制御、シャドーIT対策 |
| WAF (Web Application Firewall) | SaaS提供者が自サービスのWebアプリを保護 |
| SIEM (Security Information and Event Management) | CloudTrailやAzure Monitorなどのログを収集・分析し、インシデント検知 |
ISO27017対応は、「ISO27001の管理策+クラウド用ガイダンス+7つの追加管理策」を組み合わせて実装することを意味します。
6.クラウドサービス提供者向けの要求事項
クラウドサービス提供者(プロバイダ)は、サービスの信頼性を担保し、利用者が安全に利用できる環境を整備する責任があります。ISO27017では、以下の観点が特に重要視されます。
(1)役割・責任分界の明確化
提供者は、自社がどこまで責任を持ち、利用者が何をすべきかを曖昧さなく定義し、利用規約やSLA(Service Level Agreement)に明記する必要があります。
- 想定利用モデル(IaaS/PaaS/SaaS)ごとの責任分界を定義
- SLAにセキュリティ責任を明記
- 設定ミスの責任所在を明確化
【SLAで定義すべき項目例】
| 項目 | 内容 |
| インフラ稼働率 | 例:99.99%の可用性保証 |
| 障害対応 | 通知方法と目標復旧時間(RTO)の明記 |
| バックアップ | 頻度と保持期間の定義 |
| セキュリティパッチ | 適用ポリシーの明示 |
(2)顧客データの取り扱いルール
提供者は、顧客データの安全性を技術的に保証し、契約終了時の取り扱いまで明確にする必要があります。
- 分離性(CLD.9.5.1):データベースのスキーマ分割、仮想化技術、暗号化(顧客ごとの鍵管理)などにより、顧客間のデータ干渉を防止
- データ消去(CLD.8.1.5):契約終了時に顧客データを確実に消去するプロセスを確立し、必要に応じて消去証明書を発行
- サービス終了時のデータ返却方法を定義
- 多拠点バックアップの扱いを明示
(3)ログ・可視化・監査への対応
利用者は、自らの環境で発生したインシデントを調査する責任があります。提供者は、そのために必要な情報を提供しなければなりません。
- ログ提供(CLD.12.4.5):利用者が自身のアクティビティログ(ログイン履歴、設定変更履歴など)を確認できる機能を提供(例:AWS CloudTrail)
- 監査対応:顧客からの個別監査要求にすべて応えるのは非現実的なため、SOC2レポートやISO27001などの第三者認証を定期的に取得し、その報告書を顧客に開示することで対応
- SLAに監査可否を明記することが必須
このように、クラウドサービス提供者は「責任分界」「顧客データの安全な取り扱い」「ログ・監査対応」の3領域で具体的な管理策を整備することが求められます。
7.クラウドサービス利用者向けの要求事項
クラウドサービス利用者は、プロバイダが安全対策を講じていても、自らの管理が不十分であれば情報漏洩につながるため、「安全に利用する責任」を負います。ISO27017では、契約・SLAの確認、可視化・監査権限の確保、安全な利用体制の構築が重要な要求事項とされています。
(1)契約・SLAで必ず確認すべき項目
| 確認項目 | 内容 |
| 利用者責任範囲 | 設定やアクセス管理など、利用者が担う範囲を明確化 |
| データ保存場所(リージョン) | 国内か国外か、国外の場合は現地法規制(例:米国クラウド法)の影響を確認 |
| データ削除の責任所在 | 解約時にデータがいつ、どのように消去されるか、消去証明が得られるか |
| 監査権限 | プロバイダのセキュリティ体制をどう確認できるか(SOC2レポートやISO認証の提供有無) |
| インシデント通知 | セキュリティインシデント発生時の通知方法と報告時間を明記しているか |
(2)可視化・監査権限の確保
可視化や監査権限の確保において重要なのは、利用者が自らのセキュリティ責任を果たせる環境を整えることです。
まず、ログ取得ができないサービスではISO27017の適用が難しくなるため、利用者が必要な操作ログやアクセスログを確認できる仕組みが提供されているかどうかが大きなポイントになります。
また、利用者による監査は物理的なインフラを直接確認するものではなく、契約やSLAの内容を精査したり、プロバイダが取得している第三者認証(SOCレポートやISO認証)を評価することで実施されます。
さらに、自社の利用状況を継続的に監視するためには、ログレビュー体制を整備することが必須であり、これによって設定ミスや不正アクセスなどのリスクを早期に発見し、適切に対応できるようになります。
(3)安全な利用体制を整えるポイント
利用者側が最低限行うべき管理策は以下の通りです。
①アクセス制御の適切な設定
- IAMの徹底(最小権限の原則)
- MFA(多要素認証)の必須化(特に管理者ID)
- ルート権限の不使用
②ログ管理・レビュー
- 定期的なログレビューを実施
- 設定不備の監視(例:S3バケットの公開設定ミス防止)
③データ保護
- 利用者側でのバックアップ(重要データは自社で確保)
- アクセスキーの安全管理(ハードコーディング禁止、IAMロール利用)
利用者は「提供者任せ」にせず、契約・SLAの確認と自社側でのセキュリティ管理を徹底することが求められます。
8.【ケース別】ISO27017審査に向けた対応ポイント
ISO27017認証(アドオン認証)を目指す際の進め方は、ISMS(ISO27001)の取得状況によって異なります。
(1)ISO27001を未認証の場合
まずはISMS(ISO27001)の構築からスタートします。
①ISMSの確立:ISO27001の4章~10章に基づき、情報セキュリティのPDCAサイクルを構築する。
②適用範囲の明確化:クラウドサービスの提供・利用を前提に範囲を定義する。
③リスク評価:クラウド特有のリスク(仮想環境の分離不備、設定ミスなど)を組み込んで評価する。
④管理策の選定:ISO27001附属書Aに加え、ISO27017の追加管理策(7項目)とガイダンスを適用対象として計画する。
⑤審査:ISO27001の初回審査と同時に、ISO27017のアドオン審査を申請する。
(2)ISO27001をすでに認証済みの場合
既存のISMSにISO27017を組み込む形で対応します。
①リスクアセスメントの見直し:定期的または臨時のリスクアセスメントでクラウド利用に関するリスクを再評価する。
②ISO27017管理策の適用:リスク評価の結果に基づき、追加管理策やガイダンスを導入する。
③審査:ISO27001の維持審査または更新審査のタイミングで、ISO27017のアドオン審査を申請する。
【追加で必要となる文書・記録整理】
| 文書・記録 | 内容 |
| 責任分界マトリックス | 提供者と利用者の責任範囲を明確化 |
| クラウドログの取得・保存 | 利用者が必要な証跡を確認できるようにする |
| データ削除手続きの記録 | 契約終了時のデータ消去プロセスを文書化 |
| SLA・契約書 | セキュリティ責任や監査権限を明記 |
| リスク評価シート | クラウド特有のリスクを特定・評価 |
| クラウド利用規程 | プロバイダ選定基準やSaaS利用ルールを文書化 |
| 証跡(ログ・設定記録) | IAM権限設定、MFA設定、ログ監視の証拠 |
| 適用宣言書(SOAの見直し) | ISO27017の追加管理策を含め、採用・非採用理由を明記 |
ISO27017対応では、「ISO27001のISMSを基盤に、クラウド特有のリスクを反映させた管理策と文書整備を追加する」ことが審査の中心となります。
9.ISO27017で“よくある不適合・指摘ポイント”
ISO27017の審査や実運用において、不適合や指摘を受けやすいポイントは、提供者・利用者ともに「責任の境界線」に集中します。特に審査では「責任分界表を見せてください」という要求が必ず出るため、責任分担の明確化が最重要課題となります。
【主な不適合・指摘ポイント】
| 項目 | 提供者側の典型的な不備 | 利用者側の典型的な不備 |
| 共有責任モデルの誤解 | 利用者が行うべき設定(例:パスワードポリシー強制)を提供者責任と誤解しSLAに含めてしまう | 「AWSがISO27017を取っているから大丈夫」と誤解し、IAM・MFA・ネットワーク設定・暗号化を怠る |
| SLAの不備 | 責任範囲が曖昧。「障害時は速やかに通知」と記載するが、速やかの定義(例:1時間以内)がない | SLA内容を精査せず、自社のセキュリティ要件(RPO/RTO)と乖離していることに気づかない |
| ログ管理の不十分さ | 利用者が必要とするインシデント調査用ログを提供できない、保持期間が短すぎる | ログを取得しているだけで監視・分析を行わず、インシデントの予兆を見逃す |
| テナント分離の説明不能 | マルチテナント環境での分離方法(仮想環境の分離)を技術的に説明できない | 分離性の確認を行わず、提供者任せにしてしまう |
| データ削除ルールの曖昧さ | 契約終了時のデータ消去プロセスが不明確、証明書発行体制がない | 解約時にデータがどう扱われるか確認せず、消去証明を要求しない |
| 役割分担の欠如 | CLD.6.3.1(責任の合意)の文書化が不十分 | 事業部門と情シス部門の間でIAM権限管理やコスト管理の責任分担が曖昧 |
これらの不適合は、「責任分界の文書化」「SLAの具体性」「ログ・データ管理の透明性」が不足していることに起因します。提供者・利用者双方が責任範囲を誤解せず、明確に定義・実装することがISO27017審査対応の鍵となります。
10.ISO27017要求事項チェックリスト(初心者向け)
ISO27017の要求事項(管理策)にどの程度対応できているかを確認するための最低限のチェックリストです。提供者と利用者では確認すべき項目が異なりますが、共通して押さえるべきポイントも存在します。
(1)共通で確認すべきポイント
| チェック項目 | 内容 |
| ISMSの確立 | ISO27001に基づくISMSが構築・運用されているか |
| リスクアセスメント | クラウド利用・提供に関するリスクを特定しているか |
| 適用宣言書(SOA) | ISO27017の追加管理策(CLD.XXX)が反映されているか |
| 責任分界の文書化 | 提供者・利用者の責任範囲が明確に定義されているか |
| データ削除手順 | 顧客データの消去方法が明確に定義されているか |
| ログアクセス | 利用者が必要なログにアクセスできる仕組みがあるか |
| SLAのセキュリティ反映 | SLAにセキュリティ要件が盛り込まれているか |
| テナント分離 | マルチテナント環境で分離性を説明できるか |
(2)提供者向けチェック項目
| チェック項目 | 内容 |
| SLAで責任分界を明記 | 利用者との責任分界点を契約やSLAに文書化しているか (CLD.6.3.1) |
| テナント分離の技術的措置 | 顧客間のデータや仮想環境を分離する仕組みがあるか (CLD.9.5.1) |
| データ消去手段の提供 | 契約終了時に顧客データを安全に消去できる機能を提供しているか (CLD.8.1.5) |
| ログ提供 | 利用者が自らの利用状況を監視できるログ機能を提供しているか (CLD.12.4.5) |
| 第三者監査報告 | SOC2レポートやISO認証などを準備・開示できるか |
(3)利用者向けチェック項目
| チェック項目 | 内容 |
| SLA・利用規約の理解 | 契約内容を精査し、自社要件と照合しているか |
| プロバイダのセキュリティ確認 | ISO認証やSOCレポートを確認しているか |
| IAMポリシー | 最小権限の原則に基づいて設定しているか |
| MFAの必須化 | 管理者アカウント(特権ID)にMFAを導入しているか (CLD.12.1.5) |
| ログ監視体制 | 操作ログやイベントログを監視する仕組みを整備しているか |
このチェックリストを活用することで、提供者・利用者双方がISO27017の要求事項に沿った体制を整備できるかを確認できます。
11.ISO27017認証取得までの流れ
ISO27017認証は、ISO27001(ISMS)のPDCAサイクルを基盤に、クラウド特有の要素を組み込む形で進められます。特に「管理策整備」「文書化」「運用」はクラウド特有の論点が多く、審査員から細かく確認されるポイントです。
【認証取得のプロセス】
| ステップ | PDCA対応 | 内容 |
| 適用範囲の決定 | Plan | ISMSの適用範囲(組織・拠点)に加え、クラウドサービス(提供または利用)の範囲を特定する(例:自社SaaSサービス、利用中のAWS環境)。 |
| リスク評価 | Plan | クラウド特有のリスク(共有責任モデルの誤解、設定不備、仮想化リスクなど)を洗い出し、分析・評価する。 |
| 管理策の整備 | Do | ISO27001附属書A+ISO27017の追加管理策(7項目)を導入。SLAの見直し、IAM設計、監視体制構築などを実施。 |
| 文書化・運用 | Do | 適用宣言書(SOA)を改訂し、決定した管理策に基づいてクラウド環境を運用・継続する。 |
| 内部監査 | Check | ISMS内部監査と併せて、ISO27017管理策が計画通りに実施されているかを確認。 |
| マネジメントレビュー | Check | 内部監査結果や運用実績をトップマネジメントがレビューし、改善指示を出す。 |
| 認証審査 | Act | 認証機関によるISO27001(維持・更新)審査+ISO27017(アドオン)審査を受審する。 |
この流れを踏むことで、ISO27001の枠組みにクラウド特有の管理策を組み込み、ISO27017認証取得へと進めることができます。
12.ISO27017のよくある質問(FAQ)
(1)Q1. 規格文書はどこで入手できる?
ISO27017(JIS Q 27017)の規格文書は、日本規格協会(JSA)や日本情報経済社会推進協会(JIPDEC)のオンラインショップ、またはISO公式ストアで購入可能です。
(2)Q2. ISO27017の適用範囲は?
ISO27017はクラウド事業者・利用者双方が対象です。適用範囲は「自社が管理責任を負える範囲」で設定するのが原則です。
| 立場 | 適用範囲の例 | 注意点 |
| 提供者 | 自社SaaSサービスの開発・運用・保守 | 提供するクラウドサービス全体が対象 |
| 利用者 | 全社でのMicrosoft 365利用、特定部門でのAWSアカウント利用 | AWSやGCPの基盤そのもの(プロバイダ責任範囲)は含められない |
(3)Q3. 設備投資は必要?
原則として必須ではありません。ただし、リスク評価の結果によっては技術的な対策が合理的に必要となる場合があります。
| ケース | 必要となる設備・ソリューション例 |
| ログ監視体制が不十分 | SIEM(ログ収集・分析によるインシデント検知) |
| SaaS利用の統制不足 | CASB(クラウド利用状況の可視化・制御、シャドーIT対策) |
| Webアプリの防御が不十分 | WAF(Webアプリケーションファイアウォール) |
| 認証強化が未整備 | MFA導入(多要素認証による特権ID保護) |
このように、ISO27017対応では「原則は既存体制で対応可能だが、リスク評価次第で追加投資が必要になる」点がポイントです。
13.まとめ
本記事では、ISO27017の要求事項と管理策をテーマに解説しました。要点をまとめておきましょう。
まず、ISO27017の目的について、クラウド特有のリスクに対応するための国際規格であることを説明し、ISO27018との違いを整理しました。次に、ISO27001との関係を示し、ISO27017は単独で認証できず、ISMSを土台として追加管理策を適用する仕組みであることを解説しました。
適用対象については、クラウドサービス提供者と利用者の双方が対象であることを示し、IaaS/PaaS/SaaSごとの責任分界の違いを整理しました。要求事項の全体像では、ISO27017に独自のマネジメントシステム要求事項はなく、ISO27001附属書Aをベースにクラウド特有の7つの管理策が追加されることを解説しました。
固有の管理策としては、責任分界、仮想環境の分離、ログ提供、データ削除などを取り上げ、既存管理策へのガイダンスや設備投資が必要となるケースについても触れました。さらに、提供者向けにはSLAでの責任分界やログ提供、利用者向けには契約・SLAの確認、監査権限の確保、アクセス制御やログレビューなど、安全な利用体制の整備が求められることを整理しました。
審査対応のポイントでは、ISO27001未認証の場合はISMS構築から始めること、認証済みの場合はリスクアセスメントやSOAの見直しが必要であることを示しました。不適合事例としては、共有責任モデルの誤解、SLAの不備、ログ管理の不十分さ、役割分担の曖昧さが多いことを解説しました。
初心者向けチェックリストでは、責任分界の文書化、データ削除手順、ログアクセス、SLAのセキュリティ反映など最低限確認すべき項目を整理しました。認証取得までの流れでは、適用範囲の決定からリスク評価、管理策整備、文書化・運用、内部監査、審査までのステップを示しました。
最後にFAQとして、規格文書の入手方法、適用範囲の考え方、設備投資の必要性について解説しました。本記事を参考に、ISO27017の全体像と実務上の対応ポイントを理解し、クラウド環境におけるセキュリティ体制の強化に役立てていただければ幸いです。
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・一目でわかる『費用』
- ・一目でわかる『取得スケジュール』
- ・一目でわかる『サポート内容』
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.