ISO/IEC27017(ISMSクラウドセキュリティ認証)
ISO/IEC 27017「ISMSクラウドセキュリティ認証」とは?
ISO27017は、一般的に“クラウドセキュリティ”などと呼ばれています。ISO27001は、どの業種・業態にも適用可能な情報セキュリティに関するマネジメントシステムですが、ISO27017は、クラウドサービスを前提にした管理策を実装するための規格であり、クラウドサービスを活用したカスタマ、プロバイダを対象とした管理策です。
認証取得する際は、IS027001の管理策にISO27017の管理策を付加し、クラウドサービスを含む情報セキュリティマネジメントシステムとして登録されます。マネジメントシステムの導入によって、方針、目標を設定し、PDCAサイクル(Plan-Do-Check-Act)を貴社の業務プロセスに組み込み、計画・立案⇒実施・運用⇒確認・評価⇒改善という継続的な改善サイクルを構築、運用することで、目標の達成を目指すことができます。
このPDCAサイクルをもとにクラウドサービスを含めた情報セキュリティを実現することを目的としています。
ISMSへのクラウドセキュリティの追加

クラウド情報セキュリティ認証
ISMS(ISO/JIS Q 27001)認証に加えて、クラウドサービス向けの国際規格としてISO/IEC 27017が規定、この規格に基づき、ISMS-AC(情報マネジメントシステム認定センター)からクラウドセキュリティ認証が制定されました。クラウドサービスを安心して利用できることを目的としています。
クラウド情報セキュリティリスクアセスメント
経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン改訂2013年度版」(2014.03.14)の「附属書A(参考)クラウドサービス利用にかかわるリスク」の図5で示された、クラウドサービス利用にかかわるリスク

ISO27017の導入メリット
クラウドセキュリティを導入すると、どのようなメリットが考えられるでしょうか。規格では次のメリットを得ることを期待しています。
a)信頼される第三者(認証機関)からJIS Q 27017(ISO/IEC 27017)の規格に基づいてクラウドセキュリティを構築・運用していることを外部に表明できる。
b)継続的な認証審査により、情報セキュリティの強化と維持を図ることができ、マネジメントシステムが形骸化しない。
c)認証が調達条件である引き合いに入札できる。
※ISMSクラウドセキュリティ認証制度を通じて、クラウドセキュリティの信頼性の向上につながる。
取得のメリット
顧客(売上)
- 信頼される第三者(認証機関)からJISQ27017(ISO/IEC27017)の規格に基づいてクラウドセキュリティを構築・運用していることを外部に表明。対照的な信頼性を獲得
- 入札や海外企業を含む取引要件の達成(認証取得が要件の場合が多く存在)
内部
- クラウドセキュリティの信頼性の向上。情報システムの重大な故障や災害発生時の事業活動の中断に備え、自社の事業継続性を確保する体制を整備
- 目的の設定、セキュリティ対策への責任と権限を明確化することで、社員一人ひとりの責任感が醸成。人材育成にも活用
- 継続的な認証審査により、情報セキュリティの強化と維持を図ることができ、マネジメントシステムが形骸化しない
ISO/IEC27017:2015の構成
JISQ27017(ISO/IEC27017)「ISMSクラウドセキュリティ認証に関する要求事項」は下記の通り。
- 序文
- 適用範囲
- 引用規格
- 定義及び略語
- クラウド分野固有の概念
- 情報セキュリティのための方針群
- 情報セキュリティのための組織
- 人的資源のセキュリティ
- 資産の管理
- アクセス制御
- 暗号
- 物理的及び環境セキュリティ
- 運用のセキュリティ
- 通信のセキュリティ
- システムの取得・開発及び保守
- 供給者関係
- 情報セキュリティインシデント管理
- 事業継続マネジメントにおける情報セキュリティの側面
- 順守
付属書A
クラウドサービス拡張の管理策集
付属書B
クラウドコンピューティングの情報セキュリティリスクに関する参照文献
参考文献
ISMSクラウドセキュリティ認証取得へのスケジュールイメージ
ISMSはこちら

Q&A
Q.
クラウドセキュリティのパフォーマンスとはなんですか?
A.
クラウドセキュリティのパフォーマンスは、ISMSの管理策にクラウドセキュリティの管理策を追加し、実装し、運用、監視を通じて、可視化されます。その過程でリスクの特定、リスク分析、リスク対応を含めたクラウドセキュリティ管理策を満たすための一連の継続的な活動によって、クラウドセキュリティ目標の達成を目指すことができます。
Q.
ISO27017単独で、認証取得できますか
A.
この規格では、ISMSの管理策の上乗せ基準として、クラウドセキュリティ管理策を取り扱っており、あくまでベースはISMSです。したがって、ISO27017単独認証はできません。