ISO/IEC 27017
(クラウドセキュリティ)

近年、企業における情報セキュリティに対する意識は高まっているものの、内部のみならず外部からの脅威も増大しており、セキュリティ事故が日常的に発生しています。特に個人情報の漏洩を伴うセキュリティ事故は、顧客・取引先だけでなくあらゆるステークホルダーに影響を与える重大な経営リスクです。
さらにここ数年、クラウドコンピューティングの市場拡大に伴いセキュリティマネジメントが複雑化していることは、企業が経営レベルを含む全社でリスク評価に取り組む必要があることを意味します。

 ◇ISO/IEC 27017とは
 ◇ビューローベリタスが選ばれる理由
 ◇認証取得にかかる費用
 ◇資料ダウンロード
 ◇よくある質問
 ◇事例紹介

ISO/IEC 27017とは

ISO/IEC 27017は、クラウドコンピューティングのセキュリティとプライバシー保護に特化した国際規格で、国内では2016年にISMS-ACによる認証制度が開始されました。
ISO/IEC 27017は、ISO/IEC 27001のアドオン規格として位置づけられており、ISO/IEC 27001で定められた情報セキュリティ管理体系をベースに、クラウドコンピューティング環境特有のセキュリティ要件を追加した規格です。

ISO27017とは、土台にISO27001があり、そのうえでISO27017のクラウドセキュリティ要求部門がある。


対象となるステークホルダー

本規格は、以下の両者を対象としています:

■ クラウドサービスを提供する側

  • クラウドサービスプロバイダー(CSP)が実装すべきセキュリティ管理策を定義
  • クラウド環境における情報資産の保護とリスク管理の実装を要求

■ クラウドサービスを利用する側

  • クラウドサービスの利用企業(顧客)が実施すべき管理策を規定
  • クラウドサービス利用時のセキュリティに対する不安を軽減
  • プロバイダーとの責任分界点を明確化

目的

ISO/IEC 27017 はクラウドサービスの提供および利用に関する情報セキュリティ管理策のためのガイドラインで、目的はクラウドシステムを「利用」する側のセキュリティに対する不安を抑えることです。
 

ISO/IEC 27017取得のメリット

  • クラウドサービスプロバイダ(サービスを提供する事業者)にとっては自社のサービスの安全性ピールすることができ、サービスを利用する顧客にとってはセキュリティに配慮した適切なサービス事業者を選定する際の基準となります。
  • クラウドサービスプロバイダ(サービスを提供する事業者)、クラウドサービスカスタマ(サービスを利用する事業者)のいずれにとっても、クラウド環境におけるセキュリティ管理策を構築・運用することで情報漏洩やデータ消失などのリスクに適切に対処することができます。

ISO/IEC 27017の認証取得パターン

ISO/IEC 27017はさまざまな組織へ適用可能で、以下の3つの認証区分があります。

ISO27017は、クラウドサービスカスタマ、クラウドサービスプロバイダおよびクラウドサービスカスタマ、クラウドサービスプロバイダの3つの認証区分がある

 

ISO/IEC 27017の認証範囲

ISO/IEC 27017認証は、ISO/IEC 27001認証取得済み組織のうち、クラウド関係部門が対象です。
ISO/IEC 27001へのアドオンなので、単独認証はできません。

ISO27017の認証範囲の説明画像

 

 ISO/IEC 27017の基本フレームワーク

基本フレームワークの説明画像


ISO/IEC 27017は、ISO/IEC 27001の要求事項をベースとしながら、クラウド環境特有のセキュリティ課題に対応するため、以下のような点が強化されています。

  • クラウド固有のリスク対応
    ISO/IEC 27001の基本的な情報セキュリティ管理体系に加えて、ISO/IEC 27017では、マルチテナント環境、データの地理的分散、クラウドプロバイダーへの依存性など、クラウド環境特有のリスク要因に対する管理策を追加しています。
  • 責任分界点の明確化
    クラウドサービスを提供する側と利用する側の責任を明確に区分し、それぞれが実施すべきセキュリティ管理策を詳細に規定しています。これにより、両者間の曖昧性を排除し、セキュリティ体制の実効性を向上させています。
  • データ主権とコンプライアンス対応
    データの保管場所、アクセス権限、データの削除・返却に関する要件を強化し、各国の法規制やコンプライアンス要件への対応を明確化しています。
  • インシデント対応とバックアップ戦略
    クラウド環境におけるインシデント対応、事業継続性、ディザスタリカバリーに関する要件をISO/IEC 27001よりも詳細に規定しています。
  • 透明性と監査可能性の強化
    クラウドプロバイダーの監査権、セキュリティ情報の開示、第三者監査への協力など、透明性と監査可能性に関する要件を強化しています。

ビューローベリタスが選ばれる理由

  • ネットワーク
    140ヶ国1,600の拠点
    ビューローベリタス各国が持つノウハウを共有、お客様が展開する国内外の事業ネットワークをカバー
  • 認証実績
    約150,000社の企業に対する認証実績
  • ワンストップ審査
    各規格の審査の一貫性、最適化、効率化を実現

認証取得にかかる費用

ISO/IEC 27017認証取得にかかる費用は、組織の規模と複雑さによって異なります。
お問い合わせください。

お見積り依頼はこちら

資料ダウンロード

よくある質問

QISO/IEC 27017は単独で認証できますか。
Aいいえ。ISO/IEC 27017は単独での認証取得はできません。
ISO/IEC 27017はISO/IEC 27001のアドオン規格として設計されているため、ISO/IEC 27001をすでに取得済みであるか、ISO/IEC 27001との同時取得が必要です。
QISO/IEC 27017の審査は、ISO/IEC 27001の審査と同時に行う必要がありますか。
Aはい。ISO/IEC 27017はISO/IEC 27001のアドオン認証のため、審査は同時に実施します。すでにISO/IEC 27001を取得済みの組織がISO/IEC 27017を取得する場合は、初回認証審査のみ単独で実施が可能です。ただし、認証書の有効期限はISO/IEC 27001の有効期限と同じになります。
QISO/IEC 27017の適用範囲について教えてください。
AISO/IEC 27017の適用範囲は、ISO/IEC 27001と同一もしくはISO/IEC 27001の適用範囲の一部になります。もしISO/IEC 27017を取得しようとする部門がISO/IEC 27001の適用範囲に含まれない場合、現在のISO/IEC 27001の適用範囲を拡大する必要があります。
QISO/IEC 27017認証取得には、どのくらいの期間がかかりますか。
AISO/IEC 27017認証取得に要する期間は、一般的には以下のような目安があります。
組織の現状によって大きく異なりますので、お問い合わせください。

ISO/IEC 27001未取得の場合:
• 12~18ヶ月程度
ISO/IEC 27001の構築と実装(6~12ヶ月)+ ISO/IEC 27017の追加実装(3~6ヶ月)

ISO/IEC 27001既取得の場合:
• 3~6ヶ月程度
• クラウド環境特有の管理策の追加実装と運用実績の構築
Q自社でクラウドサービスを提供していなくても、ISO/IEC 27017を取得するメリットはありますか。
Aはい、クラウドサービスを利用する側の企業にとっても、ISO/IEC 27017取得には大きなメリットがあります。

主なメリット:
セキュリティ体制の信頼性向上
クラウド環境特有のリスク管理を実装していることを証明
クラウド利用時のリスク低減
利用する側として実施すべき管理策が明確化され、データ漏洩などのリスクを軽減
プロバイダーとの関係強化
責任分界点が明確化され、セキュリティ要件の相互理解が深まる
規制対応の強化
個人情報保護法やGDPRなど、各種規制要件への対応が容易に
市場競争力の向上
取引先のセキュリティ要件に対応でき、ビジネス機会の拡大につながる


事例紹介

事例紹介(一覧)
 

関連サービス

CONTACT

ビューローベリタスジャパン株式会社 システム認証事業本部

苦情・異議申し立て