TOP > ナレッジ > ISO/IEC 27017(ISMSクラウドセキュリティ認証)

ISO/IEC 27017(ISMSクラウドセキュリティ認証)

ISO27001(ISMS)

目次
  1. ISO/IEC 27017 とは
  2. TIPS
  3. 認証取得に向けた対応

ISO/IEC 27017 とは

ISO/IEC 27017 は、 ISMS(ISO/IEC27001)をベースとした、クラウドサービスの提供、利用における情報セキュリティに関する管理策(対応策)を定めた規格です。ISMSの適用範囲において提供、利用されているクラウドサービスを対象(適用範囲)とすることができます。

クラウドサービスの提供側として、「クラウドサービスプロバイダ」向けの管理策、クラウドサービスの利用者側として、「クラウドサービスカスタマ」向けの管理策が各40項目設定されています。

クラウドサービスカスタマデータ:提供するクラウドサービス上で保管するカスタマ(利用ユーザ等)に関するデータ

クラウドサービス派生データ:クラウドサービスカスタマデータに付随する、ログ、設定情報、カスタマの投稿したコンテンツに紐づくメタデータ(投稿日時、投稿者など)など、カスタマが意図して登録していないが、利用者に紐づく情報として取扱いが発生するデータ

認証の対象となる組織

認証の対象として以下の3つのケースがありますが、最近は提供するサービスの基盤をクラウド上に構築しているケースが多いですが、その場合①に該当します。

取得ケース説明
クラウドサービスプロバイダ
  + クラウドサービスカスタマ		他のクラウドサービスを利用して自らのクラウドサービスを提供する組織で、利用及び情報セキュリティを確保するために認証を取得する。

例:AWS(Amazon Web Service)上にシステム構築し、顧客向けにサービスを提供している。
クラウドサービスプロバイダクラウドサービスを提供する組織で、サービス提供に際しての情報セキュリティを確保するために認証を取得する。
クラウドサービスカスタマクラウドサービスを利用する組織で、クラウドサービスの利用に際しての情報セキュリティを確保するために認証を取得する。

TIPS

クラウドサービスプロバイダ

サービスを提供する側として実施すべき情報セキュリティ対策がまとめられています。アクセス制御設定など技術的な内容もありますが、カスタマへのサービスに関する情報提供やサービスレベル等の合意を予め取得すること等の項目も多数みられます。

クラウドサービスプロバイダと一口に言っても、上図の通り、IaaSからSaaSまで幅広くプロバイダ側で管理する内容も大きく異なります。

ISO/IEC 27017では「SaaS向け」のようなクラウドサービスの形態ごとに特化した管理策設定をしていません。

そのため、設定や管理事項の多いIaaSでは対象となる管理策も多いですが、SaaSのようにカスタマの自由度が少ない場合には、機能や設定としてカスタマ側に提供していない場合が多く、結果として「非採用」とする管理策が発生します。

それを理解せずに対応を進めると、何をして良いのか分からず、検討に時間がかかってしまいますので注意が必要です。

また、一つの管理策で複数の側面で要求事項が存在する項目もある点も注意が必要です。

カスタマへの通知が求められているのか、合意が求められているのか、機能を提供することが求められているのかなど、対応事項が異なるため、管理策を読み込み、適切に理解する必要があります。

クラウドサービスカスタマ

サービスを利用する側として実施すべき情報セキュリティ対策がまとめられています。

管理策としては、利用するクラウドサービス選定時の基準やサービス提供時に必要な機能、スペックを有しているかを確認することなどの他、利用するクラウドサービスが、セキュリティや機能の情報を提供しており、確認できるか、などクラウドサービス側に確認する項目が多数みられます。

クラウドサービスカスタマは、ISMS適用範囲におけるクラウドサービスの利用すべてが対象となりますが、クラウドサービスプロバイダとクラウドサービスカスタマの認証を合わせて取得する場合は、クラウドサービスを提供する際に利用している外部のIaaS・PaaSなどのクラウドサービスが主な対象となります。

対象となるクラウドサービスは、サービスの種類(IaaS、PaaS、SaaS等)は問われません。(提供の場合も同様)

認証取得に向けた対応

認証取得に向けた当社のコンサルティングプランをご紹介します。

基本的には下記の流れでご支援します。

事前に、対象となる提供するクラウドサービス、利用するクラウドサービスの洗い出しを行い、適用範囲をどのように設定するか、概ね決めておく必要があります。

  • 現状確認・ヒアリング
    ISO27017の要求事項をベースにヒアリングをおこないます。既存のISMSの運用状況や対応事項も確認します。

  • 1

    GAP分析・課題の特定
    プロジェクト開始時点におけるISO / IEC27017管理基準要求事項の未対応項目を課題として特定します。

  • 2

    アクションプランの提示
    洗い出した課題への対応案をご提示します。

  • 3

    課題対応
    ISMSも関連付けて対応します。

  • 4

    対応状況の確認
    課題対応状況の確認、および対応にお困りの部分については随時アドバイスいたします。

  • 5

    審査
    指摘事項への対応をサポートします。

  • 6

    認証
    審査に通るとISO27017の認証を受けます。

審査で指摘された事項に対しては、改善措置、是正措置が求められますので、対応案のご提示、文書の修正が必要であれば、修正案のご提示などを行い、認証取得までサポートいたします。

サービスに関するお問い合わせは、下記の【お問い合わせフォーム】よりお気軽にお送りください。

ISMS支援に関するご質問・ご相談・お見積もりは無料です。

CONTACT

お問い合わせ

ご質問・ご相談などお気軽に【お問い合わせフォーム】よりご連絡ください。ご相談・お見積は無料です。

お問い合わせフォームはこちら

03-6265-3741

03-6265-3741

電話受付(平日)10:00〜17:00

ページトップヘ戻る