ISO27017とクラウドセキュリティ認証の取り組み方

◆クラウドセキュリティ認証制度運用スタート◆

2016年8月より、JIPDECを認証機関としてクラウドセキュリティ認証制度の運用が始まりました。

とは言え、クラウドセキュリティ認証というよりも、ISO27017と呼んだほうがご関心を持たれるかもしれませんね。ただし、クラウドセキュリティ認証＝ISO27017というわけではありません。

そもそもISO27017は認証のための要求事項ではなくガイドライン規格（このような観点もありますよ、こうしてみたら？といったニュアンスの規格です）であるため、それを要求事項的に運用するためにJIPDECが新たな要求事項を設けたのです。したがいまして、国際認証ではありません。

それらの事情については、案内を設けましたので、よろしければご覧になってください。　
→ISMSクラウドセキュリティ認証（ISO27017）

◆クラウドセキュリティ認証の今後◆

さて、クラウドセキュリティ認証は今後普及していくでしょうか。ISO27017の内容は、現在のICT環境を鑑みると、非常に重要かつ有益なものになっていますので、ご一読される価値は十分にあろうかと思います。

規格は、「クラウドサービスを提供する側」「利用する側」2つの観点で構成されています。そのため、まずは自組織が、「提供する側」なのか、「利用する側」なのか、それとも「両方」なのかを判別するところから取り組みは始まり、立場によって認証の価値は変わると考えます。

直接的に申し上げると、少なくとも「利用する側」であればさほど認証の価値は無いかもしれません。「提供する側」もしくは「両方」の立場であれば、営業的なアドバンテージになる可能性は大いにあるでしょう。「利用する側」であれば、本来の立ち位置であるガイドラインとしてご利用になると、情報セキュリティ的には有益であると思われます（認証は取得せずとも価値はあろうかと思われます）。