ISMSクラウドセキュリティ認証(ISO27017)


ISO27017とは

 ISO/IEC27017:2015は、あくまでも実践の規範(ガイドラインのようなもの)であり、ISO/IEC27002をクラウドセキュリティの分野に拡張したものとお考えください。ISO27000シリーズの中で一般企業向け認証制度上の要求事項は、あくまでもISO/IEC27001です。

ISO/IEC27000シリーズ
ISO/IEC27000基本用語集
27001認証のための規格要求事項
27002情報セキュリティ管理策の実践規範(管理策の実践例)
・・・・・・
27017クラウドサービスのための情報セキュリティ管理策の実践規範
・・・・・・

ISMSクラウドセキュリティ認証制度とは

ISMSクラウドセキュリティ認証の正式名称は「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証(以下「クラウドセキュリティ認証」)」であり、2016年8月から審査が開始されました。

 ISO27001と同じく、一般財団法人日本情報経済社会推進協会(JIPDEC)が認定した審査機関が審査を行います。

        

認証制度について

        

        

なお、認証のための要求事項は、JIPDECがインターネット上で公表しています。

「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」

        

 

ISMSクラウドセキュリティ認証における要求事項の特徴

 ISMSクラウドセキュリティ認証の要求事項は、前頁で触れた通り「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」ですが、「ISO27017の管理策」を確認しなくてはならない要求が含まれているため、結果的にはISO27017も必要です。

        

ISMSクラウドセキュリティ認証の要求事項の特徴について

        

 ISO27017を認証制度として運用するための規格が 「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」とお考えください。

要求事項(JIP-ISMS517-1.0)の中身

クラウドセキュリティ認証の要求事項(JIP-ISMS517-1.0)の中身には次の項目があります。

要求事項の中身について

        

クラウドセキュリティ認証(ISO27017)とISO27001の関係

 クラウドセキュリティ認証(ISO27017)単独では認証として成立しません。ISO27001を認証のアドオンとして成立する認証です。すなわち、ISO27001認証を取得していない組織はクラウドセキュリティ認証も取得できないということです。

        

ISO27001との関係について

        

ISMSクラウドセキュリティ認証の有効期間

 ISMSクラウドセキュリティ認証の有効期間は「最大3年間」ですが、ISO27001認証を前提にした認証であるため、ISO27001認証の有効期間に従うことになります。

 ISMSクラウドセキュリティ認証を取得してから3年経過していなくても、ISO27001の有効期限が来たら、その日がISMSクラウドセキュリティ認証の有効期限になります。

        

認証の有効期間について

        

クラウドセキュリティ認証(ISO27017)取得までの工程

クラウドセキュリティ認証を取得するまでの工程は、ISO27001を同時に取得するか、すでにISO27001を取得済みかによって異なります。

ISO27001新規認証と同時認証の場合

ISO27001新規認証と同時にクラウドセキュリティ認証を取得する場合は、ISO27001と同じ工程でISMS構築やISMS運用を行い、審査を受けます。

ISO27001新規認証と同時認証の場合

ISO27001は認証済みの場合

すでにISO27001認証を取得済の組織の場合、ISMSの構築はすでにできているため、クラウドセキュリティの観点からリスクアセスメント結果を見直したり、特定されたリスクに対して新たに管理策を適用する必要があります。

審査では、クラウドセキュリティ認証単独で審査を受けるか、ISO27001の継続・再認証審査と同時に審査を受けるかを選びます。

ISO27001は認証済みの場合

①立場の明確化

 クラウドセキュリティ認証では、受審組織の立ち位置によって管理策への対応が変わるため、まずは「プロバイダ」なのか「カスタマ」なのか、それとも「両方」なのか、立ち位置を明確にする必要があります。

1、クラウドサービスプロバイダ
① IaaSInfrastructure as a Service
ネットワーク、サーバ等のハードウェアをインターネット上で
提供している組織
② PaaSPlatform as a Service(Ms Azure 等)
アプリケーションを利用するためのプラットフォームをミドルウェア
までインターネット上で提供している組織
③ SaaSSoftware as a Service(Google Apps、Salesforce 等)
ソフトウェアをインターネット上で利用できるようにサービスとして
提供している組織
2、クラウドサービスカスタマクラウドサービスを利用している組織

②適用範囲の決定(4.1)

 ①の立場に沿って、クラウドサービス名が分かる形で適用範囲を設定することが必要です。なお、ISO27001認証を前提にしているため、ISO27001認証における適用範囲を超える適用範囲は認められません。

        

適用範囲の決定について

③リスクアセスメント(4.2.1)

 ISO27017のリスクアセスメントでは、「カスタマ」「プロバイダ」「両方」いずれの立場であるかをふまえて、クラウドサービスに関するリスクを特定、分析、評価することが要求されます。

 ISO27001で要求されるアセスメントスキームの変更が要求されるわけではありませんが、クラウドセキュリティの観点でのアセスメントが必要になるとお考えください。

リスクアセスメントについて

④リスク対応(4.2.2)

 ISO27001にもリスク対応の要求がありますが、①クラウド上のリスク②ISO27017で拡張された管理策を考慮して対応する必要があります。

        

 a)リスクアセスメント結果を考慮したリスク対応の決定

   ⇒ ISO27001と同様

 b)リスク対応に必要な管理策の決定

   ⇒ ISO27001と同様

 c)b)で決定された管理策と、ISO27001附属書A及びISO27017に示す管理策を比較して見落としが無いか検証

   ⇒ ISO27017で示す管理策と比較しなくてはならない点が追加

 d)適用宣言書の作成 

   ⇒ 「立ち場」を明確にし、ISO27017で示す管理策を含めた適用宣言書の作成が必要

規格上の管理策の見方

 ISO27017では、同じ管理策でも、「カスタマ」に対する手引きと「プロバイダ」に対する手引きが分かれています。また、一方にしか手引きが存在しない管理策もあります。なお、カスタマ、プロバイダ双方に該当する場合は、双方の手引きを考慮する必要があります。

        

【例】

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
管理策
クラウドサービスの利用に関して・・・

【クラウドサービスのための実施の手引き】
クラウドサービスカスタマ
クラウドサービスプロバイダ
クラウドサービスカスタマは、クラウドサービス
の利用に・・・
          
クラウドサービスプロバイダは、自らの・・・
          
          

        

ISO/IEC27002既存管理策の変更点

ISO/IEC27002の既存管理策には、次の変更点があります。

項番管理目的変更点
A.5
情報セキュリティのための方針群【1.1】に手引き追加
A.6
情報セキュリティのための組織【1.1】【1.3】に手引き追加
A.7
人的資源のセキュリティ【2.2】に手引き追加
A.8
資産の管理【1.1】【2.2】に手引き追加
【1.2】に関連情報追加
A.9
アクセス制御【1.2】【2.1】【2.2】【2.3】【2.4】【4.1】【4.4】に手引き追加
【2.2】【2.4】【4.1】に関連情報追加
A.10暗号【1.1】【1.2】に手引き追加
A.11物理的及び環境的セキュリティ【2.7】に手引き追加
【2.7】に関連情報追加
A.12運用のセキュリティ【1.2】【1.3】【3.1】【4.1】【4.3】【4.4】【6.1】に手引き追加
【1.2】【1.3】【3.1】【4.1】【4.3】【4.4】に関連情報追加
A.13通信のセキュリティ【1.3】に手引き、関連情報追加
A.14システムの取得、開発及び保守【1.1】【2.1】に手引き追加
【1.1】【2.1】【2.9】の関連情報追加
A.15供給者関係【1.1】【1.2】【1.3】に手引き追加
A.16情報セキュリティインシデント管理【1.1】【1.2】【1.7】に手引き追加
【1.2】に関連情報追加
A.17事業継続マネジメントにおける情報セキュリティの側面
A.18遵守【1.1】【1.2】【1.3】【1.5】【2.1】に手引き追加
【1.1】【1.4】に関連情報追加

ISO27017で拡張された管理策(附属書A)

ISO27017で拡張された管理策として、規格の附属書Aに次のことが記載されています。

項番管理目的・管理策
CLD6.3クラウドサービスカスタマとクラウドサービスプロバイダとの関係
【CLD6.3.1】クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD8.1資産に対する責任(管理目的の変更無し)
【CLD8.1.5】クラウドサービスカスタマの資産の除去
CLD9.5共有する仮想環境におけるクラウドサービスカスタマデータのアクセス制御
【CLD9.5.1】仮想コンピューティング環境における分離
【CLD9.5.2】仮想マシンの要塞化
CLD12.1運用の手順及び責任(管理目的の変更無し)
【CLD12.1.5】実務管理者の運用のセキュリティ
CLD12.4ログ取得及び監視(管理目的の変更無し)
【CLD12.4.5】クラウドサービスの監視
CLD13.1ネットワークセキュリティ管理(管理目的の変更無し)
【CLD13.1.4】仮想及び物理ネットワークのセキュリティ管理の整合

ISMSクラウドセキュリティ認証取得までの主な費用

ISMSクラウドセキュリティ認証を取得するまでには、主に次の3種類の費用がかかります。 ISMSクラウドセキュリティ認証の審査費用は必須でかかります。また、クラウドセキュリティのレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかります。

1審査費用必須
2設備投資状況と目的による
3外部からの支援費用
(コンサルティングフィー等)

設備投資

 ISO27001と同じく、認証を取得するだけのためにする設備投資は必須ではありません。リスクにどう対応するかは受審組織の判断に委ねられます。

設備投資のコストとクラウドセキュリティレベルや業務効率の関係

外部からの支援費用

ISMSクラウドセキュリティ認証取得コンサルティングの費用は、主に次のような要素によって決まります。

【金額を左右する主な要素】
1取組目的認証を取得できればよいのか、明確な目標・テーマがあるのか
2期間極端に短期間、極端に長期間
3対象組織規模
事業内容
調査にどの程度の時間を要するか
「カスタマ」なのか「プロバイダ」なのか「両方」なのか
4ISMS構築内容システムの理解、文書の読込にどの程度の時間を要するか
5支援範囲どの工程を支援するか
6支援内容アドバイス中心なのか、作業支援が必要なのか等

よくあるご質問

Q. ISMSクラウドセキュリティ認証とISO27017との違いは何ですか?

ISMSクラウドセキュリティ認証は認証制度の名称、ISO27017は規格の名称です。 ISMSクラウドセキュリティ認証は、ISO27017に基づいて作成されたISMSクラウドセキュリティ認証に関する要求事項を満たすことを証明する認証制度です。

Q. ISO27017で要求されるリスクアセスメントとはどのようなものですか?

ISO27017のリスクアセスメントのスキームそのものは、ISO27001と同じです。ただし、クラウドセキュリティ特有のリスクファクターを考慮し、アセスメントを実施する必要があります。ISO27001のリスクアセスメントについては、こちらをご覧ください。

Q. ISMSクラウドセキュリティ認証を取得するまでに、どれぐらいの費用がかかりますか?

ISMSクラウドセキュリティ認証の審査費用は必須でかかります。また、クラウドセキュリティのレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかります。具体的な金額は別途お問い合わせください。

Q. ISMSクラウドセキュリティ認証を取得するメリットは何ですか?

企業間取引などで、判りやすい信用の証となります。例えば、プライバシーマークの審査では、個人情報を取り扱うクラウドサービスを利用する場合は、サービス提供会社を評価する必要があります。その際の評価ポイントになる可能性があります。

Q. ISMSクラウドセキュリティ認証は、どのような企業が取得に取り組むべきですか?

クラウドサービスを提供する企業にとってのメリットが大きいですが、利用する側として取得することもできます。

Q. ISMSクラウドセキュリティ認証の登録範囲を教えてください。

提供するクラウドサービス、もしくは利用するクラウドサービスが含まれていることが前提です。なお、ISO27001登録範囲内に含まれていれば、完全にISO27001の登録範囲と同一でなくてもかまいません。

Q. ISMSクラウドセキュリティ認証の認証機関は?

ISMS-ACに認定されている審査機関と、ISMS-ACに認定されていない独自認証の審査機関があります。後者は、一般的に「プライベート認証」と呼ばれています。

Q. ISO27017に対応するJIS規格は何ですか?

JIS Q 27017です。なお、JIS Q 27017は、日本規格協会などで購入できます。

ISMSクラウドセキュリティ認証(ISO27017)のよくあるご質問一覧はこちら


資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。