ISMSクラウドセキュリティ認証(ISO27017)

ISMSクラウドセキュリティ認証(ISO27017)の取得の前に、認証の全体像ご説明いたします。
認証の全体像をご理解いただいたら、認証取得コンサルティングをご相談ください。

ISMSクラウドセキュリティ認証(ISO27017)とは

ISMSクラウドセキュリティ認証(ISO27017)とは、あくまでも実践の規範(ガイドラインのようなもの)であり、ISO/IEC27002をクラウドセキュリティの分野に拡張したものとお考えください。ISO27000シリーズの中で一般企業向け認証制度上の要求事項は、あくまでもISO/IEC27001です。
なお、ISO/IEC27017の最新版は、ISO/IEC27017:2015です。また、JIS規格では、JIS Q 27017:2016が最新版です。

ISO/IEC27000

  • 27000

    基本用語集

  • 27001

    認証のための規格要求事項

  • 27002

    情報セキュリティ管理策の実践規範(管理策の実践例)

  • 27017

    クラウドサービスのための情報セキュリティ管理策の実践規範

ISMSクラウドセキュリティ認証制度とは

ISMSクラウドセキュリティ認証(ISO27017)の正式名称は「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証(以下「クラウドセキュリティ認証」)」であり、2016年8月から審査が開始されました。
ISO27001と同じく、一般財団法人日本情報経済社会推進協会(JIPDEC)が認定した審査機関が審査を行います。

情報マネジメントシステム認定センター
(ISMS-AC)

認定

審査機関

認定

受審企業

なお、認証のための要求事項は、JIPDECがインターネット上で公表しています。
「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」

ISMSクラウドセキュリティ認証における要求事項の特徴

ISMSクラウドセキュリティ認証の要求事項は、前頁で触れた通り「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」ですが、「ISO27017の管理策」を確認しなくてはならない要求が含まれているため、結果的にはISO27017も必要です。

ISO27017を認証制度として運用するための規格が 「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」とお考えください。

要求事項(JIP-ISMS517-1.0)の中身

クラウドセキュリティ認証の要求事項(JIP-ISMS517-1.0)の中身には次の項目があります。この中で、本文4項(要求事項)が審査対象となります。この要求事項を満たすことで、クラウドセキュリティ認証(ISO27017)の取得が可能となります。

本文 項番 タイトル 概要
序文
1 概要
2 引用規格
3 用語及び定義
4 要求事項 対象
4.1 クラウドサービスを含む情報セキュリティマネジメントシステムの適用範囲の決定 対象
4.2 ISO/IEC27017の規格に沿ったクラウド情報セキュリティ対策の実施 対象
4.2.1 情報セキュリティリスクアセスメント 対象
4.2.2 情報セキュリティリスク対応 対象
4.3 内部監査 対象
参考A 1 クラウドサービスを含むISMSの適用範囲の決定
2 クラウドサービスにおけるリスクアセスメント・リスク対応
3 適用宣言書
4 考慮事項

ISMSクラウドセキュリティ認証(ISO27017)とISO27001の関係

ISMSクラウドセキュリティ認証(ISO27017)単独では認証として成立しません。ISO27001を認証のアドオンとして成立する認証です。すなわち、ISO27001認証を取得していない組織はISMSクラウドセキュリティ認証(ISO27017)も取得できないということです。

ISMSクラウドセキュリティ認証(ISO27017)の有効期間

ISMSクラウドセキュリティ認証(ISO27017)の有効期間は「最大3年間」ですが、ISO27001認証を前提にした認証であるため、ISO27001認証の有効期間に従うことになります。
ISMSクラウドセキュリティ認証(ISO27017)を取得してから3年経過していなくても、ISO27001の有効期限が来たら、その日がISMSクラウドセキュリティ認証(ISO27017)の有効期限になります。

ISMSクラウドセキュリティ認証(ISO27017)取得までの工程

ISMSクラウドセキュリティ認証(ISO27017)を取得するまでの工程は、ISO27001を同時に取得するか、すでにISO27001を取得済みかによって異なります。

ISO27001新規認証と同時認証の場合

ISO27001新規認証と同時にISMSクラウドセキュリティ認証(ISO27017)を取得する場合は、ISO27001と同じ工程でISMS構築やISMS運用を行い、審査を受けます。

ISO27001は認証済みの場合

すでにISO27001認証を取得済の組織の場合、ISMSの構築はすでにできているため、クラウドセキュリティの観点からリスクアセスメント結果を見直したり、特定されたリスクに対して新たに管理策を適用する必要があります。

審査では、ISMSクラウドセキュリティ認証(ISO27017)単独で審査を受けるか、ISO27001の継続・再認証審査と同時に審査を受けるかを選びます。

1. 立場の明確化

ISMSクラウドセキュリティ認証(ISO27017)では、受審組織の立ち位置によって管理策への対応が変わるため、まずは「プロバイダ」なのか「カスタマ」なのか、それとも「両方」なのか、立ち位置を明確にする必要があります。

1. クラウドサービス
プロバイダ
①IaaS

Infrastructure as a Service

ネットワーク、サーバ等のハードウェアをインターネット上で 提供している組織
②PaaS

Platform as a Service(Ms Azure 等)

アプリケーションを利用するためのプラットフォームをミドルウェアまでインターネット上で提供している組織
③SaaS

Software as a Service(Google Apps、Salesforce 等)

ソフトウェアをインターネット上で利用できるようにサービスとして
提供している組織
2. クラウドサービスカスタマ クラウドサービスを利用している組織

2. 登録範囲の決定(4.1)

①の立場に沿って、クラウドサービス名もしくはクラウドサービスの内容が分かる形で、ISMSクラウドセキュリティ認証(ISO27017)の登録範囲を設定することが必要です。なお、ISMSクラウドセキュリティ認証(ISO27017)はISO27001認証を前提にしているため、ISO27001認証の登録範囲内でしか登録することができません。ISO27001認証の登録範囲を超えて登録するためには、あらかじめもしくは同時にISO27001認証の登録範囲を拡大する必要があります。

3. リスクアセスメント(4.2.1)

ISO27017のリスクアセスメントでは、「カスタマ」「プロバイダ」「両方」いずれの立場であるかをふまえてクラウドサービスに関するリスクを特定、分析、評価することが要求されます。
ISO27001で要求されるアセスメントスキームの変更が要求されるわけではありませんが、クラウドセキュリティの観点でのアセスメントが必要になるとお考えください。

クラウドサービスに纏わるリスクが特定されてまいますか?

4. リスク対応(4.2.2)

ISO27001にもリスク対応の要求がありますが、①クラウド上のリスク②ISO27017で拡張された管理策を考慮して対応する必要があります。

Aリスクアセスメント結果を考慮したリスク対応の決定

ISO27001と同様

Bリスク対応に必要な管理策の決定

ISO27001と同様

CB)で決定された管理策と、ISO27001附属書A及びISO27017に示す管理策を比較して見落としが無いか検証

ISO27017で示す管理策と比較しなくてはならない点が追加

D適用宣言書の作成

「立ち場」を明確にし、ISO27017で示す管理策を含めた適用宣言書の作成が必要

規格上の管理策の見方

ISO27017では、同じ管理策でも、「カスタマ」に対する手引きと「プロバイダ」に対する手引きが分かれています。また、一方にしか手引きが存在しない管理策もあります。なお、カスタマ、プロバイダ双方に該当する場合は、双方の手引きを考慮する必要があります。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
管理策
クラウドサービスの利用に関して・・・

クラウドサービスのための実施の手引き

クラウドサービスカスタマ クラウドサービスカスタマは、クラウドサービスの利用に・・・
クラウドサービスプロバイダ クラウドサービスプロバイダは、自らの・・・

ISO/IEC27002既存管理策の変更点

ISO/IEC27002の既存管理策には、次の変更点があります。

項番 管理目的 変更点
A.5 情報セキュリティのための方針群 【1.1】に手引き追加
A.6 情報セキュリティのための組織 【1.1】【1.3】に手引き追加
A.7 人的資源のセキュリティ 【2.2】に手引き追加
A.8 資産の管理 【1.1】【2.2】に手引き追加
【1.2】に関連情報追加
A.9 アクセス制御 【1.2】【2.1】【2.2】【2.3】【2.4】
【4.1】【4.4】に手引き追加
【2.2】【2.4】【4.1】に関連情報追加
A.10 暗号 【1.1】【1.2】に手引き追加
A.11 物理的及び環境的セキュリティ 【2.7】に手引き追加
【2.7】に関連情報追加
A.12 運用のセキュリティ 【1.2】【1.3】【3.1】【4.1】【4.3】
【4.4】【6.1】に手引き追加
【1.2】【1.3】【3.1】【4.1】【4.3】
【4.4】に関連情報追加
A.13 通信のセキュリティ 【1.3】に手引き、関連情報追加
A.14 システムの取得、開発及び保守 【1.1】【2.1】に手引き追加
【1.1】【2.1】【2.9】の関連情報追加
A.15 供給者関係 【1.1】【1.2】【1.3】に手引き追加
A.16 情報セキュリティインシデント管理 【1.1】【1.2】【1.7】に手引き追加
【1.2】に関連情報追加
A.17 事業継続マネジメントにおける情報セキュリティの側面
A.18 遵守 【1.1】【1.2】【1.3】【1.5】【2.1】
に手引き追加
【1.1】【1.4】に関連情報追加

ISO27017で拡張された管理策(附属書A)

ISO27017で拡張された管理策として、規格の附属書Aに次のことが記載されています。

項番 管理目的・管理策
CLD6.3 クラウドサービスカスタマとクラウドサービスプロバイダとの関係
【CLD6.3.1】クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD8.1 資産に対する責任(管理目的の変更無し)
【CLD8.1.5】クラウドサービスカスタマの資産の除去
CLD9.5 共有する仮想環境におけるクラウドサービスカスタマデータのアクセス制御
【CLD9.5.1】仮想コンピューティング環境における分離
【CLD9.5.2】仮想マシンの要塞化
CLD12.1 運用の手順及び責任(管理目的の変更無し)
【CLD12.1.5】実務管理者の運用のセキュリティ
CLD12.4 ログ取得及び監視(管理目的の変更無し)
【CLD12.4.5】クラウドサービスの監視
CLD13.1 ネットワークセキュリティ管理(管理目的の変更無し)
【CLD13.1.4】仮想及び物理ネットワークのセキュリティ管理の整合

ISMSクラウドセキュリティ認証(ISO27017)取得までの主な費用

ISMSクラウドセキュリティ認証(ISO27017)を取得するまでには、主に次の3種類の費用がかかります。ISMSクラウドセキュリティ認証(ISO27017)の審査費用は必須でかかります。また、クラウドセキュリティのレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかります。

1 審査費用 必須
2 設備投資の費用 状況と目的による
3 外部からの支援費用
(コンサルティングフィー 等)

設備投資の費用

ISO27001とは異なりマネジメントシステムの審査ではなく、サービスの信頼性自体が審査されます。そのため、ISO27001認証を取得するときよりもISMSクラウドセキュリティ認証(ISO27017)を取得する方が、物理的な投資が発生し易いという特徴があります。

外部からの支援費用

ISMSクラウドセキュリティ認証(ISO27017)取得コンサルティングの費用は、主に次のような要素によって決まります。

金額を決める主な要素

1 取組目的 認証を取得できればよいのか、明確な目標・テーマがあるのか
2 期間 極端に短期間、極端に長期間
3 対象組織規模
事業内容
調査にどの程度の時間を要するか
「カスタマ」なのか「プロバイダ」なのか「両方」なのか
4 ISMS構築内容 システムの理解、文書の読込にどの程度の時間を要するか
5 支援範囲 どの工程を支援するか
6 支援内容 アドバイス中心なのか、作業支援が必要なのか 等

よくあるご質問

Q. ISMSクラウドセキュリティ認証とISO27017との違いは何ですか?

ISMSクラウドセキュリティ認証は認証制度の名称、ISO27017は規格の名称です。 ISMSクラウドセキュリティ認証は、ISO27017に基づいて作成されたISMSクラウドセキュリティ認証に関する要求事項を満たすことを証明する認証制度です。

Q. ISO27017で要求されるリスクアセスメントとはどのようなものですか?

ISO27017のリスクアセスメントのスキームそのものは、ISO27001と同じです。ただし、クラウドセキュリティ特有のリスクファクターを考慮し、アセスメントを実施する必要があります。ISO27001のリスクアセスメントについては、こちらをご覧ください。

Q. ISMSクラウドセキュリティ認証(ISO27017)を取得するまでに、どれぐらいの費用がかかりますか?

ISMSクラウドセキュリティ認証(ISO27017)の審査費用は必須でかかります。また、クラウドセキュリティのレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかります。具体的な金額は別途お問い合わせください。

Q. ISMSクラウドセキュリティ認証(ISO27017)を取得するメリットは何ですか?

企業間取引などで、判りやすい信用の証となります。例えば、プライバシーマークの審査では、個人情報を取り扱うクラウドサービスを利用する場合は、サービス提供会社を評価する必要があります。その際の評価ポイントになる可能性があります。

Q. ISMSクラウドセキュリティ認証(ISO27017)とISO27001を同時に取得することは可能ですか?

同時に取得することは可能です。
ISMSクラウドセキュリティ認証(ISO27017)だけを先に取得することはできません。

Q. すでにISO27001を取得済なのですが、ISMSクラウドセキュリティ認証(ISO27017)を追加で取得できますか?

ISO27001をすでに取得されているのであれば、ISMSクラウドセキュリティ認証(ISO27017)を追加で取得できます。

Q. ISMSクラウドセキュリティ認証(ISO27017)は、どのような企業が取得に取り組むべきですか?

クラウドサービスを提供する企業にとってのメリットが大きいですが、利用する側として取得することもできます。

Q. ISMSクラウドセキュリティ認証(ISO27017)の登録範囲を教えてください。

提供するクラウドサービス、もしくは利用するクラウドサービスが含まれていることが前提です。なお、ISO27001登録範囲内に含まれていれば、完全にISO27001の登録範囲と同一でなくてもかまいません。

Q. ISMSクラウドセキュリティ認証(ISO27017)の認証機関は?

ISMS-ACに認定されている審査機関と、ISMS-ACに認定されていない独自認証の審査機関があります。後者は、一般的に「プライベート認証」と呼ばれています。

Q. ISO27017に対応するJIS規格は何ですか?

JIS Q 27017です。なお、JIS Q 27017は、日本規格協会などで購入できます。

Q. コンサルタントに支援を依頼するメリットは?

ISMSクラウドセキュリティ認証(ISO27017)取得にて、コンサルタントに支援を依頼すると、時間を短縮することができること。審査機関を上手に選択することができることなどのメリットがあります。

ISMSクラウドセキュリティ認証(ISO27017)のよくあるご質問一覧はこちら

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

受付時間:平日 9:00~18:00