ISMSクラウドセキュリティ認証(ISO27017)取得コンサルティング
ISMSクラウドセキュリティ認証(ISO27017)
近年、クラウドサービスの利用が増え、クラウドサービスの信頼性が問われるようになりました。そのため、利用者による、クラウドサービスの選定評価基準が厳しくなってきております。このような背景から、2016年にISO27017のJIS版が発行され、ISMSクラウドセキュリティ認証がアドオン認証として、ISMS認証に追加されました。
ISMSクラウドセキュリティ認証(ISO27017)の取得の前に、認証の全体像ご説明いたします。
ISMSクラウドセキュリティ認証(ISO27017)とは
ISMSクラウドセキュリティ認証(ISO27017)とは、あくまでも実践の規範(ガイドラインのようなもの)であり、ISO/IEC27002をクラウドセキュリティの分野に拡張したものとお考えください。ISO27000シリーズの中で一般企業向け認証制度上の要求事項は、あくまでもISO/IEC27001です。
なお、ISO/IEC27017の最新版は、ISO/IEC27017:2015です。また、JIS規格では、JIS Q 27017:2016が最新版です。
ISO/IEC27000
-
27000
基本用語集
-
27001
認証のための規格要求事項(認証取得コンサルティング対象)
-
27002
情報セキュリティ管理策の実践規範(管理策の実践例)
-
ー
ー
-
27017
クラウドサービスのための情報セキュリティ管理策の実践規範(認証取得コンサルティング対象)
-
ー
ー
ISMSクラウドセキュリティ認証制度とは
ISMSクラウドセキュリティ認証(ISO27017)の正式名称は「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証(以下「クラウドセキュリティ認証」)」であり、2016年8月から認証制度として運用が始まりました。
ISO27001と同じく、一般財団法人日本情報経済社会推進協会(JIPDEC)が認定した審査機関が審査を行います。
情報マネジメントシステム認定センター
(ISMS-AC)
認定
審査機関
受審企業
なお、認証のための要求事項は、JIPDECがインターネット上で公表しています。
「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項JIP-ISMS517-1.0」
ISMSクラウドセキュリティ認証における要求事項の特徴
ISMSクラウドセキュリティ認証の要求事項は、前頁で触れた通り「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項JIP-ISMS517」ですが、「ISO27017の管理策」を確認しなくてはならない要求が含まれているため、結果的にはISO27017も必要です。
ISO27017を認証制度として運用するための文書が 「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項JIP-ISMS517」とお考えください。
ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項JIP-ISMS517の中身
クラウドセキュリティ認証の要求事項の中身には次の項目があります。この中で、本文4項(要求事項)が審査対象となります。この要求事項を満たすことで、クラウドセキュリティ認証(ISO27017)の取得が可能となります。
| 本文 | 項番 | タイトル | 概要 | ||
|---|---|---|---|---|---|
| 序文 | – | ||||
| 1 | 概要 | ||||
| 2 | 引用規格 | ||||
| 3 | 用語及び定義 | ||||
| 4 | 要求事項 | 対象 | |||
| 4.1 | クラウドサービスを含む情報セキュリティマネジメントシステムの適用範囲の決定 | 対象 | |||
| 4.2 | ISO/IEC27017の規格に沿ったクラウド情報セキュリティ対策の実施 | 対象 | |||
| 4.2.1 | 情報セキュリティリスクアセスメント | 対象 | |||
| 4.2.2 | 情報セキュリティリスク対応 | 対象 | |||
| 4.3 | 内部監査 | 対象 | |||
| 参考A | 1 | クラウドサービスを含むISMSの適用範囲の決定 | |||
| 2 | クラウドサービスにおけるリスクアセスメント・リスク対応 | ||||
| 3 | 適用宣言書 | ||||
| 4 | 考慮事項 | ||||
ISMSクラウドセキュリティ認証(ISO27017)とISO27001の関係
ISMSクラウドセキュリティ認証(ISO27017)単独では認証として成立しません。ISO27001を認証のアドオンとして成立する認証です。すなわち、ISMS認証を取得していない組織はISMSクラウドセキュリティ認証(ISO27017)も取得できないということです。
ISMSクラウドセキュリティ認証(ISO27017)の有効期間
ISMSクラウドセキュリティ認証(ISO27017)の有効期間は「最大3年間」ですが、ISMS認証を前提にした認証であるため、ISMS認証の有効期間に従うことになります。
ISMSクラウドセキュリティ認証(ISO27017)を取得してから3年経過していなくても、ISMS認証(ISO27001)の有効期限が来たら、その日がISMSクラウドセキュリティ認証(ISO27017)の有効期限になります。したがって、「ISMSの更新審査=ISMSクラウドセキュリティ認証の更新審査」となります。
ISMSクラウドセキュリティ認証(ISO27017)取得までの工程
ISMSクラウドセキュリティ認証(ISO27017)を取得するまでの工程は、ISO27001を同時に取得するか、すでにISO27001を取得済みかによって異なります。
ISO27001新規認証と同時にISMSクラウドセキュリティ認証(ISO27017)を取得する場合の流れ
ISO27001新規認証と同時にISMSクラウドセキュリティ認証(ISO27017)を取得する場合は、次の図のような流れになります。ISO27001と同じ工程でISMS構築やISMS運用を行い、審査を受けます。
ISO27001は認証取得済みの場合の流れ
すでにISMS認証を取得済の組織の場合で、 ISMSクラウドセキュリティ認証(ISO27017)のみを取得するときの流れは、次の図のようになります。ISMSの構築はすでにできているため、クラウドセキュリティの観点からリスクアセスメント結果を見直したり、特定されたリスクに対して新たに管理策を適用する必要があります。
審査では、ISMSクラウドセキュリティ認証(ISO27017)単独で審査を受けるか、ISO27001の継続・再認証審査と同時に審査を受けるかを選びます。
1. 立場の明確化
ISMSクラウドセキュリティ認証(ISO27017)では、受審組織の立ち位置によって管理策への対応が変わるため、まずは「プロバイダ」なのか「カスタマ」なのか、それとも「両方」なのか、立ち位置を明確にする必要があります。
| 1. クラウドサービス プロバイダ |
①IaaS | Infrastructure as a Service ネットワーク、サーバ等のハードウェアをインターネット上で 提供している組織 |
|---|---|---|
| ②PaaS | Platform as a Service(Ms Azure 等) アプリケーションを利用するためのプラットフォームをミドルウェアまでインターネット上で提供している組織 |
|
| ③SaaS | Software as a Service(Google Apps、Salesforce 等) ソフトウェアをインターネット上で利用できるようにサービスとして提供している組織 |
|
| 2. クラウドサービスカスタマ | クラウドサービスを利用している組織 | |
2. 登録範囲の決定(4.1)
①の立場に沿って、クラウドサービス名もしくはクラウドサービスの内容が分かる形で、ISMSクラウドセキュリティ認証(ISO27017)の登録範囲を設定することが必要です。なお、ISMSクラウドセキュリティ認証(ISO27017)はISMS認証を前提にしているため、ISMS認証の登録範囲内でしか登録することができません。ISMS認証の登録範囲を超えて登録するためには、あらかじめもしくは同時にISMS認証の登録範囲を拡大する必要があります。
3. リスクアセスメント(4.2.1)
ISO27017のリスクアセスメントでは、「カスタマ」「プロバイダ」「両方」いずれの立場であるかをふまえてクラウドサービスに関するリスクを特定、分析、評価することが要求されます。
ISO27001で要求されるアセスメントスキームの変更が要求されるわけではありませんが、クラウドセキュリティの観点でのアセスメントが必要になるとお考えください。
クラウドサービスに纏わるリスクが特定されてまいますか?
4. リスク対応(4.2.2)
ISO27001にもリスク対応の要求がありますが、①クラウド上のリスク②ISO27017で拡張された管理策を考慮して対応する必要があります。
Aリスクアセスメント結果を考慮したリスク対応の決定
ISO27001と同様
Bリスク対応に必要な管理策の決定
ISO27001と同様
CB)で決定された管理策と、ISO27001附属書A及びISO27017に示す管理策を比較して見落としが無いか検証
ISO27017で示す管理策と比較しなくてはならない点が追加
D適用宣言書の作成
「立ち場」を明確にし、ISO27017で示す管理策を含めた適用宣言書の作成が必要
規格上の管理策の見方
ISO27017では、同じ管理策でも、「カスタマ」に対する手引きと「プロバイダ」に対する手引きが分かれています。また、一方にしか手引きが存在しない管理策もあります。なお、カスタマ、プロバイダ双方に該当する場合は、双方の手引きを考慮する必要があります。
例
CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
管理策
クラウドサービスの利用に関して・・・
クラウドサービスのための実施の手引き
| クラウドサービスカスタマ | クラウドサービスカスタマは、クラウドサービスの利用に・・・ |
|---|---|
| クラウドサービスプロバイダ | クラウドサービスプロバイダは、自らの・・・ |
ISO/IEC27002既存管理策の変更点
ISO/IEC27002の既存管理策には、次の変更点があります。
| 項番 | 管理目的 | 変更点 |
| A.5 | 情報セキュリティのための方針群 | 【1.1】に手引き追加 |
|---|---|---|
| A.6 | 情報セキュリティのための組織 | 【1.1】【1.3】に手引き追加 |
| A.7 | 人的資源のセキュリティ | 【2.2】に手引き追加 |
| A.8 | 資産の管理 | 【1.1】【2.2】に手引き追加 【1.2】に関連情報追加 |
| A.9 | アクセス制御 | 【1.2】【2.1】【2.2】【2.3】【2.4】 【4.1】【4.4】に手引き追加 【2.2】【2.4】【4.1】に関連情報追加 |
| A.10 | 暗号 | 【1.1】【1.2】に手引き追加 |
| A.11 | 物理的及び環境的セキュリティ | 【2.7】に手引き追加 【2.7】に関連情報追加 |
| A.12 | 運用のセキュリティ | 【1.2】【1.3】【3.1】【4.1】【4.3】 【4.4】【6.1】に手引き追加 【1.2】【1.3】【3.1】【4.1】【4.3】 【4.4】に関連情報追加 |
| A.13 | 通信のセキュリティ | 【1.3】に手引き、関連情報追加 |
| A.14 | システムの取得、開発及び保守 | 【1.1】【2.1】に手引き追加 【1.1】【2.1】【2.9】の関連情報追加 |
| A.15 | 供給者関係 | 【1.1】【1.2】【1.3】に手引き追加 |
| A.16 | 情報セキュリティインシデント管理 | 【1.1】【1.2】【1.7】に手引き追加 【1.2】に関連情報追加 |
| A.17 | 事業継続マネジメントにおける情報セキュリティの側面 | |
| A.18 | 遵守 | 【1.1】【1.2】【1.3】【1.5】【2.1】 に手引き追加 【1.1】【1.4】に関連情報追加 |
ISO27017で拡張された管理策(附属書A)
ISO27017で拡張された管理策として、規格の附属書Aに次のことが記載されています。
| 項番 | 管理目的・管理策 |
| CLD6.3 | クラウドサービスカスタマとクラウドサービスプロバイダとの関係 |
| 【CLD6.3.1】クラウドコンピューティング環境における役割及び責任の共有及び分担 | |
| CLD8.1 | 資産に対する責任(管理目的の変更無し) |
| 【CLD8.1.5】クラウドサービスカスタマの資産の除去 | |
| CLD9.5 | 共有する仮想環境におけるクラウドサービスカスタマデータのアクセス制御 |
| 【CLD9.5.1】仮想コンピューティング環境における分離 | |
| 【CLD9.5.2】仮想マシンの要塞化 | |
| CLD12.1 | 運用の手順及び責任(管理目的の変更無し) |
| 【CLD12.1.5】実務管理者の運用のセキュリティ | |
| CLD12.4 | ログ取得及び監視(管理目的の変更無し) |
| 【CLD12.4.5】クラウドサービスの監視 | |
| CLD13.1 | ネットワークセキュリティ管理(管理目的の変更無し) |
| 【CLD13.1.4】仮想及び物理ネットワークのセキュリティ管理の整合 |
ISMSクラウドセキュリティ認証(ISO27017)取得までの主な費用
ISMSクラウドセキュリティ認証(ISO27017)を取得するまでには、主に次の3種類の費用がかかります。ISMSクラウドセキュリティ認証(ISO27017)の審査費用は必須でかかります。また、クラウドセキュリティのレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかります。
| 1 | 審査費用 | 必須 |
| 2 | 設備投資の費用 | 状況と目的による |
| 3 | 外部からの支援費用 (コンサルティングフィー 等) |
設備投資の費用
ISO27001とは異なりマネジメントシステムの審査ではなく、サービスの信頼性自体が審査されます。そのため、ISMS認証(ISO27001)を取得するときよりもISMSクラウドセキュリティ認証(ISO27017)を取得する方が、物理的な投資が発生し易いという特徴があります。
外部からの支援費用
ISMSクラウドセキュリティ認証(ISO27017)取得コンサルティングの費用は、主に次のような要素によって決まります。
金額を決める主な要素
| 1 | 取組目的 | 認証を取得できればよいのか、明確な目標・テーマがあるのか |
| 2 | 期間 | 極端に短期間、極端に長期間 |
| 3 | 対象組織規模 事業内容 |
調査にどの程度の時間を要するか 「カスタマ」なのか「プロバイダ」なのか「両方」なのか |
| 4 | ISMS構築内容 | システムの理解、文書の読込にどの程度の時間を要するか |
| 5 | 支援範囲 | どの工程を支援するか |
| 6 | 支援内容 | アドバイス中心なのか、作業支援が必要なのか 等 |
よくあるご質問Q&A
Q. ISMSクラウドセキュリティ認証とISO27017との違いは何ですか?
ISMSクラウドセキュリティ認証は認証制度の名称、ISO27017は規格の名称です。 ISMSクラウドセキュリティ認証は、ISO27017に基づいて作成されたISMSクラウドセキュリティ認証に関する要求事項を満たすことを証明する認証制度です。
Q. ISO27017で要求されるリスクアセスメントとはどのようなものですか?
ISO27017のリスクアセスメントのスキームそのものは、ISO27001と同じです。ただし、クラウドセキュリティ特有のリスクファクターを考慮し、アセスメントを実施する必要があります。ISO27001のリスクアセスメントについては、こちらをご覧ください。
Q. ISMSクラウドセキュリティ認証(ISO27017)を取得するまでに、どれぐらいの費用がかかりますか?
ISMSクラウドセキュリティ認証(ISO27017)の審査費用は必須でかかります。また、クラウドセキュリティのレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかります。具体的な金額は別途お問い合わせください。
Q. ISMSクラウドセキュリティ認証(ISO27017)を取得するメリットは何ですか?
企業間取引などで、判りやすい信用の証となります。例えば、プライバシーマークの審査では、個人情報を取り扱うクラウドサービスを利用する場合は、サービス提供会社を評価する必要があります。その際の評価ポイントになる可能性があります。
Q. ISMSクラウドセキュリティ認証(ISO27017)とISO27001を同時に取得することは可能ですか?
同時に取得することは可能です。
ISMSクラウドセキュリティ認証(ISO27017)だけを先に取得することはできません。
Q. すでにISO27001を取得済なのですが、ISMSクラウドセキュリティ認証(ISO27017)を追加で取得できますか?
ISO27001をすでに取得されているのであれば、ISMSクラウドセキュリティ認証(ISO27017)を追加で取得できます。
Q. ISMSクラウドセキュリティ認証(ISO27017)は、どのような企業が取得に取り組むべきですか?
クラウドサービスを提供する企業にとってのメリットが大きいですが、利用する側として取得することもできます。
Q. ISMSクラウドセキュリティ認証(ISO27017)の登録範囲を教えてください。
提供するクラウドサービス、もしくは利用するクラウドサービスが含まれていることが前提です。なお、ISO27001登録範囲内に含まれていれば、完全にISO27001の登録範囲と同一でなくてもかまいません。
Q. ISMSクラウドセキュリティ認証(ISO27017)の認証機関は?
ISMS-ACに認定されている審査機関と、ISMS-ACに認定されていない独自認証の審査機関があります。後者は、一般的に「プライベート認証」と呼ばれています。
Q. ISO27017に対応するJIS規格は何ですか?
JIS Q 27017です。最新版はJIS Q 27017:2016です。なお、JIS Q 27017:2016は、日本規格協会などで購入できます。また、2025年に規格改訂が予定されています。
Q. コンサルタントに支援を依頼するメリットは?
ISMSクラウドセキュリティ認証(ISO27017)取得にて、コンサルタントに支援を依頼すると、時間を短縮することができること。審査機関を上手に選択することができることなどのメリットがあります。
ISMSクラウドセキュリティ認証取得コンサルティングは当社にお任せください
ISMSクラウドセキュリティ認証を取得したら、対外的に企業の信頼性が高まります。また、企業取引において、 ISMSクラウドセキュリティ認証の取得を義務付けているところもあるので、お取引きの幅が広がります。
ISMSクラウドセキュリティ認証は、ISMS認証(ISO27001)のアドオン認証です。ISMSクラウドセキュリティ認証を取得したい場合は、ISMS認証(ISO27001)も取得する必要があります。
ISMSクラウドセキュリティ認証の取得を目指される場合は、当社までご相談ください。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00