見出し画像

ISO27017 クラウドセキュリティって?【情シスコンシェルジュの現場にいちばん近いブログ】Vol.2


はじめに


こんにちは。SHIFTの畠山です。

突然ですが、みなさんは、ISO27017 クラウドセキュリティについてご存じでしょうか。

「ISMS」は聞いたことある方もいると思います。ISMSはISOでいうと 27001 になります。

同じ、27から始まっているので関係性があるのでは? 
と思われた方 大正解 です。

ISO27017はISO27001のアドオン認証で追加して取得する認証となり、ISO27017単独では認証は受けられず、ISMS認証を既に取得している場合、または同時に認証をに受けられる認証システムです。

クラウドサービスは今やあって当たり前、最大限便利なツールとして複数利用されている状況です。また、企業によってはクラウドサービスをSaaSなどで提供している企業も多くなってきたのではないでしょうか。

今回はISO27017クラウドセキュリティの概要についてお話します。

ISO27017とISO27001、ISMS認証とクラウドセキュリティ認証との関係性


先にもお話した通り、ISO27017の認証を取得するには、ISO27001とISMS認証の仕組みについても理解しておく必要があります。

ISO27001とISO27017は、国際標準化機構(International Organization for Standardization)によって発行されているISO認証規格ですが、27001と27017では対象の範囲が異なる部分があります。

ISO27001は、2005年に発行された情報セキュリティマネジメントシステム(ISMS)を構築する規格で、現在は ISO27001/2013 から ISO27001/2022への切り替わり期にあたります。2013年当時、クラウドサービスがここまで日常的に利用される事が想定されておらず、クラウドサービスは提供者をサプライヤーとして、サプライヤーとのセキュリティ対応までしか想定されておらず、現在の情報セキュリティを強化するには、ISO27001だけでは、十分であるとは言えない状況になりました。

そこで、2015年 クラウドセキュリティ、ISO27017が登場しました。ISO27017はISO27001に追加する形でのみ取得が可能な「アドオン認証」であるため、単独では取得はできません。ISO27017を取得するには、ISO27001を先に取得するか、同時に取得する必要があります。 ISO27017は、ISO27001では厳密に対応できなかったクラウドサービスにおける情報セキュリティを追加する規格であるという事を理解しましょう。

ISO27017認証を取得するには


ISO27017の認証取得は、以下のいずれかの事業者に限定されています。

  • クラウドサービスを提供している事業者(クラウドサービスプロパイダ CSP)

  • クラウドサービスを利用している事業者(クラウドサービスカスタマ CSC)

ISO27017は、クラウドサービスにおける情報セキュリティの規格のため、クラウドサービスを提供・利用していない事業者はISO27017を取得する事できません。


ISO27017の要求事項について


ISO27001の要求事項に追加(アドオン)して、以下の構築が必要になります。

  1. ISO27017の適用範囲を決定する

  2. ISO27017のリスクアセスメントを行う

  3. 文書体系の構築

  4. 内部監査を行う

  5. トップマネージメントレビュー

1.適用範囲を決める


事業が、クラウドサービス(IaaS、PaaS、SaaS、その他サービス)の提供者(プロバイダ)か利用者(カスタマ)か、それとも両方なのかを明確にする必要があります。立場によって、必要な管理策が異なります。

  • **CSP:**クラウドサービスプロバイダ:クラウドサービスを提供している

  • **CSC:**クラウドサービスカスタマ:クラウドサービスを利用している企業

  • CSP&CSC:両方の適用

立場を明確にし、上記のクラウドサービスを含めたISMSの適用範囲を定める必要があります。また、ISO27017はISO27001のアドオン認証であるため、適用範囲はISO27001の範囲と同じか、その一部でなければなりません。ISO27001では適用範囲外であったとしても、ISO27017で適用範囲となった場合は、ISO27001の適用範囲にも影響があります。

2.リスクアセスメントを行う


リスクアセスメントでは、CSP、CSCのそれぞれの立場でクラウドサービスにおけるリスクを明確化して分析、評価、対策検討を行います。

リスク対策では、特定したリスクに対して管理策の対応が必要になります。

リスクアセスメントを行い、ISO27001の附属書AやISO27017の管理策から、ISO27001、ISO27017に対する適用宣言書を作成します。

3.文書体系の構築


ISO27001で構築した文書体系に、CSP、CSCのそれぞれの立場でクラウドサービスに関する文書を追加して構築する。

主な文書の例

  • ISO27001、ISO27017 適用範囲

  • リスクアセスメント結果とアセスメント化マニュアル

  • 情報セキュリティマニュアル

  • 情報セキュリティガイドライン

  • その他ISO27001、ISO27017運用文書 業務、環境に合わせて対応

必ず含めなければならない文書、入れた方が良い文書もあります。

  • 情報セキュリティ実施計画書

  • 情報セキュリティ方針、方針群

  • 内部監査結果

  • トップマネージメントレビュー結果

  • 情報セキュリティ体制

4.内部監査を行う


内部監査とは、ISO27001、ISO27017の要求事項が満たされていること、構築した文書体系の通り運用されていること、情報セキュリティの計画、実施、確認、対策のPDCAが実施されているかを内部で審査するために行います。

<参考>ISO27017の要求事項を実現するために必要な管理策

ISO27001に則った管理策を元に自組織の文書を構築していると思いますが、ISO27017に関する文書はCSP、CSC両方の立場で文書を作成し追加、修正して構築する必要があります。

以下、構築が必要な管理策例

6.3.1クラウドコンピューティング環境における役割及び責任の共有及び分担

CSPが適切な対応をするための役割分担を明確にし、共有し分担する必要性を示した管理策です。

8.1.5クラウドサービスカスタマの資産の除去

CSPがカスタマの情報を削除する際の取り扱いルールについて必要性を示した管理策です。

9.5.1仮想コンピューティング環境における分離

CSPは利用者が他の利用者から分離している状態や、社内環境からクラウド環境が適切に分離されている状態の必要性を示した管理策です。

9.5.2仮想マシンの要塞化

CSPが自社でサーバー管理をしている場合、サーバインフラのセキュリティ対策を示した管理策です。

12.1.5実務管理者の運用のセキュリティ

CSPが正しい行動マニュアルや手順書などを作成する管理策です。

12.4.5クラウドサービスの監視

CSPが利用者のクラウドの容量や能力を監視する事を示した管理策です。

13.1.4仮想及び物理ネットワークのセキュリティ管理の整合

CSPが物理的な制約を受けないように、仮想サーバー利用の規約を示した管理策です。

5.トップマネージメントレビュー


認証取得前に行う構築システムのトップマネージメントへのレビューを実施し、レビュー結果を記録します。 内部監査、トップマネージメントレビュー記録で指摘された内容は、情報セキュリティ担当組織で、重要度、優先順位、対策を検討し、対応実施の可否の決定、対応する場合の計画を立案する必要があります。

優先順位によって認証審査までに終わらせる、次回中間審査までに終わらせる、などの臨機応変な対応も審査対象となります。

ISO27017の取得企業

国内の取得企業数は執筆時点で453社です。

情報マネジメント認定センター「ISMSクラウドセキュリティ認証取得組織検索 」で確認できます。

まとめ


  • ISO27017はISO27001のアドオン規格。単独での取得はできない

  • ISO27017はISO27001の文書に対してCSP、CSC、両方の立場によってそれぞれの文書を作成する

  • ISO27017の要求事項は、適用範囲・リスクアセスメント、内部監査

コロナ禍にあった2020年~2022年にはリモートワークが当たり前になってきてSaaSサービスの利用はもちろん、数え切らないクラウドサービスが生まれ、提供されてきました。

世界的にもISO27017を取得する動きは高まってきています。クラウドサービスで有名な、AWS(Amazon Web Service)、GCP(Google Cloud Platform)、Azure(Microsoft Azure)も勿論取得されているようです。

情報サービス業においては、情報セキュリティに対するリスクヘッジ、対策や情報セキュリティを運用において証明できる第三者認証は非常に重要です。クラウドサービスを提供している企業だけでなく、利用企業も取得を検討する必要が高まってましたね。

《あわせて読みたい関連記事》


執筆者プロフィール:Masahiko Hatakeyama
ITコーディネーター、ISMS審査員、プロジェクトマネージャーの資格を所有、強みがあります。
SHIFTにJOINして1ヶ月のITおじさんです。
自称フルスタックエンジニア、会社経営経験あり、興味を持ったらとことん突き詰めます。

お問合せはお気軽に

SHIFTについて(コーポレートサイト)
https://www.shiftinc.jp/

SHIFTのサービスについて(サービスサイト)
https://service.shiftinc.jp/

SHIFTの導入事例
https://service.shiftinc.jp/case/

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら

PHOTO:UnsplashShahadat Rahman