ISO27017とは?ISO27001との違いや要求事項の詳細について解説します
目次[非表示]
ISO/IEC 27017 とは
ISO/IEC 27017 は、国際標準化機構(ISO)と国際電気標準会議(IEC)によって共同で開発されたクラウドサービスに対する情報セキュリティに関する国際規格です。2015年に初めて発行され、ISO/IEC 27017:2015 が最新版となっており、ほぼ同じ内容の国内規格である JIS Q 27017:2016 も存在しています。
ISO/IEC 27017 は、ISMS 構築の実践的なセキュリティ管理策を定めた ISO/IEC 27002 に対し、特にクラウドサービスに関連した管理策を追加するものであり、クラウドサービスプロバイダ(クラウドサービスの事業者)およびクラウドサービスカスタマ(クラウドサービスの利用者)に対して提供されるものとされています。
ISO27017の構成
ISO/IEC 27017 では、1章から18章までの本文と、クラウドサービス特有の拡張管理策集である付属書A、クラウドコンピューティングの情報セキュリティリスクに関する参考文献をまとめた付属書Bから構成されます。
なお、実際の本文は日本規格協会グループのウェブサイトで入手可能です。
本文 4.クラウド分野固有の概念
ISO/IEC 27017 は、多くの部分を ISO/IEC 27002 から引用していますが、4章「クラウド分野固有の概念」については ISO/IEC 27017 のみに記載されているクラウドサービス特有の要求事項です。
4.1 概要
概要の節では、クラウドサービス固有の情報セキュリティの脅威とリスクに対処するため、ISO/IEC 27002 の管理策を汎用的に適用できるということのほか、ISO/IEC 27017 の管理策がクラウドサービスの技術や運用に伴うリスクを低減するために適用できることが示されます。
4.2 クラウドサービスにおける供給者関係
クラウドサービスにおける供給者関係の節では、クラウドサービスの利用と提供にあたってサプライチェーンを形成する可能性について示されます。例えばあるSaaSを提供するクラウドサービスプロバイダ(CSP)が、そのインフラ基盤として別のプロバイダの提供するIaaSを利用する場合、このSaaSを提供するプロバイダは、同時にクラウドサービスカスタマ(CSC)となります。ISO/IEC 27017 の規格は、このようにひとつの組織がクラウドサービスプロバイダとクラウドサービスカスタマ両方の立場を持つ場合にも適用されます。
4.3 クラウドサービスカスタマとクラウドサービスプロバイダとの関係
この節では、クラウドサービスカスタマとクラウドサービスプロバイダとの関係について示されます。クラウドサービスカスタマのビジネスプロセスはクラウドサービスプロバイダの情報セキュリティに依存しうるため、それを考慮してクラウドサービスを選定する必要があること、その上で自らのセキュリティ要求事項に適合するようにクラウドサービスの利用を管理することが望ましいとされます。
4.4 クラウドサービスにおける情報セキュリティリスクの管理
この節では、クラウドサービスにおける情報セキュリティリスクの管理について示されます。ISMSの要求事項については ISO/IEC 27001 を、情報セキュリティリスクマネジメントの指針については ISO/IEC 27005 を、クラウドサービス特有のリスクについては ISO/IEC 27017 の付属書Bを、それらのリスクに対処する管理策については付属書Aを参照するよう解説されます。
4.5 規格の構成
規格の構成の節では、クラウドサービスプロバイダとクラウドサービスカスタマそれぞれへの手引きが違う場合の指針の記載方法について解説されます。
ISO27017特有の管理策
付属書Aに記載されている ISO/IEC 27017 で拡張された管理策は以下の7項目です。
- CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
- CLD.8.1.5 クラウドサービスカスタマの資産の除去
- CLD.9.5.1 仮想コンピューティング環境における分離
- CLD.9.5.2 仮想マシンの要塞化
- CLD.12.1.5 実務管理者の運用のセキュリティ
- CLD.12.4.5 クラウドサービスの監視
- CLD.13.1.4 仮想及び物理ネットワークのセキュリティ管理の整合
ISMSクラウドセキュリティ認証とは
ISMSクラウドセキュリティ認証とは、組織がクラウドサービスを提供・利用する際に、ISO/IEC 27017:2015に規定されるクラウドサービス固有の管理策がその組織のISMSの中に組み込まれ実施されていることを認証するものです。ISMSクラウドセキュリティ認証は、ISMS認証のアドオン認証として取得されることを意図しており、単独での取得はできません。ISMS認証と同時か、ISMS認証の取得後にISMSクラウドセキュリティ認証を取得する必要があります。
国内では、日本情報経済社会推進協会(略称:JIPDEC)が定めた「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」に基づいてISMSクラウドセキュリティ認証の審査が実施されます。認証機関の認定を行う一般社団法人情報マネジメントシステム認定センター(略称:ISMS-AC)は、「JIP-ISMS517-1.0はISMS-AC独自の基準であり、ISMSクラウドセキュリティ認証も基本的には国内のISMS認証組織を対象にしている」としています。
FAQ1: 制度一般(ISMSクラウドセキュリティ)| JIPDEC
ISO27017に関連するその他のISOファミリー
ISO/IEC 27017 に関連するISO/IEC規格には他にも以下のようなものがあります。
ISO/IEC 27001: ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)の要件を定義する国際規格です。
ISO/IEC 27002: ISO/IEC 27002は、情報セキュリティに関する汎用的かつ実践的な指針を提供する規格です。
ISO/IEC 27018: ISO/IEC 27018は、クラウドサービスプロバイダーが提供するパブリッククラウドで個人情報(PII)を扱う場合に、それらを適切に保護するための指針を提供する規格です。
(編集:Assured編集部)
