今回は、最近情報セキュリティ界隈をにぎわしているクラウドセキュリティに特化した認証、ISO27017について解説します。

クラウドサービスの利用者が増える一方、リスクを認識して敬遠する人も多い

ここ数年、「クラウドサービス」が、企業活動においても盛んに導入されるようになってきました。

クラウドサービスは、たった数クリックで様々なサービスを利用することができ、また、多くの場合、自社でシステムを構築するよりも安価で利用することが可能です。

そのような便利なクラウドサービスではありますが、多くの企業が、自社システムへ、クラウドを導入することにためらいを感じていることも事実です。

クラウドサービスの導入の妨げの原因となっている最も大きな理由が、「セキュリティ面に不安がある」ということです。

実際、クラウドサービスの利用には、今までにない新たな脅威やリスクが付きまといます。

具体的には、

• 預けたデータが流出してしまう
• データの保存場所が不明で、利用者の管理の手が届かない
• サービス終了時に、データがクラウド上に残ったままになる恐れがある

などといった脅威やリスクが考えられます。

しかし、「リスクがあるから、クラウドサービスを利用しない」という選択をするのは、やや安直です。

リスクを管理してクラウドを利活用する

今後の企業活動を進めていくためには、クラウドのリスクをいたずらに恐れるのではなく、しっかりと管理（リスクマネジメント）しつつ、クラウドの恩恵を積極的に享受していくことが必要です。

その、「クラウドのリスクマネジメント」を手助けするのが、「ISO27017」なのです。

また、このように多くの利用者がクラウド技術とそのセキュリティに興味を持っている中、クラウドサービスの事業者も、それを傍観しているわけにはいきません。

事業者は、利用者から預かる情報を適切に管理するために、情報セキュリティ体制を構築し、それを対外的に積極的にアピールしていくことが求められています。

クラウドサービスの提供者も、ISO27017の枠組みを利用することで、適切なクラウドリスクの管理手法を取り入れ、かつ、対外的に情報セキュリティ体制を積極的にアピールすることが可能です。

これらから分かるように、ISO27017は、クラウドサービスの提供者と利用者の双方に適用することが可能な規格です。

クラウドサービスの利用者は、自社が安全にクラウドサービスを利用するために、ISO27017を利用することができますし、クラウドサービスの提供者は、自社の提供するサービスのセキュリティレベルを高め、対外的にアピールするためにISO27017を利用することができます。

そのように、クラウドサービス提供側/利用側を限定せずに取得できる規格であるという点も、注目を集める一つの要因でしょう。

LRMのISO27017コンサルティングページはこちら！