ISO27017認証（ISMSクラウドセキュリティ認証）が話題になっているが、自社はISO27017認証を取得すべきか否か、悩んでいる企業様も多いのではないでしょうか。

そんな企業様向けに、ISO27017を取得すべきがどうかを判断するための2つの基準を紹介します。

今回は、クラウドサービスを提供する「クラウドサービスプロバイダ」の立場に立ってご紹介します。

また、あくまで検討のための基準ですので、以下に当てはまらないからと言って、ISO27017認証を取得する意味がない、もしくは取得できないというわけではありません。

セキュリティを差別化要因としている/していきたいサービスか

最も大きな要素は、「セキュリティ」を自社サービスの差別化要因としている、もしくはする予定があるかどうかです。

セキュリティ問題が頻繁に報道されるなか、「機能が充実している」や「使いやすい」などといった、利用者がサービスを選択するための判断材料の中に、「セキュリティがしっかりしている」という要素が考慮され始めています。

そういった状況の中で、競合他社との差別化を図るために、セキュリティレベルを積極的に高め、アピールしていきたいと考えているサービスの場合は、ISO27017認証の取得をオススメします。

認証を取得することで、クラウドセキュリティのレベルを客観的に認められることになるからです。

逆に、現段階ではとりあえず最低限のセキュリティレベルだけをクリアすれば十分、機能面で積極的にユーザーに押し出していきたい、というサービスの場合は、認証の必要性はそこまで高くないかもしれません。

開発、運用の現場の協力を得ることが出来るか

27017認証は、社内文書や様式の作成だけで取得できる認証ではありません。ISO27017規格に掲載されている管理策(セキュリティ対策)を必要に応じて採用し、自社のサービスのセキュリティレベルを高めていく必要があります。

そのためには、開発や運用を行っている人員の協力が必要です。

ISO27017の管理策を見る限り、大きく開発運用の業務フローが変化することはないと思いますが、場合によっては新しい機能の開発(多要素認証システムの導入、ログイン履歴閲覧機能の提供など)や、利用しているサービスの確認、新たなログやバックアップの取得、などと言った対策を実施する必要は考えられます。

もし協力が得られない場合は、管理策を実施することが出来ず、認証取得から一歩遠のいてしまう可能性があります。

だからこそ、ISO27017認証の取得は、通常のISMSの取得にも増して、現場の協力が必要となってくるのです。

そのため、自社の開発運用部門が取り組みに協力してくれるのかどうかが、認証取得へ舵を切るかどうかの大きな判断材料です。

以上、大きく2つの判断材料をご紹介しました。

もちろん、これ以外にも判断材料はいくつも存在しますし、上記に当てはまらないからといって、認証が取得できないわけではありません。

ポイントは「認証取得」だけに囚われすぎず、自社サービスの展開のための戦略の一つとして「認証取得」を検討することです。

適切に利用すれば、大きなアピールポイントとなるISO27017認証ですので、ぜひ有効活用してみてはいかがでしょうか。

LRMがご提供するISO27017認証取得コンサルティングについてはこちら！