自社のクラウドサービスのセキュリティを訴求したいために、ISO27017認証の取得を検討している企業は多いと思います。
もちろん、ISO27017は国際的なクラウドセキュリティの規格であり、それに準拠することで、サービスとしてセキュリティレベルが保たれていることを広く公表することができます。
しかし、厳密な話をするならば、ISO27017認証は、「クラウドサービスに対する認証制度」ではなく「クラウドサービスを提供もしくは利用する組織に対する認証制度」であることは意外と知られていません。
ほとんどの場合において、これらの差は意識する必要はありませんが、社内で認証取得を主導する担当者の方は理解しておいても良いかもしれません。
以下、ISO27017が「クラウドサービスに対する認証制度ではない」理由をご説明します。
「製品又はサービスそのものに対する認証ではない」と「JIP-ISAC100」に明記されているから
ISO27017/ISMSクラウドセキュリティ認証を取得する企業に対する要求事項は「JIP-ISMS517」でしたが、同様に、ISO27017/ISMSクラウドセキュリティ認証を審査する審査機関に対する要求事項として「JIP-ISAC100」が存在しています。
その「JIP-ISAC100」には、この認証制度の適用範囲について、以下のような記述があります。
ISMSクラウドセキュリティ認証は組織に対するマネジメントシステム認証であり、製品又はサービスそのものに対する認証ではない。
(JIP-ISAC100より引用)
しかし、既にISO27017/ISMSクラウドセキュリティ認証を取得している企業は、よく「XXサービスでISO27017認証を取得!」と銘打っています。
しかし、一概にそれらの企業が間違った主張をしているとは言い切れません。その理由を、以下ではご説明します。
認証書などに記述される適用範囲の中で、「サービス名を明確にしなければならない」から
JIP-ISAC100には、以下のような記述も見られます。
ISMSクラウドセキュリティ認証の認証文書では、 (中略) 認証文書の適用範囲の記述の中でクラウドサービスが特定でき、誤解を招かない表現で明確に記載しなければならない。
(JIP-ISAC100より引用)
これはつまり、認証書などに記述される適用範囲の中に、サービス名を具体的に書く必要があるということを意味しています。
さっきは「組織に対する認証」と書いてあったのに、こっちでは「サービス名を明確にしなければならない」と書かれていることにたいして、やや疑問を抱かれる方も多いと思います。
その疑問はもっともで、適用範囲の記述方法は、ややまどろっこしい表現になります。
例えば、国内で初めてISO27017認証を取得した、ワークスアプリケーションズ様の適用範囲は以下のようになっています。
HUE(AI WORKS)、MKS、@SUPPORTの提供に係るクラウドサービスプロバイダとしてのシステム運用・保守、及びアマゾンウェブサービスのクラウドサービスカスタマとしての利用に係るISMSクラウドセキュリティマネジメントシステム
サービス名を詰め込み、かつ組織を表す表現にした結果、こういった表現にならざるを得なかったのでしょう…
今回の内容をまとめると、まずISO27017/ISMSクラウドセキュリティ認証は、「サービス認証」ではなく「組織に対する認証であること」、しかし、認証範囲には具体的なサービス名の記述が要求されていること、その結果、適用範囲の記述は若干まどろっこしい表現になる、ということをお伝えしました。
とはいっても、取得検討段階で、このまどろっこしい表現を考える必要はありません。最低限、(1)CSPとして提供しているサービス、(2)CSCとして利用しているサービス、の2つの内容を明確にしておけばよいでしょう。
認証範囲の具体的な記述方法については、審査機関が決まってから、その機関と打ち合わせの上決定することをお奨めします。
LRMがご提供するISO27017認証取得コンサルティングについてはこちら!