5. ISO27017管理策解説(クラウドサービスプロバイダ)

ここでは、ISO27017管理策の解説をしていきます。
今回は、『18.1.1 適用法令及び契約上の要求事項の特定』~『18.2.1 情報セキュリティの独立したレビュー』まで解説します。

※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。

18.1.1 適用法令及び契約上の要求事項の特定

クラウドサービスは、国境をまたがって提供される可能性があるため、場合によっては利用者との間で、どの国の法令が適用されるのか、問題となってしまう可能性があります。その為、この管理策ではあらかじめ利用者に対して、サービスの利用に関して適用される法令、いわゆる「準拠法」を明らかにしておくことを求めています。

実践の方法としては、契約書や利用規約などに「準拠法は日本法です」と記載しておくことが一般的でしょう。また必要に応じて、クラウドサービスの提供に関して自社が遵守すべき法令や規制等を特定し、その遵守状況を利用者に提供することも大切です。

最終的な法令や規制の遵守の責任はクラウドサービス利用者側にあるため、クラウドサービス提供者側が遵守する必要のある法令は少ないかもしれません。
しかしながら自社のクラウドサービスは、こういった法令や規制に対応しています、と広く公開することは、双方にとって利益をもたらします。

例えば、クレジットカード情報を取り扱うシステムであれば、PCI-DSSに準拠していることを利用者に公開すれば、利用者はある程度は信頼してクレジットカード情報を預託することが出来ますし、提供者側の安全性のアピールにも繋がります。

18.1.2 知的財産権

クラウドサービスを提供/利用することと、知的財産権との間には、切っても切り離せない関係があります。
一例ですが、頻繁に議題に上がるものに以下の問題があります。

  • 個人利用のみが許可されている著作物を、クラウド環境上に保管・コピーして良いのか
  • クラウド上にアップロードされたコンテンツの著作権はどちらに帰属するのか
  • クラウド上にある利用者のデータ(ログデータ含む)を、提供者が統計的に利用することは許されるのか

こういった権利関係は、あらかじめ利用規約や契約書などで明確に定めておくことが必要です。
また、この管理策では、そのような権利に関する、利用者からの苦情(英語版ISO/IEC 27017では ”complaints” という用語が利用されています)を受け付ける窓口を作ることが求められています。

必ずしも、よくある「個人情報に関する問い合わせ窓口」のように、目的を示した問合せ窓口を用意する必要はありませんが、利用者とのコミュニケーションが取れる何らかの問合せ窓口(電話、メール、フォームなど)を設置し、そこから、利用者からの苦情を吸い取れるような仕組みを作る必要があります。
また、利用者から寄せられた苦情を、社内で検討して、適切な返答を返す、もしくは、必要によってサービス内におけるデータの取扱いを改善すると言った、問合せを受けてからクローズするまでの「プロセス」を作ることも大切です。

18.1.3 記録の保護

管理策12.4.1では、利用者に対してログに関する「機能を提供する」ことが求められていましたが、この管理策では、ログの保護に関する情報を提供することが求められています。

セキュリティに関心のあるサービスの利用者は、クラウドサービスの中ではどういったログが取得されて、何年間参照できるのか、と言った内容に興味を持っているケースが多いです。

興味だけではなく、法令規制等に遵守するため、「このデータに関するログは最低X年間保持しなければいけない」というルールが、要件として決まっているサービス利用者もいるでしょう。

そのような利用者に対し、「このサービスでは~というログを取得しており、~年間保持されます、その間、利用者はログを自由に参照することができます」といった内容を通知する必要性があります。
しかし、実際のところは、上記のようにわざわざ明文化して利用者に通知する必要はなく、12.4.1と組み合わせて、「ログ取得機能の提供」と、「参照できるログの期間の明示」の2点があれば、問題ないケースが多いです。

18.1.5 暗号化機能に対する規制

この管理策は、10.1.1で検討した内容とよく似ています。
具体的な実践の方法としては、利用者に対して「このクラウドサービスでは、このような暗号化が実施されています」ということを通知する、などが挙げられます。

では、10.1.1と何が違うのかというと、その違いは手段ではなく目的にあります。 10.1.1では、暗号化に関する情報の公開は「利用者の情報を保護するため」でした。イメージとしては「XXという強い暗号化方式を利用しているので、情報は安全に保護されます」といった感じです。

しかしこの18.1.5では、「利用者が法令・規制などを遵守するため」の公開になります。イメージとしては「XXという暗号化方式で暗号化しています。この暗号化方式は、御社の社内ルールや法令規制と比べて不足していないか、しっかり確認してください」というニュアンスです。
実践の内容に大きな差はありませんので、10.1.1を適用していれば、18.1.5において、追加で実施すべき内容は、あまりないケースがほとんどでしょう。

18.2.1 情報セキュリティの独立したレビュー

いままでご紹介した通り、JIS Q 27017では、クラウドサービス提供者が実施する必要がある管理策がいくつも登場しました。これらの管理策を実践し、情報公開することで、利用者はクラウドサービスのセキュリティレベルを把握しやすくなります。

ところで、情報公開のよくある失敗に、「昔の情報を乗せっぱなしにしてしまい、適切に更新されていない」などの例があります。たとえば、1年前に「バックアップは5世代分保持します」と情報公開したけれども、今はシステムの仕様が変わっており、世代数を確認してみると、実は2世代分しか保持されていなかった、といった具合です。
このような事態を防ぎ、公開した情報が適切に実施されていることを証明するために、この管理策では「クラウドサービス提供者が実施していると主張しているセキュリティ対策が、本当に実施されていることの証拠を示す」ことが必要になってきます

とはいっても、「証拠」とは何なのか難しい問題です。一般的によくある「証拠」が、認証機関による「認証」です。例えば、やや逆説的ですが、ISO27017に基づいたクラウドセキュリティ認証を取得していることを表明することは、サービス提供者自らが定めたセキュリティルールに則ってサービス運用が行われていることの証明になり、この管理策を満たすことができます。
もし、何の認証も取得していない場合や、これから認証取得を目指す場合などは、客観的な立場から実施された内部監査の結果を証拠として用いることもできます。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
ISO27017認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る