ISMSクラウドセキュリティ認証とは｜ISMSとの関係やメリット | セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン

LRMがお客様とクラウドセキュリティ認証（ISO27017）のお話をすると、以下のことをよく言われます。

「ISO 27017準拠のAWSを利用ではダメですか？」
「なぜウチのサービスまで認証が必要なのですか？」

もちろん、認証準拠のAWS等がサービス基盤だと公表すれば、ユーザーから一定の信用が得られます。そのため、認証取得の必要性をそこまで感じないのかもしれません。
しかし、クラウド基盤の適切な取り扱い方を知らないと、セキュリティリスクの恐れがあります。ISO27017認証があるとユーザーも安心するでしょう。また、利用しているサービス基盤を公表することは、サービス基盤の脆弱性が発生した場合に自社サービスを危険にさらすことにもなりかねません。

この記事では、ISMSクラウドセキュリティ認証とISMSの関係性や認証取得の意義、認証普及の背景について説明します。

また、こちらの資料は、ISO27017の管理策79個をひとつひとつ弊社現役のセキュリティコンサルが一言解説した一覧表です。規格の予習復習や様々な用途にお使いいただけますので、まずは無料でダウンロードしてご確認ください。

保存版！全79項目で規格の総ざらい！ ISO27017管理策解説一覧表: 現役コンサルタントによる規格一覧一言解説表(無料)

ISMSクラウドセキュリティ（ISO27017）認証とは
提供サービスがISO27017に準拠するメリット
1. AWS、Googleクラウド、AzureのISO27017準拠の状況
Microsoft Azure
ISMSクラウドセキュリティ認証を取得する意義
ISMSクラウドセキュリティ認証を取得するには
ISMSクラウドセキュリティ認証の要求事項
ISMSクラウドセキュリティ認証が広がる背景
まとめ

ISMSクラウドセキュリティ（ISO27017）認証とは

ISMSクラウドセキュリティ（ISO27017）認証とは、クラウドサービスの「提供」または「利用」においての情報セキュリティに関する第三者認証です。
この認証を受けることにより、クラウドサービスのセキュリティ管理策が適切に実施されている組織であることを示せます。

ISO27017はアドオン認証で、基になるISMS（ISO/IEC 27001）認証取得を前提とした認証規格です。ISO27001の発行は2005年とやや古く、クラウドサービスの普及によるニーズに応え、2015年にISO27017が発行されました。

ISO27017規格の立ち位置はやや複雑です。
ISO27017の規格文書名は『ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範』です。つまり、以下の表で示す構造になっています。

規格名	規格の種類	定義や追記内容
上位 ↑ ↓ 下位	ISO27001	認証規格	以下を定義 ISMS認証基準管理策
ISO27002	参照規格	ISO27001の管理策に細目追加
ISO27017	ISO27001のアドオン規格	ISO27002の各細目にクラウドサービスに関する内容を追加

規格名

規格の種類

定義や追記内容

上位

↑

↓

下位

ISO27001

認証規格

以下を定義

ISMS認証基準
管理策

ISO27002

参照規格

ISO27001の管理策に細目追加

ISO27017

ISO27001のアドオン規格

ISO27002の各細目にクラウドサービスに関する内容を追加

ISO27017認証を理解するポイントは、「ISMS（ISO27001）の認証取得が前提」「クラウドサービスのセキュリティ管理を定義している」の2つとなります。

ISO27001、ISO27002に関しては下記の記事もご参照ください。

ISO/IEC 27001 附属書Aと27002の違い｜概要と解説

「ISO/IEC 27001 附属書A」と「ISO/IEC 27002」は、いずれもISMSの管理策について言及している企画です。それぞれの内容や関連性についてご紹介しております。ISMSの構築にかなり重要な内容ですので、ぜひお付き合いください。

提供サービスがISO27017に準拠するメリット

自社のクラウドサービスがISO27017に準拠していることは、すなわち以下の宣言になります。

クラウド特有のリスクに配慮したセキュリティの実装
コンプライアンス上、問題のないクラウドサービスの運用

つまり、第三者認証により「クラウドセキュリティに配慮」「組織体制と適切な対応」が証明され、ユーザーからはサービスの安全性の評価に繋がります。「誰もが使っているサービスだからセキュリティも問題ないはず」という曖昧な評価ではなく、明確な規格に沿った評価を得られることが大きなメリットです。

AWS、Googleクラウド、AzureのISO27017準拠の状況

クラウドサービスの大手3社Amazon Web Services、Google Cloud、MicrosoftのAzureの各サービスにおけるISO27017準拠の状況を紹介します。

AWS

対象サービス	こちらを参照
対象拠点	データセンター米国、カナダ、EU、日本、韓国、香港、シンガポール、オーストラリア、インド、南米、中東、南アフリカ「AWS Edge」拠点世界各地
ISO27017準拠の証明書	こちらを参照

AWSはオランダの認定機関（認証機関の管理組織）が認定した「EY CertifyPoint」からISMSクラウドセキュリティ認定を受けています。なお、この認定機関は国際認定機関フォーラム (IAF) の加盟会員なので、取り決めにより世界の17の国と地域で認証の効力があります。よって日本はもちろん、グローバルに認証が自動適用されます。

IAF加盟の日本のISMSクラウドセキュリティ認定機関は「ISMS-AC」です。国内外で事業展開していたり、国外のクラウドサービスを利用しているなら、まずはISMS-AC認定の認証機関を検討してみましょう。

Google Cloud

第三者認証機関	EY CertifyPoint、Coalfire ISO（Apigee Edge製品）
対象サービス	Google Cloud Platform、Google Workspace、Chrome、Apigee Edge（各サービス群の詳細リストはこちらを参照）
対象地域	北米、ラテンアメリカ、欧州・中東・アフリカ、アジア太平洋
対象拠点	データセンター米国、カナダ、EU諸国・英国・スイス、日本、韓国、台湾、香港、シンガポール、インドネシア、オーストラリア、インド、ブラジル、チリオフィス拠点世界各地
ISO27017準拠の証明書	Chromeはこちらを参照他のサービスはこちらを参照

Microsoft Azure

対象サービス	こちらを参照
対象拠点	グローバル
ISO27017準拠の証明書	こちらを参照

ISMSクラウドセキュリティ認証を取得する意義

ISO27017に準拠したクラウドのIaaS（AWS、Google Cloud、Azure等）の利用は、そうでないサービスよりも外部脅威のリスクやコンプライアンス違反を未然に防ぎやすくなります。

しかし、いくら高度なパスワードの設定や、ログ監視機能をサービス側が提供していても、ユーザーが活用できなければ意味がありません。脆弱性が生まれたり、法令違反に発展することも往々にしてあるものです。

2017年にはAWSのストレージサービス「Amazon S3」のユーザーによる設定ミスで、誰もが情報にアクセスできる状態だった事例がいくつも表面化しました。結果的に数百万から一千万人規模の個人情報が外部に事実上公開されていたといいます。これらはユーザーがクラウドサービスの適切な運用ができず、セキュリティリスクが顕在化したわかりやすい例です。

ISO27017にはクラウドサービスのユーザーや提供事業者がとるべき「管理策」が載っています。
管理策はクラウド・セキュリティのベストプラクティス集ともいうべき規範です。これに沿ってISMSを再検討、実践することでクラウド固有のリスクに備えたりコンプライアンスを確保できます。

また、認証取得には中立な第三者機関の審査を経るため、対外的な信頼を得やすくなります。

ISMSクラウドセキュリティ認証を取得するには

ISMSクラウドセキュリティ認証を取得する前提として、まずISO/IEC27001（ISMS）認証の取得が必要です。ISMS認証審査と同様、専門の審査機関から受審します。審査の所要期間はISMS認証とほぼ同じで、審査工数はISMS認証の4～7割程度とされています。

なお、ISMS認証とISMSクラウドセキュリティ認証の同時取得も可能ですが、それなりの準備期間やリソースの用意が必要になります。

現役ISMSコンサルタント監修！ISO27017管理策解説一覧表(無料)

ISMSクラウドセキュリティ認証の要求事項

ISMSクラウドセキュリティ認証の要求事項は、一般財団法人日本情報経済社会推進協会(JIPDEC)により「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項（JIP-ISMS517-1.0）」として公開されています。本項ではその概要について紹介します。

ISMSクラウドセキュリティ認証を得るためには下記を定める必要があります。ISMSの確立、実施、維持および継続的改善にクラウドサービス固有のリスクへの対応を組み込むことを目的とします。

クラウドサービスを含む情報セキュリティマネジメントシステム適用範囲の決定

クラウドサービス提供およびクラウドサービス利用の両者で必須となります。

ISO/IEC 27017の企画に沿ったクラウド情報セキュリティ対策の実施

クラウド情報セキュリティ対策の実施について、特に下記の2点が必要となります。

情報セキュリティリスクアセスメント
情報セキュリティリスク対応

内部監査

ISMSの内部監査と同様に適正に要求事項が定められ、有効に実施・維持されていることを確認するため、定期的な内部監査の実行が必要です。

ISMS認証の要求事項に加え、クラウドサービス固有のリスクへの対策が定められていることがポイントとなります。

ISMSクラウドセキュリティ認証が広がる背景

今やクラウドサービスは社会生活だけでなく、企業の業務においても欠かせないツールになってきています。昨今の情報セキュリティに対する世間の目は厳しく、クラウドサービスにおいてもしっかりとしたセキュリティ対応が求められています。

また規模を問わずクラウドサービスが林立し、ユーザーの選定基準に「セキュリティの担保」が入ってくるようになっています。
特に顧客から競合他社サービスとの比較・検討において、ISMSクラウドセキュリティ認証の有無が重視されることがあります。導入時に提供サービスのセキュリティ対応の状況を文書でヒアリングしてくるケースがあり、ISMSクラウドセキュリティ認証取得は対応可能な証左となります。

「業界の慣習」「国・地域の制度」を考慮し、クラウドセキュリティの体制強化を求め、認証を取得する動きも見られます。たとえば、高いセキュリティが求められる金融機関を顧客に持つ事業者や、GDPR（個人情報保護法）を制定したEUを主戦場とする企業です。

また将来的にISMSクラウドセキュリティ認証が広く認知されるようになれば、クラウドサービスを利用した業務委託において、発注先の信頼性を客観的に評価する判断基準となる可能性があります。

まとめ

ISMS認証の取得をきっかけに、または継続審査のタイミングで、同時にISO27017の拡大審査を希望されるクラウドサービス提供企業/利用企業が年々増加しています。
LRMもAWS利用と「セキュリオ」の開発/運用/保守においてクラウドセキュリティ認証を取得済みです。ISO27017認証に興味を持たれましたら、まずはお気軽にLRMにご相談ください。

また、こちらの資料もISO27017取得にお役立ていただけますので、ぜひとも無料でダウンロードしてご活用ください。