ISO27001
COLUMNISO規格の知識コラム(ISO27001)

ISO27001

ISO27017とは?取得の手順やメリットを解説します!

2022.07.14
ISO27017とは?取得の手順やメリットを解説します!

ISO27017は、クラウドセキュリティに関する国際規格で、国際標準化機構(ISO)によって2015年に発行されました。

現在、業務上のデータのやり取りはインターネットが主流となり、昨今ではクラウドサービスの利用が世界的に増加しています。
ネットワーク間での取引は、データ消失や、個人情報の漏洩のリスクが懸念されており、クラウドセキュリティの強化が重要な課題として挙げられています。

当コラムではISO27017はどういうものか、さらに認証取得することでクラウドセキュリティにどのように影響を及ぼすのか等を分かりやすくご説明していきます。

クラウド環境におけるリスク

クラウド環境はインターネットを使用していく上で非常に便利なツールといえます。
しかし、その反面、情報漏洩・データ消失・サイバー攻撃・不正アクセス等の様々なセキュリティリスクもクラウド環境の中には点在しています。

このようなセキュリティリスクに対処する手段として、ISO27017を活用していくことが役に立ちます。

ISO27017って何?

ISO27017は、一言でクラウドセキュリティに関する国際規格と言っても、どういったものか分からない方が非常に多いと思います。

そういった方の為に少し言い換えますと、情報セキュリティ管理策の中でクラウドサービスの提供及び利用に関する部分を作成するためのガイドラインがISO27017となります。

要するに、クラウドサービスのセキュリティ対策を考える上での手引きがISO27017ということになります。

ISO27017を認証取得するためには?

ISO27017を認証取得するためには、まずISO27001(ISMS)を認証取得しなければなりません。
ISO27017のみを認証取得するということは出来ないシステムとなっています。

ISO27017というのは、ISO27001(ISMS)は、一般的な情報セキュリティシステムを構築するためのガイドラインであり、その中でISO27017はさらに詳細にクラウドサービスに特化した情報セキュリティシステムを構築する為のガイドラインとなるので、ISO27001(ISMS)のアドオン取得、つまりISO27001(ISMS)に追加で取得するためのものになります。

簡単に言い換えるとISO27001(ISMS)で構築したシステムをベースとして、ISO27017のシステムを追加するイメージになります。

認証取得したい場合、先にISO27001(ISMS)取得しておくか、ISO27001(ISMS)とISO27017を同時に取得する必要があります。

ISO27001(ISMS)で構築したシステムをベースとして、ISO27017のシステムを追加する

ISO27017を認証取得するメリットは?

ISO27017ってわざわざ認証取得する意味はあるのか?」「ISMSの認証取得だけで十分ではないかのな?」とお考えの方へ、なぜISO27017を認証取得したほうが良いのか、ISO27017を取得することでどんなメリットがあるのかについてご説明いたします。

業務上、データの受け渡し等でクラウドサービスを利用されている又は、クラウドサービスを提供する事業者様は、ISO27017の手引きに沿って業務システムを構築することでクラウドサービスの利用する際におけるクラウドセキュリティ対策に取り組むことができます。
これによって、今まで以上に情報漏洩、データ消失等のリスクを限りなく低減できることがISO27017を取得する最大のメリットです。

さらに、全てのISO認証取得することに共通しているメリットとして、外部に認証取得した証明をすることが可能になり、世界レベルの高度な情報セキュリティを顧客、利害関係者に約束し、信頼を向上させることもできます。

ISO27017を認証できる事業者について

ISO27017を認証取得できる対象となる事業者様は、クラウドサービスを提供している又はクラウドサービスを利用している事業者様に限定されます。

主にクラウドサービスプロバイダ(クラウドサービスを提供している事業者)、クラウドサービスカスタマ(クラウドサービスを利用している事業者)のどちらか、又はクラウドサービスプロバイダであり、クラウドサービスカスタマであるといったどちらも兼ね備えているパターン(クラウドサービスを利用しながら、クラウドサービスの提供を行っている事業者)が該当します。

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

まとめ

ISO27017とは何か、認証した結果どのようなメリットがあるのか、認証の方法、認証出来るのはどういった事業者になるのかをまとめて、簡単にご説明させていただきました。

実際にクラウドサービスを業務上使用されている事業者様は、セキュリティ対策を既に万全に整った状態にされていると思います。

そのため、ISO27017を認証取得するために特別何かしなければいけないことはありません。
ISO27017の規格に沿って、必要なことを既存の業務に追加する又は、必要ではない業務は削減して工数を減らす作業をするだけで、そこまで手間がかかるものではありません。

その結果としてこれまでよりも業務は効率良く、クラウドセキュリティ対策もこれまでよりも万全な体制を構築することができ、さらに顧客・利害関係者の信頼向上にも繋がります。

もし取得に対して不安な場合は、ISO認証取得の為のコンサルタント会社も存在しており、ISO認証取得に対してのお悩みもすぐに解消することができますので、ぜひ前向きにご検討ください。

ISO27017とは何か気になっている事業者様に、当コラムを読んで少しでもご理解いただければ幸いです。

ISO27001(ISMS)に関するよくあるご質問

QISO27001(ISMS)内にある管理策とは何ですか?

特定のリスクの低減を目的として行う対策のガイドラインのことを指します。
現行の規格では、114項目の管理策(達成するための手段)が設けられており、組織の状況に合わせ各項目についての取り組み(社内の運用ルール)を策定します。

Q情報セキュリティって何ですか?

情報セキュリティ(ISMS)とは、情報の機密性・完全性・可用性を維持し、かつ、リスクを適切に管理することを言います。

Q情報セキュリティにおけるリスクにはどんなものがありますか?

そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。

「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。

「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。

QISO27001(ISMS)とPマークとの違いは?

対象となる範囲が異なります。
Pマーク(PMS)は個人情報が対象となり、ISO27001(ISMS)は組織や企業が所持している情報資産(個人情報も含まれうる)が対象となります。

範囲で言うとISO27001(ISMS)の方が多岐にわたります。

  • SNSでシェアする

株式会社GCERTI-JAPANはISO審査機関(ISO認証機関)です。
ISO9001・ISO14001・ISO27001・ISO45001に関する審査及び審査に関するセミナー・研修の企画、運営についてお困りの際はお気軽にご相談ください。経験豊富な現役のISO審査員がお応え致します。

最後までお読みいただきありがとうございました。

北村 一真
北村 一真ISO審査員

お客様にとって分かりやすい審査を心掛けていきたいと考えております。 一審査員として、お客様に認めて頂けるように努めてまいりますので、よろしくお願い致します。

お問い合わせはこちら
お問い合わせはこちら
見積もり依頼 お問い合わせ
Social media & sharing icons powered by UltimatelySocial