ISO/IEC 27017は、国際標準化機構 (ISO) と国際電気標準会議 (IEC) の下に設置された ISO/IEC JTC 1/SC 27 小委員会により公開された、クラウドサービスプロバイダとその利用者が、より安全なクラウド環境を構築し、セキュリティ問題のリスクを軽減するために開発されたセキュリティ基準[1][2]ISO/IEC 27002をベースとして、不足していたクラウド環境におけるセキュリティ管理策を補い作成された、情報セキュリティマネジメントにおいて推奨されるベストプラクティスを提供するISO/IEC 27000 シリーズの規格である。

規格の正式名称と対応するJIS規格は次のとおり

  • ISO/IEC 27017 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
  • JIS Q 27017 情報技術 − セキュリティ技術 − JIS Q 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範

概要

編集

ISO/IEC 27017 は、情報セキュリティ管理策を取り入れようとするクラウドサービスの利用者、ならびに、それをサポートするクラウドサービスプロバイダへ向けて、ガイドラインを提供する。ただし、適切な情報セキュリティ管理体制の選択やガイドラインが推奨する管理策の適用は、そのリスク評価に加えて、あらゆる法的、契約上、規制上の要件、また、クラウドを活用する部門固有の情報セキュリティ要件の影響を受け、異なってくる[3]

この規格は、ISO/IEC 27002で指示されている37の管理策に、クラウドサービスに関連する、以下の7つの管理策を追加することにより、クラウドサービスにおいて適用可能な情報セキュリティ管理のガイドラインを示している[4][5]

  • クラウドサービス利用時の役割および責任の明確化
  • サービス終了時の資産の除去または返却
  • 仮想環境の分離保護
  • 仮想マシンの適切な構成
  • クラウドサービスの管理操作手順
  • クラウドサービス利用者による監視
  • 仮想と物理ネットワーク環境の調整

認証制度

編集

クラウドサービスの市場が増進するにつれて、利用時のセキュリティに対しての懸念が広がっており、ISO/IEC 27017 の認証規格としての需要が高まっている[6]。クラウドサービスの大手である、GoogleAmazon.comマイクロソフトは、自己のウェブサイト上にて認証取得を公表している[7][8][9]

日本国内では、2016年に情報セキュリティマネジメントシステム (ISMS) を取得する組織に対して、ISO/IEC 27017 に適合することを認定する第三者認証制度として、「ISMSクラウドセキュリティ認証制度」を開始した[10]

2025年10月26日改訂版が発行予定である[11]

脚注

編集
  1. ^ 国際標準化機構 (ISO). “ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services” (英語). 2021年2月2日閲覧。
  2. ^ テュフズード. “BS EN ISO/IEC 27001:2017 – What is ISO 27017?” (英語). 2021年2月2日閲覧。
  3. ^ 国際標準化機構 (ISO). “ISO/IEC 27017:2015(en) Introduction” (英語). 2021年2月2日閲覧。
  4. ^ BSIグループ. “ISO/IEC 27017” (英語). www.bsigroup.com. BSI Group. 2021年2月2日閲覧。
  5. ^ BSIグループ. “Extending ISO/IEC 27001 into the Cloud A Whitepaper” (PDF) (英語). www.bsigroup.com. BSI Group. 2021年2月2日閲覧。
  6. ^ 打川和男 (2017年3月7日). “クラウドセキュリティ規格解説:Microsoft、Google、AWSも取得した「ISO/IEC 27018」とは? (1/2)”. www.atmarkit.co.jp. 2021年2月2日閲覧。
  7. ^ Google LLC. “ISO/IEC 27017”. 2021年2月2日閲覧。
  8. ^ Amazon Web Services, Inc. “ISO/IEC 27017:2015 コンプライアンス”. 2021年2月2日閲覧。
  9. ^ Microsoft Corporation (2020年12月4日). “ISO/IEC 27017:2015 情報セキュリティ コントロールの実施基準”. 2021年2月2日閲覧。
  10. ^ 一般社団法人情報マネジメントシステム認定センター (ISMS-AC) (2016年8月1日). “ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証について” (PDF). 2021年2月2日閲覧。
  11. ^ 関連規格の開発動向 | 日本規格協会(JSA)”. www.jsa.or.jp. 2024年5月14日閲覧。