ISO/IEC27017とは
ISMSクラウドセキュリティ認証は、ISO/IEC27017を母体とし、
クラウドサービスについて定めた認証です。
クラウドサービスが流行する前は、自社のオンプレサーバでサービスを運用していたため、品質については自社が把握することができました。一方クラウドサービスは品質が不透明になりがちであったり、データが集約されているという性質から攻撃者に狙われやすくなるという側面があります。
そこでクラウドサービスを安全に利用してもらえるよう、リスク対策基準を策定する目的で、
ISO/IEC 27001の上乗せ規格としてISO/IEC27017が定められました。
規格の詳細は以下の記事もご参考ください
- ISO/IEC27017とは https://secure-navi.jp/blog/000011
- 27001と27017の違い https://secure-navi.jp/blog/000152
ISMSクラウドセキュリティ認証とは
改めてISMSクラウドセキュリティ認証について説明します。
ISMSとは違い、27017に対する認証は日本のみで制度化されています。
JIPDECが「JIP-ISMS517」にて「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項」として取りまとめており、ISMS認証取得が前提となります。ISMSと同時取得も可能ですし、ISMS取得後に別途取得することも可能です。
認証制度の詳細は以下をご参照ください。
- ISMS-AC https://isms.jp/isms-cls.html
- JIPDECのFAQ https://www.jipdec.or.jp/project/smpo/FAQ1_ISMS_cloud.html
- ISO/IEC 27001:2022との関係性 https://isms.jp/topics/news/20230808.html
上記のように、基本的にはISMS-ACが定めているため、審査機関の選定についてはご注意ください。
ISMS認証審査を依頼した審査機関でも、ISMSクラウドセキュリティ認証の審査ができない場合があります。
ISMSクラウドセキュリティ認証 で求めていること
クラウドサービスを「安全に使える」とは、利用者が投稿したデータや、システムが生成し利用者に影響があるデータが守られている状態を指します。
当然サービス提供者側の責任で対策をする必要がありますが、クラウドサービスを利用する以上、利用者側の責任も発生します。そのため、利用者側でもセキュリティ強化ができる機能を提供し、仕様を公開する必要があります。
以下は一例で、裏側で利用しているIaaSやSaaSにも同等のセキュリティレベルが求められます。
- ログイン管理
- アクセス権管理
- 情報のラベル付
- データのバックアップ
- アクセスや操作ログの確認
まずはクラウドサービス責任者を決める から、構築を進めていきましょう。