ISO/IEC 27017とは?ISO/IEC 27017 は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で制定した「クラウドサービスに関する情報セキュリティ管理における国際規格」です。クラウドサービスプロバイダ(CSP:クラウドサービス提供者)とクラウドサービスカスタマ(CSC:クラウドサービス利用者)の双方に適用され、クラウド環境における情報セキュリティ対策を強化するためのガイドラインです。さらにISO/IEC 27017は、ISMS(情報セキュリティマネジメントシステム)の国際規格であるISO/IEC 27001を基盤としており、ISMSをクラウドサービスに適用するための情報セキュリティ管理策がまとめられています。ISO/IEC 27001と27017の両方の認証を取得することで、クラウドサービスセキュリティへの堅実な取り組みを、対外的にアピールすることができます。実際、昨今では取引先から取得を要求されたり、入札の参加条件/加点条件となっているケースも多いです。JQA 一般財団法人日本品質保証機構 よりISO/IEC 27017を取得している企業の調べ方SMSクラウドセキュリティ認証(ISO/IEC 27017)の公式ウェブサイトで、認証を取得した企業のリストや認証情報を確認することができます。公式ウェブサイトでは、検索機能や認証機関ごとのリストなど、様々な方法で企業を探すことができます。なお、2025年5月30日現在、取得企業は659社となります。認証を取得する組織・企業の数は年々増加傾向にあります。参照:情報マネジメントシステム認定センターhttps://isms.jp/ISMAPとの違いは?ISMAPは「Information system Security Management and Assessment Program」の略で、政府情報システムのためのセキュリティ評価制度のことです。政府が利用するクラウドサービスのセキュリティ水準を確保し、安全なクラウドサービスを効率的に選定・導入するための制度です。ISMAPに登録されているクラウドサービスは、政府機関によるクラウドサービス調達の際に優先的に選ばれます。つまり、ISMAPはクラウドサービス事業者が、政府が求めるセキュリティ要件を満たしていることを証明するためのものになります。参照:内閣サイバーセキュリティセンター > 政府情報システムのためのセキュリティ評価制度(ISMAP)https://www.nisc.go.jp/policy/group/general/ismap.htmlISO/IEC 27017の取得方法について...ISO/IEC 27017を取得するために、具体的に行うことを以下です。適用範囲の決定と審査機関の選定ISMS(ISO/IEC 27001)、ISO/IEC 27017は部門・組織毎の取得が可能です。ISO/IEC 27017はISMSに比べて難易度が高いことと、ISMSをすでに取得しているかどうかにより、工程や流れも異なり柔軟な対応が必要であることから、知識やノウハウが不足していると感じる場合には、専門のコンサルティングサービスを利用することをお勧めします。ISMSの114の管理策をクラウドサービス用にアップデートそもそもISMSのアドオン認証なので、まずはISMSを構築することが前提です。また、ISMSをすでに構築している企業では、構築したルールをクラウドサービス用にアップデートする必要があります。ISO/IEC 27017の新しい基準7項目の追加ISMSには無い7つの項目を追加する必要があります。この7項目に対して、社内でセキュリティルールを決め、運用していく必要があります。以下がISO/IEC 27017の新しい基準7項目です。CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担CLD.8.1.5 クラウドサービスカスタマの資産の除去CLD.9.5.1 仮想コンピューティング環境における分離CLD.9.5.2 仮想マシンの要塞化CLD.12.1.5 実務管理者の運用のセキュリティCLD.12.4.5 クラウドサービスの監視CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合審査機関の審査を受ける審査機関の審査を受け、見事"合格"となった場合は、張れて「ISO/IEC 27017認証取得」となります。CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担 図式例まとめISO/IEC 27017はクラウドセキュリティのための国際規格です。クラウドは急速に普及し、SaaS・PaaS・IaaSなどは現代社会における企業の発展にはなくてはならないサービスになっています。だからこそ、セキュリティリスクから守る必要があり、クラウドの安全性を確保したセキュリティマネジメントシステムを構築するのが重要になります。ISO/IEC 27017のメリットは、主に"対外的な信頼性の向上"、"情報セキュリティリスクの低減"、"情報管理体制の整理と従業員のリテラシーの向上"、"事業継続性の向上"の4つが挙げられます。ISMSに比べて難易度が高くコストと時間もかかりますが、ISO/IEC 27017の取得によって、セキュリティ基盤をより強固にできるだけでなく、その難易度から多くのクラウド事業者がまだ認証取得に至っていないことから、競合他社との大きな差別化も期待できます。