１．ISO27017とは

ISO27017とは、数多く存在するISO規格の内、クラウドセキュリティに特化したISO規格として2015年に策定されたものです。情報セキュリティ分野であるISO27001に近いですが、クラウドサービス固有の要求事項で構成されています。

２．ISO27017の位置づけ

ISO27017取得は単体では認証できません。
ISO27001に紐づいて存在しており、あくまでアドオン規格認証となります。必ずISO27001と共に認証を受けます。
そして1項でもお話しました通り、ISO27001は、クラウドサービスセキュリティに特化した規格です。
具体的には、ISO27001ですでに存在している付属書A詳細管理策にクラウド固有の管理策が追加された構成になっています。

３．ISO27017が注目されている背景

近年、クラウドサービスの普及が進行し、官公庁等によるクラウドサービス利用が増加していることから入札要件にもISO27017が追加されているケースが増加しており、取得する企業も年々増えています。
もちろん入札でなくとも、顧客要求等多種多様な理由が存在します。しかし、最も多いのは、入札要件となっています。

４．ISO27017の取得条件

ISO27017取得にあたっては、２つの分類があります。
まず１つ目は“クラウドサービスプロバイダ”です。これはいわゆるクラウドサービス提供側として認証を受けるという位置づけです。
そして、２つ目は“クラウドサービスカスタマ”です。こちらはクラウドサービス利用側が認証する場合です。クラウドサービスプロバイダは認証取得せず、こちらのクラウドサービスカスタマについてのみを対象に認証取得をすることも場合によっては可能です。
注意点としては、IaaSサービスのようにプロバイダとしては認証を受けるけれど、運用基盤が存在しないためカスタマーとしては認証しない、といったケースもあります。ただしこの点は、審査機関によるため要確認です。

５．ISO27017認証取得のメリット・デメリット

⑴メリット

ISO27017認証取得にあたってメリットとしては、以下があげられます。

• ・入札要件となりえる
• ・顧客要求を満たせる
• ・クラウドサービス提供側としてカスタマーへの体制が整う
• ・クラウドサービス利用側としてなすべき最低限の実施事項ができる

⑵デメリット

対してISO27017認証取得にあたってのデメリットとなりえる点は以下があげられます。

• ・ISO27001の平均1.5倍程度の審査金額となる想定がされる
• ・審査期間（日数）が長い傾向がある

６．認証取得するべき業種

あらゆるクラウドサービスを提供するプロバイダ業種が対象です。
クラウドサービス利用側としては業種問わず有効です。

７．ISO27017の規格要求事項

⑴概要

ISO27017、つまりiSO/IEC27017:2015が正式な規格要求事項です。
これはクラウドサービス提供、そして、利用に関する情報セキュリティ管理策実践のために策定されたガイドラインです。

⑵ISO27017とISO27002の違い

ISO27002の実施の手引きに対して、ISO27017の追加の実施の手引きが策定されています。
また、ISO27017つまりクラウドサービスを理解する上で必要な考慮についても参考程度に追加されています。

８．認証取得までの大きな流れ

1. ISMSの構築
   何回か話に出ておりますが、ISO27017取得にあたってISO27001に基づく情報セキュリティマネジメントシステムを構築する事は必須です。
2. ISO27017規格要求を達成するための体系づくり
   ISO27017を実現するためのルール、体制、実際の運用対策等を整備する必要が出てきます。
3. 構築した体系の運用
   ②で構築したISO27017を実現するためのルール、体制、実際の運用対策等について、導入そして運用を実施しなければなりません。
   どれくらいといった正解はありませんが、審査を受けるには内部監査・マネジメントレビューを実施完了していることが必須です。そうでなければ審査の受審が出来ません。
4. 審査機関による審査
   ISO27017の第三者認証を実際に実施している審査機関はいくつかあります。いずれかの審査機関にて審査を受審しなければなりません。
   審査結果に左右されますが、遅くとも２~３か月後には認証がおり、登録証が発行されます。

９．具体的な作業

ISO27017追加管理策に伴い、ISMSですでに構築運用中の管理策に基づくルールの変更が必要です。
また、管理策は基本A項番で構成されていましたが、今回ISO27017では新しくCLD項目が7項目ほど追加になっているためそれらの追加も必要です。

10．ISO27017認証取得にかかる費用

単純に考えてISO27001に上乗せで審査金額が増加します。
審査機関や取得企業の規模等によって当然異なりますが、平均的に1.5倍程度となっています。
また、登録証もISO27017独自で発行されるため、登録証費用も別途必要です。

11．ISO27017認証取得にかかる期間

運用開始から換算し、大体認証完了まで6カ月程度を視野に入れると良いです。
クラウドサービス提供が１つではなく、２~３つあるとその分運用構築に時間がかかるため、計画は余裕をもって立てることが必要です。

12．ISO27017認証取得企業代表例

さて、年々増加しているISO27017ですが、皆さんもよくご存じの企業も取得しています。
例えば以下の大手プロバイダも取得しています。

• AWS（Amazon）
• GCP（Google）
• Azure（Microsoft）

もちろんそれ以外の企業についても着々と増えており、現段階で350社を超えている状況です。

13．ISO27017に似た規格のISO27018とは

さて、ISO27018というISO規格についても一緒に考えている方がおられるかもしれません。
ISO27018がISO27017と何が異なるのでしょうか。
ISO27018とは、“個人情報を含む”クラウドサービスに特化したISO規格となります。
よって、個人情報を取り扱うようなクラウドサービス提供企業（提供者）は対象となりえます。
対してISO27017は個人情報を問わず、クラウドサービス全般の規格になっています。
要するに、ISO27018もクラウドサービスの中でも「個人情報を含むクラウドサービス」に特化したISO規格です。

まとめ

ISO27017について概要をはじめ、全体像を知ってもらえましたでしょうか。
ハードルが高いように思われがちですが、ISMSを運用し、クラウドサービスを提供実績が有るようでしたら
取得の難易度はそこまで高くはないため前向きに臨んでください。
当社もすでに30社弱のISO27017認証をお手伝いしてますので、お声がけ頂ければ全力でサポートします。
ぜひお声がけください。