ISMSクラウドセキュリティ認証とは<ISMSクラウドセキュリティ認証とISMAP 1>
本シリーズでは、ISMSクラウドセキュリティ認証やISMAPについて、及びそれぞれの違いを解説いたします。
第1回目となる今回は、ISMSクラウドセキュリティ認証についてお話しします。
目次
ISMSクラウドセキュリティ認証とは
ISMSクラウドセキュリティ(ISO27017)認証とは、クラウドサービスに関する情報セキュリティを適切に管理している組織であるということを証明するための第三者認証で、きちんとクラウドサービスのセキュリティ管理策が行われていることを示すことができ、企業や一般ユーザーが安心してクラウドサービスを利用できることを目的としています。
ISO27017はアドオン規格で、もとになっているISMS(ISO/IEC27001)認証の取得が前提となっている認証規格になります。
情報セキュリティに関する認証制度の多くは、クラウドサービスが本格的に提供されるようになる前に策定された基準であるため、クラウドサービス特有のセキュリティリスクをカバーしきれていないと言われていました。こちらの認証のもとになっているISO27001の発行は2005年と若干古くなっており、昨今のクラウドサービス普及によるニーズに応えるため、ISO27017がでました。それが2015年のことです。
また、その間にISO27002が発行されていますが、内容は、ISO27001の附属書Aにある管理策の実施方法が具体的に記載されているもので、参照規格とされています。
自社クラウドサービスがISO27017に準拠していることの一番の利点は、第三者認証により、自社の提供するサービスがセキュリティに配慮していることや、コンプライアンスにおいて問題ないクラウドサービスを運用していることが証明されるというところでしょう。
このような明確な規格に沿った評価が得られることで、ユーザーから見てもサービスの安全性を評価することができるようになります。
また、多くのクラウドサービスを提供している企業がISO27017を取得しており、クラウドサービス大手のAmazon Web ServicesやGoogle Cloud、MicrosoftのAzureなども各社ISO27017準拠の証明書を公開しています。
ISMSクラウドセキュリティ認証を取得する方法
前述しました通り、ISMSクラウドセキュリティ認証を取得するためには、ISMS(ISO/IEC27001)認証を取得する必要があります。
ISMSを取得後にISMSクラウドセキュリティ認証を取得するケースが多く、ISMS認証審査と同様に専門の受審機関から受審する形になります。
ISMS認証とISMSクラウドセキュリティ認証を同時に取得することもできますが、準備期間やリソースが多く必要になります。
ISMSクラウドセキュリティ認証に関する要求事項
ISMSクラウドセキュリティ認証に関する要求事項は、「ISO/IEC 27017:2015 に基づくISMS クラウドセキュリティ認証に関する要求事項」に記載されていますので、ご興味がある方は是非一読ください。
要求事項はISMSの確立、実施、維持および継続的改善にクラウドサービス固有のリスクへの対応を組み込むことを目的としています。
まとめ
現代の社会生活や企業の業務において、クラウドサービスが欠かせないものとなっていて、ISMSクラウドセキュリティ認証はますます広がっていくでしょう。
業務の規模の大小にかかわらず、様々なクラウドサービスがでてきていますが、情報セキュリティに対するユーザーの見る目も年々厳しくなり、サービス導入時の選定項目として「セキュリティの担保」は必ず入ってきます。それゆえクラウドサービスを提供する側としてはセキュリティ対策が必須となってきています。
今後、ISMSクラウドセキュリティ認証が広く認知されれば、この規格を取得していることで、客観的な信頼性を得ることができ、ユーザーからの評価の判断基準として有効なものとなるでしょう。
次の回ではISMAPについてご紹介します。そちらもぜひご覧ください。
※本記事の正確性については最善を尽くしますが、これらについて何ら保証するものではありません。本記事の情報は執筆時点(2024年7月)における情報であり、掲載情報が実際と一致しなくなる場合があります。必ず最新情報をご確認ください。
筆者プロフィール
- ビーブレイクシステムズ
- 家電量販店でウィンドウショッピングするのが好きです。
最新記事一覧
【オンラインセミナー定期開催中】法改正、IT導入補助金、内部統制、業務の効率化など
いま解決したい課題のヒントになるかもしれません。ぜひお気軽ご参加ください!
