1. ISO/IEC 27017とは
1.1 ISO/IEC 27017の概要
ISO/IEC 27017は、「クラウドサービスにおける情報セキュリティ管理」に特化した国際規格です。
従来のISO/IEC 27001が企業全体のISMS(情報セキュリティマネジメントシステム)を対象とするのに対し、ISO/IEC 27017はクラウド事業者および利用者間での責任分担や追加的な管理策を定めています。
1.2 背景と制定経緯
クラウドサービスの普及に伴い、データ保護やプライバシーへの懸念が増大しました。
これらに対応すべく、ISO/IEC 27001を補完する形で2015年にISO/IEC 27017が発行され、クラウド特有のリスクを体系的に管理できるようになりました。
2. ISO/IEC 27017導入のメリット
2.1 信頼性の向上
認証取得によって、クラウドサービス利用者に対して「第三者機関の評価済みである」ことをアピールでき、サービス選定段階での信頼性が飛躍的に向上します。
2.2 リスクの可視化と低減
クラウド特有のリスク(マルチテナント環境、データロケーション)を洗い出し、適切なコントロールを実装することで、情報漏えいやサービス停止リスクを未然に防止できます。
2.3 契約・法令遵守支援
クラウド利用契約における責任範囲や、各国のデータ保護法への対応要件がクリアになり、監査対応やコンプライアンス強化にも役立ちます。
3. ISO/IEC 27017の主要コントロール解説
ISO/IEC 27017では、ISO/IEC 27002の一般的な管理策に加え、クラウド特有のリスクにフォーカスした追加コントロールが定義されています。
ここでは代表的な4つのコントロールについて、具体的な運用ポイントや注意点を解説します。
3.1 共有責任モデルの明確化
クラウド事業者と利用者の責任範囲を明確に区分し、契約書やSLA(Service Level Agreement)に落とし込みます。たとえばインフラ層の保守は事業者側、OS・アプリケーションのパッチ適用は利用者側、といった役割分担を文書化しましょう。
- 運用ポイント:定常的なレビューを行い、サービス仕様変更時に契約をアップデートする
- 注意点:暗黙の前提条項を排除し、具体的な作業フローを定義しておく
3.2 仮想化環境のセキュリティ
クラウドは仮想化技術を基盤としているため、ハイパーバイザ層の脆弱性や仮想マシン間の横断攻撃がリスクになります。以下の対策を徹底してください。
- ハイパーバイザ保護:最新パッチ適用、自動アップデート設定
- VM間隔離:VLANやセグメントを利用し、重要業務系と開発系でネットワークを分離
- 管理アクセス制御:SSHキーベース認証や多要素認証で管理者アクセスを厳格化
3.3 データ隔離と暗号化
マルチテナント環境下では、同一物理ホスト上に他社顧客のデータが共存する可能性があります。データ隔離と暗号化は必須です。
- ストレージ分離:専用ボリュームの利用や暗号化ストレージ機能の活用
- 暗号化要件:転送時(TLS 1.2以上)・保存時(AES-256など)の暗号化を標準化
- 鍵管理:KMS(Key Management Service)の利用、自社専用HSM連携を検討
3.4 ログ・監査証跡の強化
クラウド環境ではログデータが分散しやすく、統合的に監視しないと不正アクセスや障害の兆候を見逃しがちです。
- 集中ログ収集:SIEMやログ分析プラットフォームで全クラウドアカウントのログを一元管理
- 異常検知:しきい値アラートやログパターン分析によるインシデント早期発見
- 長期保存と保護:ログの改ざん防止(WORMストレージ)やバックアップ保管ポリシーを策定
これらのコントロールを通じて、クラウドサービスに潜む技術的・運用的リスクを包括的に抑制できます。
4. 認証取得までの6ステップ
ISO/IEC 27017認証取得に向けた一般的なプロセスを6ステップに分けて解説します。
各ステップの所要期間や主要成果物、注意点を押さえましょう。
ステップ1:現状ギャップ分析(GAP分析)
- 目的:ISO/IEC 27017要求事項と現状運用の差分を明確化
- 所要期間:約2〜4週間
- 成果物:GAP分析レポート、改善計画書
- 注意点:主要システムや業務フローを漏れなく把握し、関係部門へのヒアリングを徹底
ステップ2:マネジメントシステム構築
- 目的:ISMSのフレームワーク上にクラウド特有管理策を統合
- 所要期間:約1〜2ヶ月
- 成果物:情報セキュリティ方針、リスクアセスメント報告書、組織体制図
- 注意点:既存のISMSがある場合、相互参照を行い重複削減と整合性確保を図る
ステップ3:運用・定着化
- 目的:作成した規程・手順を日常運用に定着
- 所要期間:約2〜3ヶ月
- 成果物:教育資料、内部監査報告書、是正処置記録
- 注意点:トップマネジメントの支持を得て全社教育を実施し、運用状況を定期レビュー
ステップ4:事前評価(プレ審査)
- 目的:認証機関による書類・運用の事前チェック
- 所要期間:約2週間
- 成果物:事前評価報告書、改善リスト
- 注意点:指摘事項は速やかに対応し、再評価を依頼できるフローを確立
ステップ5:本審査(Stage 1/Stage 2)
- 目的:正式な適合性審査
- 所要期間:Stage 1(書類審査)1週間、Stage 2(現地審査)1〜2週間
- 成果物:審査報告書、是正勧告書
- 注意点:現地審査では現場インタビューや記録確認が行われるため、担当者の準備を徹底
ステップ6:認証取得後の維持管理
- 目的:認証の有効性を継続的に保証
- 所要期間:年間を通じて実施
- 成果物:年次監査報告書、更新審査対応資料
- 注意点:環境変更時の影響分析と是正処置、PDCAサイクルの継続的な実施が鍵
5. 導入時のポイントとベストプラクティス. 認証取得までの6ステップ
ステップ1:現状ギャップ分析(GAP分析)
ISO/IEC 27017要求事項と現状の運用との差分を洗い出し、改善計画を策定します。
ステップ2:マネジメントシステム構築
ポリシー策定、組織体制整備、リスクアセスメント実施など、ISMSをベースにクラウド専用管理策を組み込みます。
ステップ3:運用・定着化
教育・訓練、定期的な内部監査、是正処置などを通じて、運用プロセスの有効性を継続的に検証します。
ステップ4:事前評価(プレ審査)
認証機関による事前チェックを受け、指摘事項を改善して本審査に備えます。
ステップ5:本審査(Stage 1/Stage 2)
認証機関による書類審査、現地審査を経て、ISO/IEC 27017適合の可否が判断されます。
ステップ6:認証取得後の維持管理
定期審査や更新審査に向けた内部監査、PDCAサイクルの継続的実践で、品質を維持します。
6. 導入時のポイントとベストプラクティス
6.1 組織間連携の強化
クラウド事業者と利用者両者が協働できる体制を構築し、定例ミーティングや情報共有ポータルを設けることで、迅速な対応を可能にします。
6.2 自動化とガバナンスの両立
インフラ構成管理ツールやSIEMなどを活用しつつ、ポリシー変更時には明確な承認フローを設定。効率と安全性を両立します。
6.3 継続的モニタリング
脅威インテリジェンスの活用や、脆弱性スキャン、ペネトレーションテストを定期実施して、環境変化に即応できる体制を確立します。
7. 他規格との比較と選定ガイド
| 規格 | 特長 | 導入対象 |
|---|---|---|
| ISO/IEC 27001 | 全社的ISMS | あらゆる業種・規模 |
| ISO/IEC 27017 | クラウド特化 | クラウド事業者・利用者 |
| ISO/IEC 27018 | パブリッククラウドの個人情報保護 | PIIを扱う事業者 |
- クラウド基盤を持つ事業者はISO/IEC 27017を優先
- 個人情報を扱う場合はISO/IEC 27018も併せて導入検討
- 全社レベルでの統合管理ならISO/IEC 27001がベース
