クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.22(水)

クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

特集 特集

国際標準化機構( ISO )が「ISO / IEC 27001」のオプションとして、クラウドセキュリティ認証「ISO / IEC 27017」を2015年12月に発行し、一般財団法人日本情報経済社会推進協会( JIPDEC )は「 ISMS クラウドセキュリティ認証」として採用した。

また、特にクラウドサービス上の個人情報保護に関する認証制度として、同じく ISO / IEC 27001 のオプションとしての位置づけとなる「 ISO / IEC 27018 」も発行されており、クラウドコンピューティングのセキュリティ管理に関わる認証制度が整備されつつある。

そこで、ISO 27017 とは? ISO 27018 との違いなどの疑問を、国内でも数少ない「ISO 27017」「ISO 27018」両方の認証取得コンサルティングサービスを取り扱う、LRM 株式会社 代表取締役 幸松哲也氏に話を聞いた。


●認証取得が目的のコンサルではなく、業務効率改善をゴールに支援

――まずは LRM について教えてください。

LRM は 2006 年に設立、2010 年頃からセキュリティコンサルティングサービスに注力しています。プライバシーマーク( Pマーク)や ISMS / ISO 27001 をはじめとするセキュリティ認証の取得支援から、取得後の運用保守支援、また情報セキュリティ対策の構築支援などを行っているほか、独自のセキュリティサービスの提供も行っています。

ISMS / ISO 27001 取得の実績は 200 社以上、個人情報保護や情報セキュリティに関するコンサルティングサービスでは 600 社以上の実績があります。


LRM では 2016 年 2 月に ISO 27018 の取得コンサルティングサービスを開始し、すでに何社か取得の支援をさせていただいております。また、7 月から新たに ISO / IEC 27017 取得コンサルティングを開始し、第一号事例となる企業様の取得支援にすでに着手させていただいております。

LRM は、単に認証を取得するための文書の作成にとどまらず、提唱する「セキュリティダイエット」の考え方で、セキュリティ管理を行うことで、業務効率を上げることができる仕組み作りをご提案しています。

たとえば、クラウドサービスを使うときの社内ルールを作る際にも、認証規格に出てくるような難しい用語を使いません。また、現場のエンジニア、利用者である社員の方が使えるドキュメントを、一緒に作っていこうというというスタンスで取り組みます。

取得することが目的になってしまわないよう、取得後の運用においても業務の効率性を重視してアドバイスを心がけており、取得以降も継続してリピートいただくお客様が多いです。

● ISO 27017 と ISO 27018 の共通点と違い

クラウドコンピューティングのセキュリティ規格である 27017 と 27018 、共通点と、その反対の違いを教えて下さい。

いずれも ISO 27001 のオプションとしてグローバルで始まっている認証制度です。オプションですので、ISO 27001 の認証を取得していることが前提になりますが、同時に認証を受けることもできます。

ISO 27001 は、すべての業務業態に対する、情報セキュリティの枠組みを PDCA も含めて作るというものですね。日本では JIPDEC が ISMS として認証を行っています。一方 ISO 27017 、ISO 27018 双方、ISO 27001 を前提にした、クラウドコンピューティングサービスに関する認証という点は共通しています。

ISO 27017 は、クラウドサービスを提供する側、利用する側の双方についての枠組みです。このため、SaaS を提供しているサービス事業者を中心に、認証取得に積極的です。ISO 27017 は原案を日本が提案しており、JIPDEC でも「ISMS クラウドセキュリティ認証」として新たに認証を始めています。世界では Amazon や Google など、大手クラウドベンダが取得しています。

一方、ISO 27018 はクラウドサービス上の個人情報の保護に限定した認証です。クラウド上に保管されている個人情報の扱いに関する枠組みで、サービスの提供者のみを対象としています。こちらは JIPDEC では扱っておらず、日本では BSI ジャパン(英国規格協会)が認証を実施しています。世界で最初に取得したのは Dropbox で、マイクロソフトの Azure も取得しています。日本では 株式会社 TKC さんが一番に取得しています。LRM は、ChatWork 株式会社さんの ISMS および ISO 27018 の認証取得をお手伝いさせていただきました。

● ISO 27017 取得に要する期間・準備について

―― ISO 27017について、取得までの期間や準備すべきことを教えてください。

一般的に、ISO 27001 は 1 年間、ISO 27017 は 6 カ月間で取得できます。また、ISO 27001 を取得していれば 27017 の取得をさらに早めることもできます。そのタイミングは、ISO 27001 の更新審査の際に合わせて審査を受けるケースと、ISO 27017 の認証を追加する、「拡大認証」を行うケースがあります。準備するものについては、文書化しなければならないものが多くあります。それは、利用者に対して使い方などを説明するものや、社内に対しての利用手引きなどです。

また、透明性が求められるので、管理や運用をどのようにしているかなどを利用者に提示することも必要で、この文書も作成しなければなりません。方針や役割、バックアップや暗号化の実施状況、お客様が利用をやめた後のデータの削除のルールなどを決めておきます。特に、クラウドサービスの利用に際してお客様が感じている不安に対して、透明性と安心感を与える部分が強く求められます。なお、取得にあたって、新しいシステムや機器を導入するといった準備はほとんどの場合不要だと思います。

――ISO 27017 の受注状況と、今後の展開について教えてください。

現在 2 社のお客様の ISO 27017 の認証取得を支援しています。どちらもエンタープライズのお客様で、提供されている SaaS サービスが認証の対象となります。

それぞれ 8 月末と、9 月末の取得を目指しています。また LRM としては今後、コンサルティングをさらに拡充していく予定で、認証取得だけではなく、情報セキュリティに軸足を置きながら、業務改善への取り組みにも注力していきたいと考えています。

――ありがとうございました。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  8. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×