ISMSクラウドセキュリティ認証（ISO/IEC 27017）とは？制度概要や要求事項、取得のメリットなどについて解説

ISMSクラウドセキュリティ認証は、組織やエンドユーザーが安心してクラウドサービスを利用できることを目的とした認証です。具体的には、ISMS認証を取得している／今後取得する組織に対し、ISO/IEC 27017に規定されるクラウドサービス固有の管理策が追加で実施されていることを認証します。

本記事では、前提となる通常のISMS適合性評価制度（ISO/IEC 27001）について簡単に説明した上で、ISMSクラウドセキュリティ認証制度やISO/IEC 27017の概要についてわかりやすく解説します。また、認証取得のメリットや、取得の方法・プロセスについても紹介しています。

目次

1, ISMSクラウドセキュリティ認証とは？

ISMS（情報セキュリティマネジメントシステム）とは？

・ISMSのアドオン規格（ISO/IEC 27017、ISO/IEC 27018）

ISMSクラウドセキュリティ認証の概要

JIP-ISMS517の要求事項

2, ISMSクラウドセキュリティ認証を取得すべき企業とは？

ISMSクラウドセキュリティ認証の目的

・クラウドサービスをめぐるリスク・脅威

認証取得のメリット・効果

認証取得が必要な企業

3, ISMSクラウドセキュリティ認証を取得するまでの流れ

認証取得の方法

認証取得までのステップ

取得支援コンサルサービスの利用

・マキナレコードの認証取得支援サービス

4, 参考資料

ISMSクラウドセキュリティ認証とは？

ISMS（情報セキュリティマネジメントシステム）とは？

ISMSクラウドセキュリティ認証について詳しく見ていく前に、まずはISMS適合性評価制度（以下、ISMS）について簡単に説明します。ISMSとは、「Information Security Management System」の略で、国際規格「ISO/IEC 27001（日本版はJIS Q 27001:2014）」で定められている要求事項（※）に沿ったマネジメントシステムが構築・運用ができているかを認証する仕組みのことをいいます。ISO/IEC 27001には要求事項とともに、「管理策」と呼ばれる情報セキュリティの対策集も記載されています。

認証機関の審査を受け、ISO/IEC 27001の要求事項に則ったマネジメントシステムを運用できていることが認められれば、ISMSを取得することができます。その他、ISMSの詳細については、こちらの記事をご覧ください：「ISMSとは：なぜ必要？ISOとの違いや認証制度について解説」

※要求事項：情報セキュリティを効果的かつ継続的に行うための具体的なルールのことです。ITセキュリティの管理方法、アクセスコントロール、オペレーションセキュリティ、人的セキュリティといった、ITシステム全体のリスクを踏まえた内容が盛り込まれています。

ISMSのアドオン（拡張）規格

ISMSには、ISO/IEC 27001の取得を前提として追加することが可能なアドオン規格がいくつか存在します。多数あるアドオン規格のうち、クラウドサービスに関係するのがISO/IEC 27017（JIS Q 27017:2016）とISO/IEC 27018です。

ISO/IEC 27017

クラウドサービスに関する情報セキュリティ管理策のガイドライン規格で、クラウドを提供する組織（「クラウドサービスプロバイダー」）と利用する組織（「クラウドサービスカスタマー」）の双方に適用されます。ISMSクラウドセキュリティ認証は、この規格を基にした認証です。

ISO/IEC 27018

クラウド上に保管されている個人情報の取り扱いに特化したもので、クラウドサービスプロバイダーにのみ適用される規格です。

ISMSクラウドセキュリティ認証の概要

ISMSクラウドセキュリティ認証とは、ISO/IEC 27017に規定されるクラウド固有の管理策が実施されていることを認証する制度です。ISMS認証を取得している／取得する組織に対し、その適用範囲内に含まれるクラウドサービスについて、情報セキュリティ全般に関するマネジメント規格であるISO/IEC 27001の取り組みをISO/IEC 27017に規定されるクラウドサービス固有の管理策で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。

（ISMSクラウドセキュリティ認証適用範囲のイメージ。ISMS認証の適用範囲内または同一でなければならない）

ただ、ISO/IEC 27017はクラウド固有の情報セキュリティ管理策やその実施のための手引きが記載されたガイドライン規格であり、認証基準ではありません。そのため、ISO/IEC 27017の内容を取り込むための基準として、「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項（JIP-ISMS517-1.0）」がJIPDEC（財団法人 日本情報処理開発協会）によって策定されています。組織は、この「JIP-ISMS517-1.0」の要求事項を満たすことによって、ISMSクラウドセキュリティ認証を取得することができます。

なお、​​ISMSクラウドセキュリティ認証はISMSの取得を前提とした認証であり、単独で取得することはできません（同時取得は可能）。

💡ISMSクラウドセキュリティ認証のポイント

・ISO/IEC 27017が基となった、ISMS取得を前提とする追加の認証

・対象組織：クラウドサービスを提供/利用するあらゆる組織

・認証基準は、JIP-ISMS517-1.0　【ISO/IEC 27017:2015（JIS Q 27017:2016）】

JIP-ISMS517-1.0の要求事項

JIP-ISMS517-1.0の要求事項は、大きく3つに分けられています。

1, クラウドサービスを含む情報セキュリティマネジメントシステムの適用範囲の決定

クラウドサービスを含めたISMSの適用範囲を定めねばならないことや、適用範囲を示す文書（クラウドサービス名の記載が必須）を作成しておく必要があることなどが記載されています。

2, ISO/IEC 27017の規格に沿ったクラウド情報セキュリティ対策の実施

情報セキュリティリスクアセスメントおよび情報セキュリティリスク対応のプロセスや適用に関する事項が定められています。

3, 内部監査

定期的に行わねばならない内部監査に関する事項が定められています。

ISMSクラウドセキュリティ認証を取得すべき企業とは？

ISMSクラウドセキュリティ認証の目的

そもそもISMSクラウドセキュリティ認証は、クラウドサービスを利用する組織/提供する組織がクラウド特有のリスク（※）への対策を行っている事を証明するための基準であり、組織やエンドユーザーが安心してクラウドサービスを利用できることを目的としています。

（※）クラウドサービスをめぐるリスク・脅威

クラウドサービスならではのリスクや脅威には、主に以下のようなものがあります。

（複数資料を参考に作成。参考資料一覧についてはページ下部に記載）

関連記事：クラウドセキュリティとは？リスクや対策、クラウド事業者の比較ポイントなどについて解説！

認証取得のメリット・効果

上記のようなクラウドサービス固有のリスクについて網羅的なアセスメントを実施していることや、必要な管理策を導入していることを対外的に証明できるというのが第一のメリットです。これにより、認証取得企業は、ユーザーや顧客からの信頼が向上する、他社との差別化を図れる、といった効果を期待できます。

認証取得のメリットや効果について、以下の表にまとめました。

認証取得が必要な企業

こういったISMSクラウドセキュリティ認証の目的やメリットを踏まえ、以下のいずれかに当てはまる場合には取得を検討してみることをお勧めします。

・クラウド固有のリスクへの対策を強化したいと考えている企業（プロバイダー、カスタマー）

・セキュリティへの取り組みを強く求められる事業やサービスを展開しており、対外的信頼を高めたいと考えている企業（プロバイダー、カスタマー）

・政府機関や府省庁へのサービス提供を検討しているクラウドサービスプロバイダー（ISMSクラウドセキュリティ認証取得が入札要件となっている場合があるため）

・海外の顧客との取引があるなど、国際セキュリティ規格への準拠が求められる企業

なお、ISMSクラウドセキュリティ認証取得企業・組織の数は、2022年8月31日時点で327です。

（参考：情報マネジメントシステム認定センター【ISMS-AC】のページ）

ISMSクラウドセキュリティ認証を取得するまでの流れ

認証取得の方法

ISMSクラウドセキュリティ認証を取得するには、通常のISMS認証と同様に、専門の認証機関による審査を受けなければなりません。この審査で認められれば、認証機関より登録証が発行されます。また登録後も、少なくとも年1回のサーベイランス審査と、3年に1回の更新審査を受ける必要があります。

認証取得までのステップ

以下が、認証取得までの大まかな流れです。

また、認証取得後もPDCAサイクルを取り入れて組織的・継続的な改善を行うことが求められます。

PDCAサイクル

認証取得支援コンサルサービスの利用

ISMSクラウドセキュリティ認証を取得したいが何から始めれば良いのかわからない、そもそも認証取得が必要かどうかがわからない、といった悩みや課題をお持ちの場合は、情報セキュリティを専門とするコンサル会社などの取得支援サービスの利用を検討してみてください。特に、通常のISMS認証の取得が未了の場合は、工数ややるべきことが増えるため、自社単独で取得を目指すのは難しい場合があります。

マキナレコードの認証取得支援サービス

弊社マキナレコードでも、ISMS認証の取得支援サービスを提供しています。適用範囲の決定から運用、審査、取得まですべてのステップを通してサポートを行い、認証取得後の維持運用・更新まで支援いたします。また、ISMS以外にもPマークやPCI DSSといった各種認証（※）の取得支援サービスもご用意しており、認証の種類で迷っている、違いを明確にしたい、などのお悩みがある場合には、コンサルタントから最適な認証を提案させていただくことも可能です。

※関連記事：「ISMSとPマークの違いは？取得のメリット・デメリット」、「PCI DSSとは？要件や準拠までの流れをわかりやすく解説」

サービスの詳細については、弊社ホームページをご確認ください。 

また、セキュリティ体制構築支援に関する詳細資料を無料で配布しております。以下のリンクからお申し込みください。

参考資料

[1] https://www.jipdec.or.jp/project/smpo/FAQ1_ISMS_cloud.html

[2] https://isms.jp/isms-cls/about-cls.pdf

[3] https://www.jipdec.or.jp/archives/publications/JIP-ISMS517-10.pdf

[4] https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf

[5] https://www.boj.or.jp/research/brp/fsr/data/fsrb201126a.pdf

[6] https://www.ipa.go.jp/files/000096929.pdf