1. ISOは国際取引の共通ルールを定める国際機関
ISO27017は、ISO認証の一種です。ISOとは、国際標準化機構(International Organization for Standardization)のことです。本部はスイス・ジュネーヴにあります。ISOは、世界で行われているさまざまな取引について、国際的な統一ルールを定める役割を果たしています。
この国際標準化機構が認定する国際ルールを、ISO規格といいます。電気・通信など一部の産業を除いて、ほぼすべての産業分野に適用されており、よく知られているのは、非常口のマーク(ISO7010)です。実は日本発のデザインで、その後ISOにより規格化され、世界的に使用されることになりました。
ISO規格は、物に対してだけではなく、仕組みについても定められています。たとえば、持続可能性社会を目指して作られた環境マネジメントシステム規格(ISO14001)や、製品・サービスの向上に向けた品質マネジメントシステム規格(ISO9001)などがあります。
こうしたマネジメントシステムに関する規格では、Plan(計画)・Do(実施)・Check(点検)・Act(見直し)というPDCAサイクルを回しながら、継続的な改善を図っていく点に特徴があります。
ISO規格を満たしているものに対しては、ISO認証が付与されます。ISO認証は、国際規格に則っていることを第三者機関が証明する、一種のお墨付きのようなものです。
ISO認証の付与を受けるには、認証機関による審査を受けなければなりません。認証機関は、「要求事項」と呼ばれる評価基準にもとづいて審査し、規格に適合していると認めれば認証を与えます。これを審査認証制度といいます。第三者機関による厳しいチェックを受けてはじめて付与されるのが、ISO認証なのです。
2. ISOが定めるクラウドセキュリティの国際ルールがISO27017
ISO27017は、2015年に発行されたクラウドセキュリティに関する国際規格です。 インターネットを利用したクラウドサービスが世界的な隆盛を見せる中、個人情報を含むクラウドセキュリティの強化が重要課題になってきました。
ネットワーク経由の取引は、データの消失や個人情報の漏洩など、さまざなリスクをはらんでいます。情報の保護が担保されなければ、安心してクラウドサービスを利用することはできません。そこで、こうしたクラウド利用におけるリスク対策に特化して発行されたのが、ISO27017認証です。
情報セキュリティに関しては、ISO27001認証が2005年に発行されています。ISO27001は、ISMS(情報セキュリティマネジメントシステム)関するISO認証です。ISO27017は、このISO27001の「アドオン認証」、つまり追加して取得できる認証になります。そのため、ISO27017を取得するためには、ISO27001をまず取得するか、同時に取得しなければなりません。
つまり、ISO27001認証を取得することで一般的な情報セキュリティシステムを構築し、さらにISO27017認証を取得することでクラウドサービスに関する情報セキュリティシステムも構築できることになるのです。
ISO27001認証の審査では、一般的な情報セキュリティの体制が整っているかがチェックされます。これに加えて、ISO27017認証の審査では、クラウド固有のリスクを考慮した審査項目が追加されれます。たとえば、不正アクセスの防止策として、クラウドサービスと社内ネットワークとの分離などが求められています。
ISO27017は、クラウドサービスの事業者(CSP)としても、クラウドサービスの利用者(CSC)としても取得できます。事業者として取得すれば、自社サービスのユーザーに対してセキュリティレベルの高さをアピールでき、競合他社との差別化につながります。利用者として取得すれば、社内の情報セキュリティ体制を整備できるとともに、自社顧客にデータ管理の安全性を示すことができるでしょう。
3. ISO27017は世界レベルのセキュリティを実現している目印
ISO27017は、現時点で最新のクラウドセキュリティにおける国際規格です。ISO27017認証を取得しているということは、クラウドサービスにおいて、世界レベルでの高度な情報セキュリティを約束するものにほかなりません。
ISO27017を取得するにはISO27001も取得しなければなりませんが、ISO27001そのものは単独でも取得できるため、ISO27017までは取得していないという企業も少なくありません。
しかし、クラウドサービスに関係し、情報セキュリティを重視している企業は、ISO27001と合わせてISO27017も取得するケースが増えています。実際に、GoogleやAmazonなどのグローバル企業はいち早くISO27017を取得しており、企業コンプライアンスとして掲げています。こうした流れを見ても、ISO27017は今後、クラウドセキュリティに関する国際規格として、世界的なスタンダードになっていくでしょう。
ISO27017認証を取得しているということは、個人情報を含む情報全般に関して適切な管理体制を構築し、かつ運用していること、さらにクラウドサービスに起こりうるリスクに対しても対策を講じていることを示します。つまり、ユーザーにとって安心して利用できるサービスを提供していることの証なのです。