ISO27017が発行された背景
この数年でクラウドサービスが大きく普及し、様々なクラウドサービスが提供されています。特にクラウドを利用して提供される、オンラインストレージサービスをご利用されている事業者は大変多くなっています。
クラウドサービスのセキュリティに関しては目に見えない部分も多く、不安に感じて自社の利用状況だけではなく、他の利用状況によって影響を受ける可能性があるなど、オンプレミスのサーバであれば、自社でしっかりとシステムを管理していれば問題ありませんが、クラウドサービスの場合は複数の利用者が共有利用することになりますので、自社の利用状況だけではなく、他の利用状況によって影響を受ける可能性があるなど、クラウドサービス固有のセキュリティリスクが存在します。
クラウドサービス固有のリスクを評価する認証としては、今まで情報セキュリティマネジメントシステムISO27001のアドオン認証として「STAR認証」がありましたが、STAR認証はクラウドサービスプロバイダに向けた認証となっていました。
よって、ごく一部の大手企業のみが取得している認証でしたが、クラウドサービスカスタマも含めた認証規格が2015年12月に国際規格「ISO/IEC 27017:2015」として発行されました。
ISO27017はどのような時に必要?
例えば、昨今増えているクラウドサービス提供事業者は、IaaS(情報システムの稼動に必要な仮想サーバをはじめとした機材やネットワークなどのインフラを、インターネット上のサービスとして提供する形態)を利用して、SaaS(ソフトウェアを、インターネット経由
でサービスとして提供・利用する形態)を提供しています。
このようなサービス提供をしている事業者は、提供側の観点だけではなく、利用者側の要求事項にも対応する必要があります。
ISO27017の認証取得は、安心して利用できるサービスであることのアピールになりますし、利用者にとってもサービスのセキュリティを評価する一つの基準となります。
これから認証取得する事業者も増えていくと思われます。
現在バルクではISO27001+ISO27017の同時認証の取得支援のコンサルティングを行っており、支援にあたり外部セミナーの受講や、審査機関の審査員にコンサルタント向けの社内勉強会を開催して頂き情報収集しております。
お客様の状況に合わせてご支援が可能ですので、取得を検討されているお客様はまずはお問い合わせください!
