セキュリティの
学び場

ISMSクラウドセキュリティ認証とは

ISMSクラウドセキュリティ認証とは「ISO/IEC27017」で定められた「クラウドサービスのための情報セキュリティ管理策に関する規格」を満たすことを認証する仕組です。

この規格の対象となるのは「クラウドサービス プロバイダ（提供者）」と「クラウドサービス カスタマー（利用者）」の双方です。すなわち、利用者の立場からも、この規格を参照することで「クラウドサービス」という情報資産を適切に管理する指針となります。

この規格で特に重要な項目としては以下のようなものがあります。

• ・クラウドプロバイダ/カスタマー間の責任範囲の明確化
• ・クラウドサービス特有のリスク管理策

「クラウドサービス特有のリスク管理」は多岐に渡ります。例としては「国境（法域）を跨いだサービス提供・データ保管」や本来メリットであるスケーラビリティ等も侵害された場合にはリスクとなります。

ISMS認証との関係

名前からも推測できるように「ISMSクラウドセキュリティ認証（ISO/IEC27017）」と「ISMS認証（ISO/IEC27001）」は密接な関係にあります。具体的には「ISMSクラウドセキュリティ認証」の取得には「ISMS認証」の取得も必須となります。すなわち、「ISMSクラウドセキュリティ認証」だけを取得することはできません。このようなISMSを前提とする規格を「ISMSのアドオン規格」と呼ぶことがあり、 ISO/IEC27017 もその一つです。

「ISMS認証」は汎用的な情報セキュリティ管理策についての規定であり、端的に言えば情報資産に対して適切なリスクマネジメントのプロセスを定める事を目的としています。 「ISMSクラウドセキュリティ認証」ではISMSの適用範囲が「クラウドサービス」を含む際の固有の管理策に関してより明確化されています。

おわりに

クラウドサービスは物理的制約を受けずに管理やスケーリングができるなど、高い利便性を持つ反面、クラウド特有のリスクと表裏一体となっています。

「ISMSクラウドセキュリティ認証（ISO/IEC27017）」はそのようなリスクの管理策を定める上で有効な指針となります。 一方で、あらゆる認証に言えることですが、「ISMSクラウドセキュリティ認証」は「取得すること」だけでなく、「運用すること」が重要です。