ISO/IEC 27017

From Wikipedia, the free encyclopedia

ISO/IEC 27017は、クラウドサービスの提供者と利用者が、安全なクラウド環境を構築し、セキュリティリスクを軽減するために策定されたセキュリティ基準[1][2]

この規格は、国際標準化機構 (ISO) と国際電気標準会議 (IEC) の合同技術委員会 ISO/IEC JTC 1/SC 27 によって公開された。ISO/IEC 27002を基に、クラウド環境における不足していたセキュリティ管理策を補完し、情報セキュリティマネジメントにおける推奨ベストプラクティスを提供するISO/IEC 27000 シリーズの一つである。

規格の正式名称と対応するJIS規格は次のとおり

  • ISO/IEC 27017 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
  • JIS Q 27017 情報技術 − セキュリティ技術 − JIS Q 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範

概要

ISO/IEC 27017 は、情報セキュリティ管理策を取り入れようとするクラウドサービスの利用者、ならびに、それをサポートするクラウドサービスプロバイダへ向けて、ガイドラインを提供する。ただし、適切な情報セキュリティ管理体制の選択やガイドラインが推奨する管理策の適用は、そのリスク評価に加えて、あらゆる法的、契約上、規制上の要件、また、クラウドを活用する部門固有の情報セキュリティ要件の影響を受け、異なってくる[3]

この規格は、ISO/IEC 27002で指示されている37の管理策に、クラウドサービスに関連する、以下の7つの管理策を追加することにより、クラウドサービスにおいて適用可能な情報セキュリティ管理のガイドラインを示している[4][5]

  • クラウドサービス利用時の役割および責任の明確化
  • サービス終了時の資産の除去または返却
  • 仮想環境の分離保護
  • 仮想マシンの適切な構成
  • クラウドサービスの管理操作手順
  • クラウドサービス利用者による監視
  • 仮想と物理ネットワーク環境の調整

認証制度

クラウドサービスの市場が増進するにつれて、利用時のセキュリティに対しての懸念が広がっており、ISO/IEC 27017 の認証規格としての需要が高まっている[6]。クラウドサービスの大手である、GoogleAmazon.comマイクロソフトは、自己のウェブサイト上にて認証取得を公表している[7][8][9]

日本国内では、2016年に情報セキュリティマネジメントシステム (ISMS) を取得する組織に対して、ISO/IEC 27017 に適合することを認定する第三者認証制度として、「ISMSクラウドセキュリティ認証制度」を開始した[10]

2025年10月26日改訂版が発行予定である[11]

脚注

Related Articles

Wikiwand AI