ISO 認証 / 国際規格

ISO/IECではクラウドサービスのセキュリティのため、ISO/IEC 27002に基づき、クラウドセキュリティサービスと関連した内容を追加したISO/IEC 27017を2015年に発行することになった。全体としては14分野にわたり、117の要求事項で構成されている。

これは既存の情報セキュリティマネジメントの実践のための規範であるISO/IEC 27002をすべて適用することと同時にクラウドセキュリティ独自のある要求事項が追加された構造となっている。

ISO/IEC 27017認証の目的は、客観的で公正なクラウドサービスのセキュリティ認証を通じて利用者のセキュリティへの懸念を解消し、クラウドサービスによる競争力を確保することにある。

ISO/IEC 27017 国際規格ではISO/IEC 27001 国際規格に基づいた情報セキュリティマネジメントシステムにクラウドサービス提供者と利用者が追加として反映しなければならないフレームワークの要求事項を定義している。また仮想マシン強化、クラウドサービスのモニタリング、仮想ネットワークと物理的ネットワークに対する情報セキュリティ管理、クラウド環境の運営管理手順、仮想コンピューティング環境における分離、クラウドサービスのカスタム情報及び資産の削除などクラウドサービスに特化した情報セキュリティ管理に対する要求事項を追加で定義している。

• 管理的セキュリティ措置

  情報セキュリティ政策樹立、人的セキュリティ、資産管理、サービス供給網管理、侵害事故の管理など

• 技術的セキュリティ措置

  セキュリティ、接近統制、ネットワークセキュリティ 、データセキュリティ、暗号化など

• 物理的セキュリティ措置

  セキュリティ区域の指定、物理的アクセス制御、装備の搬出入など情報セキュリティ施設及び設備セキュリティ

• ガバナンスへの側面

  ガバナンス損失、責任性の曖昧さ、 準拠性及び法的危険、国境問題

• アクセス統制への側面

  提供者システムに対する不認可アクセス、管理インタフェースぜい弱性、
  セキュリティメカニズムの非一貫性及び衝突

• データセキュリティへの側面

  個人情報の流出及び損失、不完全なデータ削除、隔離失敗

• 運営管理への側面

  サービスの非可用性及び中断、セキュリティインシデント処理、サプライチェーンぜい弱性

クラウドセキュリティは費用の効率性と移動性のメリットとして全世界的に需要が急増しており、成長性が高い産業分野である。ブルーオーシャンであるクラウドセキュリティ認証取得より情報セキュリティに対する信頼性を確保することができる。

ISO/IEC 27001に基づいた情報セキュリティマネジメントシステムを運用している組織が、クラウドに関連のある組織がISO/IEC 27017国際規格の要求事項を追加的に反映させることにより、対外的に認められる統合されたシステムの運用ができる。

ISO/IEC 27017は事業運営に障害になる法的訴訟や紛争、そして自らのブランドに対する攻撃から保護することができる。

クラウドサービス提供者の観点では、客観的で公正なクラウドセキュリティ認証を通じて利用者の信頼度の向上及び提供者の情報セキュリティの水準の向上に寄与することができる。