ISO 27017とは
ISO/IEC 27017:2015「Code of practice for information security controls based on ISO/IEC 27002 for cloud services」は、クラウドサービスにおける情報セキュリティ管理策の実践規範を定めた国際規格です。ISO/IEC 27002(ISMSの管理策ガイドライン)をベースに、クラウド環境に特有のセキュリティリスクに対処するための追加管理策を提供しています。
日本が原案を提案した規格であり、国内ではJIPDEC(情報マネジメントシステム認定センター)が「ISMSクラウドセキュリティ認証」として認証制度を運営しています。2025年9月時点で国内の取得企業は約700社に達し、増加傾向にあります。
ISO 27017は単独では取得できません。ISO/IEC 27001(ISMS)認証を取得済み、または同時取得することが前提です。ISO 27001の管理策にクラウド固有の管理策を「追加(アドオン)」する位置づけです。
対象:CSPとCSC
ISO 27017の大きな特徴は、クラウドサービスの提供者(CSP)と利用者(CSC)の両方を対象としている点です。
| 略称 | 正式名称 | 役割 | 例 |
|---|---|---|---|
| CSP | Cloud Service Provider | クラウドサービスを提供する事業者 | AWS、Azure、Google Cloud、SaaS事業者 |
| CSC | Cloud Service Customer | クラウドサービスを利用する事業者 | SaaSを利用する一般企業 |
たとえばSaaS事業者が他社のIaaSを利用している場合、その事業者はCSP(自社SaaSの提供者)であると同時にCSC(IaaSの利用者)でもあり、両面での管理策が求められます。
クラウド固有の7つの追加管理策
ISO 27017は、ISO 27002の管理策に加えてクラウド固有の7つの管理策を附属書Aで追加しています。
| 管理策ID | 名称 | 内容 |
|---|---|---|
| CLD.6.3.1 | 役割と責任の共有・分担 | CSPとCSCの間の情報セキュリティに関する役割と責任を明確に定義し、文書化する |
| CLD.8.1.5 | クラウドサービスカスタマの資産の除去 | サービス契約終了時に、CSCの資産(データ等)を確実に返却・削除する手順を定義 |
| CLD.9.5.1 | 仮想コンピューティング環境における分離 | マルチテナント環境でのCSC間の論理的分離を確保する |
| CLD.9.5.2 | 仮想マシンの要塞化 | 仮想マシンのセキュリティ強化(不要なサービスの停止、パッチ適用等) |
| CLD.12.1.5 | 管理者の運用セキュリティ | クラウド環境の管理者操作に関するセキュリティ手順の策定 |
| CLD.12.4.5 | クラウドサービスの監視 | CSPがクラウドサービスの運用状況を監視し、CSCに必要な情報を提供 |
| CLD.13.1.4 | 仮想・物理ネットワークのセキュリティ管理の整合 | 仮想ネットワークと物理ネットワークのセキュリティポリシーを整合させる |
ISO 27002管理策のクラウド拡張
7つの追加管理策に加えて、ISO 27002の既存管理策にもクラウド環境向けの追加ガイダンスが付与されています。各管理策に対してCSP/CSC別の実施指針が示されている点が特徴です。
| 管理策領域 | クラウド向け追加ガイダンスの例 |
|---|---|
| アクセス制御 | CSPの管理者アクセスの制限、CSCのユーザーアクセス管理の明確化 |
| 暗号化 | CSPによる暗号鍵管理の透明性、CSCによる独自の暗号化の検討 |
| 運用セキュリティ | CSP側のパッチ適用責任、CSCが把握すべき運用情報の範囲 |
| 通信セキュリティ | 仮想ネットワークのセグメンテーション、テナント間通信の制御 |
| 供給者関係 | CSPのサプライチェーン(再委託先)に関する情報開示 |
| インシデント管理 | CSPからCSCへのインシデント通知のタイムライン・内容の要件 |
ISMSクラウドセキュリティ認証
日本国内では、ISO 27017に基づく認証は「ISMSクラウドセキュリティ認証」として制度化されています。
- 認定機関:ISMS-AC(情報マネジメントシステム認定センター)
- 認証基準:JIP-ISMS517(ISO/IEC 27017:2015に基づく要求事項)
- 前提条件:ISO/IEC 27001(ISMS)認証の取得が必須
- 取得企業数:約700社(2025年9月時点、増加傾向)
- 主な取得企業:AWS、Microsoft Azure、Google Cloud、富士通クラウド、NTTデータ等
取得の流れと費用
| Step | 内容 | 期間目安 |
|---|---|---|
| 1. 前提確認 | ISO 27001認証の取得状況を確認。未取得の場合は同時取得を計画 | — |
| 2. ギャップ分析 | ISO 27017の管理策と自社の現状を比較し、不足する管理策を特定 | 1〜2ヶ月 |
| 3. 管理策の実装 | クラウド固有のリスクアセスメント、管理策の追加、規程の改訂 | 2〜4ヶ月 |
| 4. 運用・記録 | 追加した管理策の運用、内部監査の実施 | 2〜3ヶ月 |
| 5. 審査 | 認証機関による審査(通常はISMS審査と同時) | 1〜2ヶ月 |
ISMS認証を既に保有している場合の追加費用は、審査費用30〜60万円+コンサルティング費用50〜150万円が目安です。
ISO 27018・SOC 2との違い
| 項目 | ISO 27017 | ISO 27018 | SOC 2 |
|---|---|---|---|
| 対象 | クラウドの情報セキュリティ全般 | クラウド上の個人情報(PII)保護 | サービス組織の内部統制全般 |
| 適用範囲 | CSP+CSC(両方) | CSPのみ | サービス提供者 |
| 認証/報告 | 第三者認証(Certificate発行) | 第三者認証(Certificate発行) | 監査法人による保証報告書 |
| 前提 | ISO 27001必須 | ISO 27001必須 | 独立して取得可能 |
| 詳細度 | 管理策の実装の有無を認証 | PII保護の実装の有無を認証 | 内部統制の設計・運用の有効性を詳細に報告 |
中小企業での活用
- SaaS事業者:自社SaaSの信頼性を証明するためにISMSクラウドセキュリティ認証を取得
- クラウド利用企業(CSC):ISO 27017取得済みのCSPを選定基準として活用
- 官公庁入札:ISMSクラウドセキュリティ認証が入札要件に含まれるケースが増加
- ISMAP対応:政府クラウド調達で求められるISMAPの管理基準はISO 27017と多くの部分で重複
まとめ
ISO 27017はISO 27001のアドオンとして、クラウド固有の7管理策を追加するクラウドセキュリティ規格です。CSP(提供者)とCSC(利用者)の両面を対象とし、責任共有モデルに基づくセキュリティ管理を体系化しています。SaaS事業者は認証取得を、クラウド利用企業は選定基準として活用しましょう。