ISO27017はクラウドサービスの提供者または利用者に対して適用がされる第三者認証です。
位置づけとしては、ISMSにクラウドサービスの内容を補完する規格となっています。
アドオン規格となっており、単独での取得はできず、ISMS認証を受けている組織が前提条件となり、追加で取得する規格です。
※新規取得で同時にISMSとISO27017を取得するのは可能です!
クラウドサービスのプロバイダまたはカスタマ側(提供者/利用者)どちらかであれば取得が可能、
言ってしまえば現代ではクラウドサービスは身近な存在であり、使用している組織は大半だと思います。
ISO27017特有の管理策としては、次のようなものが挙げられます。
CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
CLD.8.1.5 クラウドサービスカスタマの資産の除去
CLD.9.5.1 仮想コンピューティング環境における分離
CLD.9.5.2 仮想マシンの要塞化
CLD.12.1.5 実務管理者の運用のセキュリティ
CLD.12.4.5 クラウドサービスの監視
CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合
■CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
プロバイダ側は発行する利用規約や契約申込書に文書化・明記する等、
クラウドサービスプロバイダが実施すべき役割を明確にすることです。
カスタマ側は利用するクラウドサービスの利用規約などを内容を把握することが重要です。
その上で、明確にした役割を組織(社内)の従業員に対して共有、分担します、
■CLD.8.1.5 クラウドサービスカスタマの資産の除去
プロバイダ側は、利用者が退会やサービス利用を終了してから
どのタイミングでデータを削除するかを利用者と合意しておく必要があります。
こちらも利用規約、契約申込書に明記することで対応可能が可能です。
カスタマ側はクラウド上の資産の返却や除去、削除についての文書化した説明を要求すること、
これは利用規約の内容を確認するなどで対応します。
■CLD.9.5.1 仮想コンピューティング環境における分離
論理的分離を求められています。
CLD.9.5.2 仮想マシンの要塞化
サービスを提供しているサーバ管理を自社で行っている場合、そのセキュリティ対策も実施する必要があります。
ex.サービスの仮想化環境は、必要なポート、プロトコル、サービスだけを有効。
ファイアウォール機能などにより、ポート・プロトコル・IP アクセスの制限を実施。
また、必要なログを取得し3ヶ月保存。
上記のような
・必要なポートのみを有効とする
・必要なプロトコルのみを有効とする
・マルウェア対策を実施する
・ログを取得する
などの外部からの攻撃を避けるため、もし何かしらのアクションがあった際に追えるような対策をします。
■CLD.12.1.5 実務管理者の運用のセキュリティ
クラウドコンピューティング環境の管理操作のための手順を定義し、文書化し、監視をします。
プロバイダ側はカスタマが要求してきた場合重要な操作や手順を文書化して提供します
カスタマはクラウドコンピューティング環境に保管している情報資産に、
回復不能や重篤な損害を与えるような操作の手順を文書化しておくことでデータの紛失等を防ぐ対策を講じます。
これは万が一の操作ミスでの責任境界を、より明確にするためのトピックで、
供給者側のUIがわかりづらい、一方知らなかった利用者側の責任、と責任の所在が曖昧になりがちな
クラウドサービス上で、お互いに必要な情報を提供・把握するべきという内容です。
■CLD.12.4.5 クラウドサービスの監視
プロバイダ側の監視というのは
提供サービスが資源不足等で停止しないように、コンピュータ・サービス全体の容量やハード的能力を
見合ったものにする必要があります。
カスタマ側の監視というのも、契約内容によって使用できるストレージの限りはありますし、
常に監視をしながらクラウドサービスを使用しなければなりません。
それに加えてサービスの不正利用を監視する機能についても問われており、
データの操作ログ、アクセスしたIPアドレスのログが取得できるか等のサービス監視の事項も含まれます。
■CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合
仮想ネットワークを設定する際には、
仮想ネットワークと物理ネットワークとの間の設定の整合性を検証する必要があります。
適切な容量・能力に考慮した設計を行わないと、十分なパフォーマンスを発揮できないといった不具合が発生します。
当管理策は、クラウドのインフラを自社管理しているクラウドサービスプロバイダが対象となります。
いかがでしたでしょうか。
各策にほとんどプロバイダ側とカスタマ側の視点があること、
そして現代ではクラウドサービスは身近なサービスとなっている為、今後ISO27017が注目されていくことは間違いないでしょう。
ISOサポートではISO27017の新規取得、運用代行サービスも行っております。
取得や運用サポートをお考えの方は、まずお気軽にこちらからお問い合わせください! 
