ISO/IEC 27017

ISO/IEC 27017：安全なクラウド環境のためのセキュリティ基準

クラウドサービスの利用が拡大する現代において、情報セキュリティ対策はますます重要になっています。ISO/IEC 27017は、安全なクラウド環境構築を目指すクラウドサービスプロバイダーと利用者双方にとって、極めて重要な役割を果たす国際規格です。

この規格は、[国際標準化機構]と[国際電気標準会議]が共同で発行しており、既存のセキュリティ基準であるISO/IEC 27002をベースに、クラウド環境特有のセキュリティリスクへの対策を強化した点が特徴です。具体的には、クラウドサービスにおける情報セキュリティ管理策の実践的なガイドラインを提供することで、安全なクラウド環境の構築と運用を支援します。

ISO/IEC 27017の目的

ISO/IEC 27017の主要な目的は、クラウドサービス利用者とプロバイダーが共に、セキュリティリスクを軽減するためのベストプラクティスを提供することにあります。これは、単なる技術的な対策だけでなく、組織全体のセキュリティ意識を高め、適切なセキュリティ管理体制を構築するための指針を示しています。

ISO/IEC 27017の構成

ISO/IEC 27017は、既存のISO/IEC 27002で定義されている37の管理策に加え、クラウド環境特有のセキュリティリスクに対応するための追加項目を含んでいます。具体的には、クラウドサービス利用における役割と責任の明確化、サービス終了時のデータの取り扱い、仮想環境のセキュリティ対策、クラウドサービスの監視体制など、クラウド環境特有の課題に対応した管理策が追加されています。これらの追加項目は、クラウドサービスの安全な利用と管理に不可欠な要素を網羅しています。

クラウド特有の管理策の例

クラウドサービス利用時の役割および責任の明確化: プロバイダーと利用者それぞれの責任範囲を明確にすることで、セキュリティ上の責任の所在を明確化し、トラブル発生時の対応をスムーズに行えるようにします。
サービス終了時の資産の除去または返却: サービス利用終了時に、クラウド上に残されたデータや資産を適切に処理、削除、または返却するための手順を定めます。
仮想環境の分離保護: 仮想環境におけるデータの分離や保護のための対策を規定し、データ漏洩などのリスクを低減します。
仮想マシンの適切な構成: セキュリティを考慮した仮想マシンの設定方法を規定し、脆弱性攻撃に対する対策を強化します。
クラウドサービスの管理操作手順: クラウドサービスの管理操作におけるセキュリティ対策を規定し、不正アクセスや操作ミスを防ぎます。
クラウドサービス利用者による監視: 利用者は、自身の責任において、クラウドサービスのセキュリティ状況を継続的に監視する必要があります。
* 仮想と物理ネットワーク環境の調整: 仮想環境と物理環境のネットワークを適切に調整することで、セキュリティを確保します。

ISO/IEC 27017の認証と普及

ISO/IEC 27017は、クラウドサービスのセキュリティに対する懸念の高まりを受け、国際的に注目を集めており、Google、Amazon.com、Microsoftなど、大手クラウドサービスプロバイダーも認証を取得しています。日本国内においても、ISMSクラウドセキュリティ認証制度が開始され、多くの企業が認証取得を目指しています。

将来展望

2025年10月26日には改訂版が発行される予定であり、クラウドサービス環境の変化や新たなセキュリティ脅威への対応が期待されます。今後ますます重要性を増すであろうクラウドセキュリティにおいて、ISO/IEC 27017は、安全で信頼できるクラウド環境構築のための指針として、重要な役割を担い続けるでしょう。

もう一度検索