コンサルタントの力を借りずに、自社でISO27017の認証を取得することが決まった場合、まず担当者がしなければいけないのは、ISO27017規格の読解です。

ISMS制度の運営元であるJIPDECが運営する「ISMSクラウドセキュリティ認証」を取得するためには、さらにJIP-ISMS517という文書への準拠も求められています。

ところで、当たり前ですが、ISO27017は「クラウドセキュリティ」の規格ですので、クラウドサービスのセキュリティに馴染みのない人にとっては、正直かなり読みにくい文書です。

規格特有の堅苦しい言い回しに加えて、クラウドに関する技術的な理解も必要とされるためです。

しかし、そんなISO27017規格を、ほんの少しだけ読みやすく、簡単にしてくれる資料を今回はご紹介します。

クラウドサービス利用のための情報セキュリティマネジメントガイドライン

ISO27017規格を簡単にしてくれる資料、それが日本の経済産業省が発行している「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」、通称「クラウドセキュリティガイドライン」です。

実は、ISO27017規格は、日本が発祥の規格であり、その発祥の元となった文書が、この「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」なのです。

そのため、ISO27017が分かりにくいと思ったときに、このガイドラインを参考にすることは、理にかなっています。

では、具体的にどう分かりやすくなるのか、例を見てみましょう。

ISO27017の9.2.1(CSP)を例に、わかりやすさを比較!

例えば、ISO27017の9.2.1(CSP)には、以下のような記述があります。

クラウドサービスカスタマのクラウドサービスユーザによるクラウドサービスへのアクセスを管理するため、クラウドサービスプロバイダは、クラウドサービスカスタマに利用者登録・登録削除の機能およびそれを利用するための仕様を提供することが望ましい。

(日本規格協会『ISO27017 邦訳版』より引用)

おそらく多くの人が、利用者登録機能や削除機能は分かるけど、「それを利用するための仕様」とはなんだ?と思うのでは無いでしょうか。

そこで「クラウドセキュリティガイドライン」を参照してみます。11.2.1利用者登録(事業者の実施が望まれる事項)の節には、以下の記述があります。

クラウド事業者は、クラウド利用者のクラウドサービス利用者IDの登録・削除機能を提供することが望ましい。また、このような機能について、必要に応じて次の情報を提供することが望ましい。

a) 利用者ID登録・削除の手順
b) 利用者ID登録・削除に必要な情報
c) 利用者の同一性検証の仕様
d) サービスの一部として利用者ID管理ツールを提供している場合は、利用者ID管理ツールの仕様

ISO27017よりも、分かりやすく、具体的に書かれていることがお分かりいただけると思います。

すなわち、ISO27017に書かれている「仕様」とは、「登録や削除の手順」であったり「新規登録する時や退会するときに必要な情報」であったり、「同一性検証の仕様」、つまり、どのようなログイン方式(パスワード、多要素認証など)によって利用者を判断するのかであったり、「ID管理ツール」つまり、利用している会社の管理者ユーザーが他の一般ユーザーのIDを管理する機能についてであったり、といったことを意味しているのかな…といったニュアンスが読み取れると思います。

規格とガイドラインの節番号が不整合なのはなぜ?

ところで、なぜISO27017では「9.2.1」の節に書かれている内容が、クラウドセキュリティガイドラインには「11.2.1」の節に書かれているのか、章や節の番号を合わせてくれればよいのに…と疑問を持つ方も多いと思います。

これは、昔からISMSに携わっている方ならご存知かもしれませんが、ISO27017は、2013年版のISO27002という規格項番をベースに作成されており、クラウドセキュリティガイドラインは、それより昔の、2005年版のISO27002の規格項番を参考にして作っていることに由来しています。ISO27002は、2005年版から2013年版になるときに、章立てが変更になっているのです。

ちなみに、2005年版と2013年版で見出し番号は変わったものの、見出しに使われている単語は似ている場合が多い(先ほどの例だと「利用者登録及び登録削除」と「利用者登録」)ので、目次を見ながら随時参照していくのが良いかと思います。

また、2013年版になって消えた管理策、追加された管理策などもありますので、このあたりは注意しておく必要があります。

LRMがご提供するISO27017認証取得コンサルティングについてはこちら

ISO27017規格が簡単になる -経産省のクラウドセキュリティガイドライン紹介-

カテゴリー: ISO27017

コンサルタントの力を借りずに、自社でISO27017の認証を取得することが決まった場合、まず担当者がしなければいけないのは、ISO27017規格の読解です。

ISMS制度の運営元であるJIPDECが運営する「ISMSクラウドセキュリティ認証」を取得するためには、さらにJIP-ISMS517という文書への準拠も求められています。

ところで、当たり前ですが、ISO27017は「クラウドセキュリティ」の規格ですので、クラウドサービスのセキュリティに馴染みのない人にとっては、正直かなり読みにくい文書です。

規格特有の堅苦しい言い回しに加えて、クラウドに関する技術的な理解も必要とされるためです。

しかし、そんなISO27017規格を、ほんの少しだけ読みやすく、簡単にしてくれる資料を今回はご紹介します。

クラウドサービス利用のための情報セキュリティマネジメントガイドライン

ISO27017規格を簡単にしてくれる資料、それが日本の経済産業省が発行している「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」、通称「クラウドセキュリティガイドライン」です。

実は、ISO27017規格は、日本が発祥の規格であり、その発祥の元となった文書が、この「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」なのです。

そのため、ISO27017が分かりにくいと思ったときに、このガイドラインを参考にすることは、理にかなっています。

では、具体的にどう分かりやすくなるのか、例を見てみましょう。

ISO27017の9.2.1(CSP)を例に、わかりやすさを比較!

例えば、ISO27017の9.2.1(CSP)には、以下のような記述があります。

クラウドサービスカスタマのクラウドサービスユーザによるクラウドサービスへのアクセスを管理するため、クラウドサービスプロバイダは、クラウドサービスカスタマに利用者登録・登録削除の機能およびそれを利用するための仕様を提供することが望ましい。

(日本規格協会『ISO27017 邦訳版』より引用)

おそらく多くの人が、利用者登録機能や削除機能は分かるけど、「それを利用するための仕様」とはなんだ?と思うのでは無いでしょうか。

そこで「クラウドセキュリティガイドライン」を参照してみます。11.2.1利用者登録(事業者の実施が望まれる事項)の節には、以下の記述があります。

クラウド事業者は、クラウド利用者のクラウドサービス利用者IDの登録・削除機能を提供することが望ましい。また、このような機能について、必要に応じて次の情報を提供することが望ましい。

a) 利用者ID登録・削除の手順
b) 利用者ID登録・削除に必要な情報
c) 利用者の同一性検証の仕様
d) サービスの一部として利用者ID管理ツールを提供している場合は、利用者ID管理ツールの仕様

ISO27017よりも、分かりやすく、具体的に書かれていることがお分かりいただけると思います。

すなわち、ISO27017に書かれている「仕様」とは、「登録や削除の手順」であったり「新規登録する時や退会するときに必要な情報」であったり、「同一性検証の仕様」、つまり、どのようなログイン方式(パスワード、多要素認証など)によって利用者を判断するのかであったり、「ID管理ツール」つまり、利用している会社の管理者ユーザーが他の一般ユーザーのIDを管理する機能についてであったり、といったことを意味しているのかな…といったニュアンスが読み取れると思います。

規格とガイドラインの節番号が不整合なのはなぜ?

ところで、なぜISO27017では「9.2.1」の節に書かれている内容が、クラウドセキュリティガイドラインには「11.2.1」の節に書かれているのか、章や節の番号を合わせてくれればよいのに…と疑問を持つ方も多いと思います。

これは、昔からISMSに携わっている方ならご存知かもしれませんが、ISO27017は、2013年版のISO27002という規格項番をベースに作成されており、クラウドセキュリティガイドラインは、それより昔の、2005年版のISO27002の規格項番を参考にして作っていることに由来しています。ISO27002は、2005年版から2013年版になるときに、章立てが変更になっているのです。

ちなみに、2005年版と2013年版で見出し番号は変わったものの、見出しに使われている単語は似ている場合が多い(先ほどの例だと「利用者登録及び登録削除」と「利用者登録」)ので、目次を見ながら随時参照していくのが良いかと思います。

また、2013年版になって消えた管理策、追加された管理策などもありますので、このあたりは注意しておく必要があります。

LRMがご提供するISO27017認証取得コンサルティングについてはこちら

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする