クラウドセキュリティ認証を取得する意味

hirayama
平山 倫太郎 記事一覧
カテゴリー: ISO27017,

ISO27017の商談に行くと、よくこんなことを言われます。

  • AWSがISO27017を取得しているのに、なぜウチのサービスも取得しないといけないの?
  • 「ISO27017を取得しているAWSを使っています」じゃダメなの?

もちろん、AWSなどのサービスを基盤としていると公開すれば、お客様に信用を与えることができ、「認証が必要なのか?」という疑問が出てきても不思議ではありません。

本記事では、ISO27017に準拠しているサービスを利用するメリットと、なぜ自社でクラウドセキュリティ認証を取得したほうがいいかについてご紹介致します。

ISO27017に準拠しているサービスを利用するメリット

まず、ISO27017に準拠していると謳う場合、要するに以下のようなことを宣言することになります。

  • クラウドサービスの設計と実装において、セキュリティに配慮している。
  • コンプライアンスを確保した安全なクラウドサービスを顧客に提供できている。

つまり、「大勢のユーザーが利用しているサービスだからセキュリティ的に問題はないだろう」といったような曖昧な判断ではなく、明確に「クラウドセキュリティに特化している」「セキュリティに配慮している」サービスであると認識してもらうことが可能になります。

AWSやGCPにおけるISO27017の準拠状況

自社でクラウドセキュリティ認証を取得する意味

ISO27017に準拠しているIaaS(AWS、Azure 等)を利用することは、準拠していないサービスを利用するよりも外部からの攻撃やコンプライアンス違反を防止しやすくなります。

しかし、パスワードを高度に設定できる機能やログを監視できる機能をサービス側が提供したとしても、利用する側が機能を有効活用していないがために外部から攻撃されやすくなったり、法令に違反する場合というのも往々にしてあるものです。

2017年には、AWSユーザーがS3のアクセス権を誤って誰もがアクセスできる状態としたが故に、意図しない情報を外部に漏えいした事故がありました。その事故は、利用する側が適切な運用をしていないがためにセキュリティを確保できなかったという分かりやすい事例かと思います。

ISO27017には、クラウドサービスを利用するときや提供するときにとるべき管理策が記載されています。

管理策の対策を実施すればセキュリティとコンプライアンスの確保に繋がり、第三者機関の認証を受けてクラウドセキュリティ認証を取得することで、より信頼を得やすくなります。

少しでも興味があるなら、ぜひ一度ご相談を!

ISMSを新規取得するタイミングや継続審査のタイミングなどで、ISO27017の拡大審査を同時に行うクラウドサービス提供企業が年々増えてきています。

弊社もAWSの利用とSeculioの開発、運用、保守でクラウドセキュリティ認証を取得しました。

少しでもISO27017に興味があるなら、ぜひお気軽にLRMまでご相談くださいませ。

クラウドセキュリティ認証を取得する意味

カテゴリー: ISO27017

ISO27017の商談に行くと、よくこんなことを言われます。

  • AWSがISO27017を取得しているのに、なぜウチのサービスも取得しないといけないの?
  • 「ISO27017を取得しているAWSを使っています」じゃダメなの?

もちろん、AWSなどのサービスを基盤としていると公開すれば、お客様に信用を与えることができ、「認証が必要なのか?」という疑問が出てきても不思議ではありません。

本記事では、ISO27017に準拠しているサービスを利用するメリットと、なぜ自社でクラウドセキュリティ認証を取得したほうがいいかについてご紹介致します。

ISO27017に準拠しているサービスを利用するメリット

まず、ISO27017に準拠していると謳う場合、要するに以下のようなことを宣言することになります。

  • クラウドサービスの設計と実装において、セキュリティに配慮している。
  • コンプライアンスを確保した安全なクラウドサービスを顧客に提供できている。

つまり、「大勢のユーザーが利用しているサービスだからセキュリティ的に問題はないだろう」といったような曖昧な判断ではなく、明確に「クラウドセキュリティに特化している」「セキュリティに配慮している」サービスであると認識してもらうことが可能になります。

AWSやGCPにおけるISO27017の準拠状況

自社でクラウドセキュリティ認証を取得する意味

ISO27017に準拠しているIaaS(AWS、Azure 等)を利用することは、準拠していないサービスを利用するよりも外部からの攻撃やコンプライアンス違反を防止しやすくなります。

しかし、パスワードを高度に設定できる機能やログを監視できる機能をサービス側が提供したとしても、利用する側が機能を有効活用していないがために外部から攻撃されやすくなったり、法令に違反する場合というのも往々にしてあるものです。

2017年には、AWSユーザーがS3のアクセス権を誤って誰もがアクセスできる状態としたが故に、意図しない情報を外部に漏えいした事故がありました。その事故は、利用する側が適切な運用をしていないがためにセキュリティを確保できなかったという分かりやすい事例かと思います。

ISO27017には、クラウドサービスを利用するときや提供するときにとるべき管理策が記載されています。

管理策の対策を実施すればセキュリティとコンプライアンスの確保に繋がり、第三者機関の認証を受けてクラウドセキュリティ認証を取得することで、より信頼を得やすくなります。

少しでも興味があるなら、ぜひ一度ご相談を!

ISMSを新規取得するタイミングや継続審査のタイミングなどで、ISO27017の拡大審査を同時に行うクラウドサービス提供企業が年々増えてきています。

弊社もAWSの利用とSeculioの開発、運用、保守でクラウドセキュリティ認証を取得しました。

少しでもISO27017に興味があるなら、ぜひお気軽にLRMまでご相談くださいませ。

Author: 平山 倫太郎
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする