ISO27017を取得することで、メリットがあることは、以前にも紹介しました。弊社のブログ・Webページ以外でも、多くの会社が27017を取得することでどんなメリットがあるかを紹介しています。

しかし、気になるデメリット、つまり、ISMSを取得している企業が、新たにISO27017を取得するときにかかる手間やコストを紹介しているページは少ないと思います。

担当者は、得られるメリットよりも、むしろコストのほうが心配かもしれません。ここでは、ISO27017を取得するときにかかるであろう、主な手間・コストを3つご紹介します。

1、リスク分析、内部監査の手間が増える

新たにクラウドセキュリティ認証であるISO27017を取得するため、自社が提供及び利用しているクラウドサービスに対して、クラウドに関するリスク分析や、内部監査を行う必要があります。

単純にISO27001だけのリスク分析や内部監査よりも時間がかかってしまうことはもちろんですが、リスク分析を実施する人や内部監査人が、それ相応のクラウドセキュリティに関する知識を持っていないと、適切なリスク分析や内部監査が実施できません。

つまりは、時間的なコストと、学習コストの両方が必要となります。

2、Webページに自社の情報を公開する必要がある

これは、クラウドサービス提供者(CSP)としてISO27017を取得する場合のコストです。

ISO27017のCSPに向けた管理策には、自社のクラウドサービスに関する情報を「提供する」「開示する」という記述が多く存在します。

これは、クラウドセキュリティ認証の目的が、サービスに関する情報をクラウドサービス利用者に提供することにより、サービス利用者が、適切なリスクマネジメントを行うことを手助けすることだからです(*1)。

よって、例えば、自社がバックアップをどの頻度で実施しているのか、顧客から預かったデータを暗号化しているか、データはどの国に保管されているのか、…などなど、いくつかの情報を、サービスを利用している人や、サービスの利用を新たに検討している人に対して、公開する必要があります。

公開は、サービスを紹介するページでも良いですし、PDFでもいいですし、場合によっては利用規約などに記載するケースもあります。そのため、Webページや利用規約の改修などのコストがかかります。

3、利用しているクラウドサービスの機能や性質を調べる必要がある

先程はCSPとしてISO27017を取得するためのコストでしたが、今回はクラウドサービス利用者(CSC)としてISO27017を取得する場合のコストについてお話します。

勘の良い方はお察しかもしれませんが、ISO27017が、利用者のリスクマネジメントの手助けをすることを目的として、CSPに情報を「提供する」ことを求めているということは、CSCはサービス提供元に対して、リスクマネジメントを行う際に必要な情報を「要求する」ことを求めています。

そのため、CSCとしてISO27017を取得する場合は、利用しているクラウドサービスや、新たに利用するクラウドサービスの情報セキュリティに関する機能や性質をチェックする必要があります。

具体的には、先ほどのCSPが提供しなければならない情報の裏返しになるのですが、サービス内でバックアップが実施されているか、サービス内で自社のデータは暗号化されているか、自社のデータはどの国に保管されているのか、などを調べる必要があります。

以上、ISO27017を取得する場合の3つの主要な手間・コストを紹介しました。

当たり前のことではありますが、ISMSの単独運用に比べると、少なからずコストがかかってしまいます。

多くのクラウドサービスを提供したり、多くのクラウドサービスを利用したりしている場合は、それに比例して、手間やコストがかかってしまいます。

弊社では、ISO27017の取得に関するご相談や、ISO27017認証取得コンサルティングサービスを提供しておりますので、ISO27017に関して不明点のある方や、興味のある方は、ぜひお気軽にお問い合わせください。

LRMのISO27017コンサルティングページはこちら！

(*1)日本情報経済社会推進協会「JIP-ISMS517」より