2016年10月13日

ISO27017 VS ISO27018 ~どちらを取得するべき?~

lrmcorp
LRM株式会社 記事一覧
Posted in ISO27017, ISO27018,   Tagged , , ,
このエントリーをはてなブックマークに追加 LINEで送る

ISO27001をベースとしたISMS認証などでおなじみの「ISO規格」ですが、最近、クラウドセキュリティに特化した「ISO27017」と「ISO27018」が仲間入りしました。

そこで、今回はその2つのクラウドセキュリティに特化したISO規格を比較していきます。どちらの認証を取得するか迷われている企業様の参考になれば幸いです。

(1) 正式名称を比較してみる

ISO27018規格の正式名称は「Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors」です。日本語にすると

「PIIプロセッサとしてパブリッククラウド内で個人情報を保護するための実践の規範」

となります。クラウドサービスに関する規格ではありますが、その中でも「パブリッククラウド」「個人情報」などに限定した規格であることがわかります。

また、ISO27017規格の正式名称は「Code of practice for information security controls based on ISO/IEC 27002 for cloud services」です。日本語にすると

「ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範」

となります。ISO/IEC 27002とは、通常のISMSのリスクアセスメントで利用される管理策と、その実施の具体例が掲載されている規格です。つまり、従来のISMSで行う管理策(リスク対策)の枠組みを、クラウドサービスまで拡大した規格である事がわかります。

(2) 認定機関・審査機関を比較してみる

現在ISO27018の認証審査は、「BSIジャパン」や「GNV GL」といった審査機関がおこなっています。

一方で、ISO27017は、JIPDECが認定機関(審査機関を審査する機関)となり、BSIジャパンを始めとした様々な審査機関によって審査が行われる予定です(2016年9月現在では、まだJIPDEC認定のもとでの審査は行われておりません)。

JIPDECはISMS認証制度やプライバシー制度を運営している機関ですので、認証制度としての信頼性は、ISO27017のほうが高いかもしれません。

(3) 知名度を比較してみる

結論から言うと、今現在の知名度は、両者に差はないと思います。

両者とも、「普通の人は知らないが、クラウドやセキュリティに詳しい人は知っている」といった程度の知名度だと思います。

しかし、今後はISO27017のほうが有名になっていくのではないかと思います。

その背景には、先程も述べたとおり、JIPDECが始めた「ISMSクラウドセキュリティ認証制度」があります。

また、ISO27017は、クラウドサービスであれば種類を問わず適用できる点や、サービスの利用者と提供者の双方に向けた規格であることからも、ISO27018と比べて、今後広まっていく可能性は高いかと思います。

以上、3つの観点から、ISO27017とISO27018を比較してみました。

パブリッククラウドで扱う個人情報を集中的に保護したい場合は「ISO27018」を、クラウドの利用や提供に関する情報セキュリティを、まんべんなく実施したいという場合は「ISO27017」を利用するのが良いのではないでしょうか。

参考記事

ScanNetSecurity「クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは?」(2016/07/21)

LRMがご提供するISO27017認証取得コンサルティングについてはこちら

このエントリーをはてなブックマークに追加 LINEで送る

2016年10月13日

ISO27017 VS ISO27018 ~どちらを取得するべき?~

Posted in ISO27017, ISO27018

ISO27001をベースとしたISMS認証などでおなじみの「ISO規格」ですが、最近、クラウドセキュリティに特化した「ISO27017」と「ISO27018」が仲間入りしました。

そこで、今回はその2つのクラウドセキュリティに特化したISO規格を比較していきます。どちらの認証を取得するか迷われている企業様の参考になれば幸いです。

(1) 正式名称を比較してみる

ISO27018規格の正式名称は「Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors」です。日本語にすると

「PIIプロセッサとしてパブリッククラウド内で個人情報を保護するための実践の規範」

となります。クラウドサービスに関する規格ではありますが、その中でも「パブリッククラウド」「個人情報」などに限定した規格であることがわかります。

また、ISO27017規格の正式名称は「Code of practice for information security controls based on ISO/IEC 27002 for cloud services」です。日本語にすると

「ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範」

となります。ISO/IEC 27002とは、通常のISMSのリスクアセスメントで利用される管理策と、その実施の具体例が掲載されている規格です。つまり、従来のISMSで行う管理策(リスク対策)の枠組みを、クラウドサービスまで拡大した規格である事がわかります。

(2) 認定機関・審査機関を比較してみる

現在ISO27018の認証審査は、「BSIジャパン」や「GNV GL」といった審査機関がおこなっています。

一方で、ISO27017は、JIPDECが認定機関(審査機関を審査する機関)となり、BSIジャパンを始めとした様々な審査機関によって審査が行われる予定です(2016年9月現在では、まだJIPDEC認定のもとでの審査は行われておりません)。

JIPDECはISMS認証制度やプライバシー制度を運営している機関ですので、認証制度としての信頼性は、ISO27017のほうが高いかもしれません。

(3) 知名度を比較してみる

結論から言うと、今現在の知名度は、両者に差はないと思います。

両者とも、「普通の人は知らないが、クラウドやセキュリティに詳しい人は知っている」といった程度の知名度だと思います。

しかし、今後はISO27017のほうが有名になっていくのではないかと思います。

その背景には、先程も述べたとおり、JIPDECが始めた「ISMSクラウドセキュリティ認証制度」があります。

また、ISO27017は、クラウドサービスであれば種類を問わず適用できる点や、サービスの利用者と提供者の双方に向けた規格であることからも、ISO27018と比べて、今後広まっていく可能性は高いかと思います。

以上、3つの観点から、ISO27017とISO27018を比較してみました。

パブリッククラウドで扱う個人情報を集中的に保護したい場合は「ISO27018」を、クラウドの利用や提供に関する情報セキュリティを、まんべんなく実施したいという場合は「ISO27017」を利用するのが良いのではないでしょうか。

参考記事

ScanNetSecurity「クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは?」(2016/07/21)

LRMがご提供するISO27017認証取得コンサルティングについてはこちら

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする