ISMSクラウドセキュリティ認証は、一般的にISO27017認証とも呼ばれたりするため、多くの方が「ISO27017に沿った情報セキュリティ対策やマネジメントシステムを構築すれば、認証が取得できる」と考えています。
しかし、残念ながらそれは誤解であり、同認証を取得するには、JIPDECが発行している「JIP-ISMS517」というドキュメントに基づいたマネジメントシステムを構築することが求められています。その証拠に、同認証制度を運営するJIPDECは、認証制度の説明資料の中で、以下の様に述べています。
ISO/IEC 27017:2015は、クラウドサービス固有の情報セキュリティ管理策および実施の手引を追加するガイドライン規格であり、ISMS構築時に用いられる認証基準(要求事項)の類ではない。 (中略) ISMSクラウドセキュリティ認証を希望する組織は、ISO/IEC 27001:2013及びJIP-ISMS517-1.0への適合が求められる。
JIPDEC「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証について」
ISMS認証を取得している組織でないと、ISO27017認証は取得できないため、「ISO/IEC 27001:2013への適合」の意味は理解できます。
では、「JIP-ISMS517-1.0」への適合とは、一体何を意味しているのでしょうか。
コンサルタントがISO27017を徹底解説!
JIPの意味
JIPとは各要求事項ドキュメント識別番号の先頭に付与される文字列であり、JIPDEC(一般財団法人 日本情報経済社会推進協会)の先頭3文字分の「JIP」から来ています。ちなみにJIPDECとは正式には、
「Japan Institute for Promotion of Digital Economy and Community」と表記します。
JIP-ISMS517を入手するには
JIP-ISMS517は、JIPDECのWebページから無料でDLすることが出来ます。なにはともあれ、一度ダウンロードしてみましょう。
JIP-ISMS517には何が書かれているのか
JIP-ISMS517は、10ページ程度の文書で、ISO27017に記載されている管理策を用いたマネジメントシステムを構築するための枠組みが記載されています。
具体的には、以下の3つの内容について記載されています。
- クラウドセキュリティマネジメントシステムの適用範囲を決めましょう
- ISO27017に記載されている管理策を用いてリスクアセスメントをしましょう
- 内部監査をしましょう
他にもさまざまな情報が記述されています。全部で10ページ程度の文書ですので、もしISMSクラウドセキュリティ認証を希望される場合は、しっかりと内容に目を通しておいた方がよいでしょう。
これだけを見ると、従来のISMS/JIS Q 27001となにが違うのか、疑問に思う方もいると思います。そのために、簡単に記載されている内容をご紹介します。
それでは上記3つの内容について、個別に見ていきましょう。
4.1 適用範囲の決定
ここでは、クラウドサービスを含めたISMSの適用範囲を定めることを組織に要求しています。
「適用範囲は文書化しなければならない」など、JIS Q 27001とよく似た要求事項が書かれていますが、興味深いのは「文書化した情報には、クラウドサービス名を含む必要がある」と記載されていることです。
また、クラウドサービスプロバイダがサービスを提供する際に、別のクラウドサービスを利用している場合、クラウドサービスプロバイダとクラウドサービスカスタマの両方を適用範囲と設定する必要があります。
ちなみに、クラウドサービスプロバイダとは、クラウドサービスを提供する組織のことであり、クラウドサービスカスタマとは、クラウドサービスを利用している組織のことです。
なおISO/IEC 27017ではクラウドサービスプロバイダが管理する情報セキュリティの対象には、クラウドサービスカスタマの情報セキュリティ対策のための情報提供や機能提供も含まれると決められています。
4.2 リスクアセスメント/リスク対応
ここでは、クラウドサービスに関するリスクをアセスメントし、必要に応じて対応することを求めています。JIS Q 27001との違いは、「クラウドサービスに関するリスク」が対象になっていること、リスク対応において、ISO27017に記載されている管理策を考慮に入れる必要があることなどがあげられます。暗に、従来のリスクアセスメント手法とは異なったアセスメント手法を確立することを求めていると解釈することもできます。
ここでの情報セキュリティリスクアセスメントと、情報セキュリティリスク対応について詳しく見ていきましょう。
まず、情報セキュリティリスクアセスメントとして、そのプロセスを定めて適用することが求められています。そのための情報セキュリティリスクの特定の方法として、クラウドサービスに関する情報の機密性・完全性・可用性の喪失のリスクを特定するためにアセスメントのプロセスを適用し、リスク所有者の特定することがあげられています。
アセスメントが済んだら次は情報セキュリティリスク対応です。まずISMSの適用範囲内のクラウドサービスのリスクアセスメントの結果を見て、情報セキュリティリスク対応を選定します。
次に選定された情報セキュリティリスク対応に必要な管理策を決定し、それがISO27017に示された管理策と比較して、必要な管理策が見落とされていないかチェックします。
最後に「必要な管理策」「その管理策を含めた理由」「その管理策を実施しているかどうか」「ISO27017に示す管理策を除外した理由」などを含めた適用宣言書を作成して、リスク対応は完了です。
JIP-ISMS517には適用宣言書のサンプルが記載されているため、適用宣言書を作成するときに参考にすると良いでしょう。
なお、クラウドサービスに関するリスクのアセスメントに関しては、ISO27017の附属書Bに参考文献が掲載されているため、そちらを確認するのも良いでしょう。
4.3 内部監査
ここでは、クラウドサービスに関する内部監査の実施を組織に要求しています。JIS Q 27017およびJIP-ISMS517の要求事項に基づいたISMSが構築できているかを監査することを要求しています。
具体的には以下のような内容の監査を実施します。
- ISMSに関して組織自体が規定した要求事項に適合しているかどうか
- JIP-ISMS517(JIS Q 27001を含む)の要求事項に適合しているかどうか
- クラウドサービスが有効に実施され、維持されているかどうか
なお内部監査の一部に、独立した第三者からのレビュー(外部監査)の結果を利用することや、クラウドサービスの提供にかかる情報セキュリティガバナンス及びマネジメントに関するコミットメントが正しく実施することが望ましいと記載されています。
ISMSクラウドセキュリティ認証は、ISO27017認証と呼ばれるだけあって、どうしてもISO27017規格に目が行きがちですが、実際の審査では、このJIP-ISMS517に沿ったマネジメントシステムが構築できているか、そして、そのマネジメントシステムの中で、管理策集であるISO27017が適切に利用されているかどうかをチェックされます。
同認証を取得するためには、ISO27017ありきではなく、JIP-ISMS517にかかれている内容にもとづいて、ISO27017を適切に利用するようにすべきです。
まとめ
この記事では、ISO27017認証のための条件となるJIP-ISMS517-1.0への適合についてご紹介しました。JIP-ISMS517は10ページ程度の内容ですが、クラウドセキュリティの確立には欠かせない内容ばかりが記載されている重要な文書です。ISMSクラウドセキュリティ認証を目指しているのでしたら、まずはJIP-ISMS517に適合したマネジメントシステムが構築できているかチェックしましょう。
弊社では、貴社で「運用できる」認証取得を目標としたセキュリティコンサルティングサービスを行っております。ISO27017/クラウドセキュリティにも対応しておりますので、ぜひご検討いただけますと幸いです。
また、こちらの資料は、弊社の経験豊富な情報セキュリティコンサルタントがISO27017の管理策79個を全て解説した一覧表です。まずは無料でダウンロードしてご確認ください。
