ここ数年、クラウドサービスが大小を問わない様々な企業・団体で導入されるようになってきました。
利便性やサービスの多様性、また、自社でシステムを構築する場合に比べて遥かに安価なコストで目的の機能を実現できる点など、次第にクラウド利活用の利点が認知され始めています。

そのような便利なクラウドサービスですが、一方で、自社へのクラウドサービス導入を躊躇している企業・団体が少なからず存在することも事実です。

総務省が発表した『平成26年度通信利用動向調査』によると、クラウドサービスを利用しない理由としては、「セキュリティや安定性に対する不安」と「必要性を感じていないこと」を理由に挙げた企業がそれぞれが44.7％と同着で最も高く、ついで、「メリットが分からない、判断できない」（22.5%）、「既存システムの改修に必要なコストが大きい」（19.1％）となっています。
現状は、セキュリティ・稼働面における安定性や、サービス自体の必要性について疑問視している企業が多いのが実情と言えます。

実際、クラウドサービスの利活用にあたっては、「(クラウド事業者に)預けたデータの流失」「データを格納する先の安全対策」「サービス終了に伴うユーザー情報の取扱い」など、クラウドサービスを利用する側も提供する側も、これまでの常識とは異なる、様々な対策を検討しなければなりません。

これまで、企業の情報セキュリティ体制を構築する指針としては、ISO27001が大きな役割を担ってきました。

企業・団体が自社内の情報資産全般を守るために、様々なリスクを分析・評価したり、システム・IT面における対策や従業員管理、組織体制の見直しや経年のPDCAサイクルなどに取り組んだりといった、ISO27001に準拠したマネジメント・システムの構築が、認証取得組織の情報セキュリティ水準を大きく向上させてきました。

しかし一方、世の中ではクラウド技術が目覚ましい発展を遂げており、ISO27001のみではカバーしきれない部分のリスクが散見されるようになり、それら「クラウドリスク」への早々の対応が、様々な企業・団体における喫緊の課題となっています。

そうしたクラウドリスクにさらされる情報の代表格の一つが個人情報です。
身の回りの様々な「モノ」が、意識しないままにインターネットに繋がるIoT(Internet of Things)によって、消費者自身の個人情報が様々なクラウドサービス上に保管・蓄積されていきます。

各事業者は、単にシステムとして情報セキュリティ体制を構築するだけではなく、クラウド上における様々な個人情報の適正な取り扱いが求められるようになります。

誤解のないように申し上げておくと、ISO27001のみでは「クラウドリスク」に対応できないわけではありません。

しかし、より具体的な、より実践的なセキュリティ管理策が求められるビジネスの現場においては、より明確な指針になり得る「基準」が求められていたことも事実です。

そこで登場したのが、ISO27017認証をはじめとする「クラウドセキュリティ」に関する第三者認証です。

ISO27017認証は、それまでのISO27001認証を否定するのではなく、「これまでのISO27001における取り組みをさらに強化する方法・管理策」「ISO27001では言及されていなかった方法・管理策」を取りまとめ、ISO27001認証を補完する新規格となっています。

ISO27018認証は、ISO27001認証ではあくまで情報資産の一つとして取り扱っていたパブリック上の個人情報保護に焦点を当て、その適正な取扱を促進する新規格です。

クラウド時代の、新たに迫り来るクラウドリスクに対応できるようISO27001をさらに充実させるアドオン認証、それがクラウドセキュリティに特化したISO27017認証やISO27018の認証の正体です。