クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.17(火)

クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

ISO 27017 とは? ISO 27018 との違いなどの疑問を、国内でも数少ない「ISO 27017」「ISO 27018」両方の認証取得コンサルティングサービスを取り扱う、LRM 株式会社 代表取締役 幸松哲也氏に話を聞いた。

特集 特集
LRM株式会社 代表取締役社長 幸松 哲也 氏
LRM株式会社 代表取締役社長 幸松 哲也 氏 全 3 枚 拡大写真
国際標準化機構( ISO )が「ISO / IEC 27001」のオプションとして、クラウドセキュリティ認証「ISO / IEC 27017」を2015年12月に発行し、一般財団法人日本情報経済社会推進協会( JIPDEC )は「 ISMS クラウドセキュリティ認証」として採用した。

また、特にクラウドサービス上の個人情報保護に関する認証制度として、同じく ISO / IEC 27001 のオプションとしての位置づけとなる「 ISO / IEC 27018 」も発行されており、クラウドコンピューティングのセキュリティ管理に関わる認証制度が整備されつつある。

そこで、ISO 27017 とは? ISO 27018 との違いなどの疑問を、国内でも数少ない「ISO 27017」「ISO 27018」両方の認証取得コンサルティングサービスを取り扱う、LRM 株式会社 代表取締役 幸松哲也氏に話を聞いた。


●認証取得が目的のコンサルではなく、業務効率改善をゴールに支援

――まずは LRM について教えてください。

LRM は 2006 年に設立、2010 年頃からセキュリティコンサルティングサービスに注力しています。プライバシーマーク( Pマーク)や ISMS / ISO 27001 をはじめとするセキュリティ認証の取得支援から、取得後の運用保守支援、また情報セキュリティ対策の構築支援などを行っているほか、独自のセキュリティサービスの提供も行っています。

ISMS / ISO 27001 取得の実績は 200 社以上、個人情報保護や情報セキュリティに関するコンサルティングサービスでは 600 社以上の実績があります。


LRM では 2016 年 2 月に ISO 27018 の取得コンサルティングサービスを開始し、すでに何社か取得の支援をさせていただいております。また、7 月から新たに ISO / IEC 27017 取得コンサルティングを開始し、第一号事例となる企業様の取得支援にすでに着手させていただいております。

LRM は、単に認証を取得するための文書の作成にとどまらず、提唱する「セキュリティダイエット」の考え方で、セキュリティ管理を行うことで、業務効率を上げることができる仕組み作りをご提案しています。

たとえば、クラウドサービスを使うときの社内ルールを作る際にも、認証規格に出てくるような難しい用語を使いません。また、現場のエンジニア、利用者である社員の方が使えるドキュメントを、一緒に作っていこうというというスタンスで取り組みます。

取得することが目的になってしまわないよう、取得後の運用においても業務の効率性を重視してアドバイスを心がけており、取得以降も継続してリピートいただくお客様が多いです。

● ISO 27017 と ISO 27018 の共通点と違い

――クラウドコンピューティングのセキュリティ規格である 27017 と 27018 、共通点と、その反対の違いを教えて下さい。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法

    高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法

  2. 「OpenSSL」アップデート、情報漏えいなどの脆弱性に対応(JVN)

    「OpenSSL」アップデート、情報漏えいなどの脆弱性に対応(JVN)

  3. OTネットワークを可視化しセキュリティリスクを監視(NRIセキュア)

    OTネットワークを可視化しセキュリティリスクを監視(NRIセキュア)

  4. 「マグちゃんオンラインショップ」に不正アクセス、最大2,905件のカード情報が流出の可能性(宮本製作所)

    「マグちゃんオンラインショップ」に不正アクセス、最大2,905件のカード情報が流出の可能性(宮本製作所)

  5. LINEの「apng-drawable」に任意コード実行などの脆弱性(JVN)

    LINEの「apng-drawable」に任意コード実行などの脆弱性(JVN)

  6. 「CODE BLUE」全25セッションの講演者が決定(CODE BLUE実行委員会)

    「CODE BLUE」全25セッションの講演者が決定(CODE BLUE実行委員会)

  7. 「なんとかデータベース」へ不正アクセス、会員情報169,843件が流出の可能性(スープレックス)

    「なんとかデータベース」へ不正アクセス、会員情報169,843件が流出の可能性(スープレックス)

  8. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  9. 県立高校で保護者への台風15号に関する通知メールを誤送信(埼玉県)

    県立高校で保護者への台風15号に関する通知メールを誤送信(埼玉県)

  10. 業務用ノートパソコン1台を遺失、遠隔操作でパスワードを複雑化(ゼットン)

    業務用ノートパソコン1台を遺失、遠隔操作でパスワードを複雑化(ゼットン)

ランキングをもっと見る