クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは？～クラウドのよさを活かす認証コンサル LRM 社幸松哲也社長に聞く

国際標準化機構（ ISO ）が「ISO / IEC 27001」のオプションとして、クラウドセキュリティ認証「ISO / IEC 27017」を2015年12月に発行し、一般財団法人日本情報経済社会推進協会（ JIPDEC ）は「 ISMS クラウドセキュリティ認証」として採用した。

また、特にクラウドサービス上の個人情報保護に関する認証制度として、同じく ISO / IEC 27001 のオプションとしての位置づけとなる「 ISO / IEC 27018 」も発行されており、クラウドコンピューティングのセキュリティ管理に関わる認証制度が整備されつつある。

そこで、ISO 27017 とは？ ISO 27018 との違いなどの疑問を、国内でも数少ない「ISO 27017」「ISO 27018」両方の認証取得コンサルティングサービスを取り扱う、LRM 株式会社代表取締役幸松哲也氏に話を聞いた。

●認証取得が目的のコンサルではなく、業務効率改善をゴールに支援

――まずは LRM について教えてください。

LRM は 2006 年に設立、2010 年頃からセキュリティコンサルティングサービスに注力しています。プライバシーマーク（ Pマーク）や ISMS / ISO 27001 をはじめとするセキュリティ認証の取得支援から、取得後の運用保守支援、また情報セキュリティ対策の構築支援などを行っているほか、独自のセキュリティサービスの提供も行っています。

ISMS / ISO 27001 取得の実績は 200 社以上、個人情報保護や情報セキュリティに関するコンサルティングサービスでは 600 社以上の実績があります。

LRM では 2016 年 2 月に ISO 27018 の取得コンサルティングサービスを開始し、すでに何社か取得の支援をさせていただいております。また、7 月から新たに ISO / IEC 27017 取得コンサルティングを開始し、第一号事例となる企業様の取得支援にすでに着手させていただいております。

LRM は、単に認証を取得するための文書の作成にとどまらず、提唱する「セキュリティダイエット」の考え方で、セキュリティ管理を行うことで、業務効率を上げることができる仕組み作りをご提案しています。

たとえば、クラウドサービスを使うときの社内ルールを作る際にも、認証規格に出てくるような難しい用語を使いません。また、現場のエンジニア、利用者である社員の方が使えるドキュメントを、一緒に作っていこうというというスタンスで取り組みます。

取得することが目的になってしまわないよう、取得後の運用においても業務の効率性を重視してアドバイスを心がけており、取得以降も継続してリピートいただくお客様が多いです。

● ISO 27017 と ISO 27018 の共通点と違い

――クラウドコンピューティングのセキュリティ規格である 27017 と 27018 、共通点と、その反対の違いを教えて下さい。

いずれも ISO 27001 のオプションとしてグローバルで始まっている認証制度です。オプションですので、ISO 27001 の認証を取得していることが前提になりますが、同時に認証を受けることもできます。

ISO 27001 は、すべての業務業態に対する、情報セキュリティの枠組みを PDCA も含めて作るというものですね。日本では JIPDEC が ISMS として認証を行っています。一方 ISO 27017 、ISO 27018 双方、ISO 27001 を前提にした、クラウドコンピューティングサービスに関する認証という点は共通しています。

ISO 27017 は、クラウドサービスを提供する側、利用する側の双方についての枠組みです。このため、SaaS を提供しているサービス事業者を中心に、認証取得に積極的です。ISO 27017 は原案を日本が提案しており、JIPDEC でも「ISMS クラウドセキュリティ認証」として新たに認証を始めています。世界では Amazon や Google など、大手クラウドベンダが取得しています。

一方、ISO 27018 はクラウドサービス上の個人情報の保護に限定した認証です。クラウド上に保管されている個人情報の扱いに関する枠組みで、サービスの提供者のみを対象としています。こちらは JIPDEC では扱っておらず、日本では BSI ジャパン（英国規格協会）が認証を実施しています。世界で最初に取得したのは Dropbox で、マイクロソフトの Azure も取得しています。日本では株式会社 TKC さんが一番に取得しています。LRM は、ChatWork 株式会社さんの ISMS および ISO 27018 の認証取得をお手伝いさせていただきました。

● ISO 27017 取得に要する期間・準備について

―― ISO 27017について、取得までの期間や準備すべきことを教えてください。

一般的に、ISO 27001 は 1 年間、ISO 27017 は 6 カ月間で取得できます。また、ISO 27001 を取得していれば 27017 の取得をさらに早めることもできます。そのタイミングは、ISO 27001 の更新審査の際に合わせて審査を受けるケースと、ISO 27017 の認証を追加する、「拡大認証」を行うケースがあります。準備するものについては、文書化しなければならないものが多くあります。それは、利用者に対して使い方などを説明するものや、社内に対しての利用手引きなどです。

また、透明性が求められるので、管理や運用をどのようにしているかなどを利用者に提示することも必要で、この文書も作成しなければなりません。方針や役割、バックアップや暗号化の実施状況、お客様が利用をやめた後のデータの削除のルールなどを決めておきます。特に、クラウドサービスの利用に際してお客様が感じている不安に対して、透明性と安心感を与える部分が強く求められます。なお、取得にあたって、新しいシステムや機器を導入するといった準備はほとんどの場合不要だと思います。

――ISO 27017 の受注状況と、今後の展開について教えてください。

現在 2 社のお客様の ISO 27017 の認証取得を支援しています。どちらもエンタープライズのお客様で、提供されている SaaS サービスが認証の対象となります。

それぞれ 8 月末と、9 月末の取得を目指しています。また LRM としては今後、コンサルティングをさらに拡充していく予定で、認証取得だけではなく、情報セキュリティに軸足を置きながら、業務改善への取り組みにも注力していきたいと考えています。

――ありがとうございました。