ISO/IEC 27017

ISO/IEC 27017は、国際標準化機構 (ISO) と国際電気標準会議 (IEC) の下に設置された ISO/IEC JTC 1/SC 27 小委員会により公開された、クラウドサービスプロバイダとその利用者が、より安全なクラウド環境を構築し、セキュリティ問題のリスクを軽減するために開発されたセキュリティ基準^[1]^[2]。ISO/IEC 27002をベースとして、不足していたクラウド環境におけるセキュリティ管理策を補い作成された、情報セキュリティマネジメントにおいて推奨されるベストプラクティスを提供するISO/IEC 27000 シリーズの規格である。

規格の正式名称と対応するJIS規格は次のとおり

ISO/IEC 27017 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
JIS Q 27017 情報技術 − セキュリティ技術 − JIS Q 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範

概要[編集]

ISO/IEC 27017 は、情報セキュリティ管理策を取り入れようとするクラウドサービスの利用者、ならびに、それをサポートするクラウドサービスプロバイダへ向けて、ガイドラインを提供する。ただし、適切な情報セキュリティ管理体制の選択やガイドラインが推奨する管理策の適用は、そのリスク評価に加えて、あらゆる法的、契約上、規制上の要件、また、クラウドを活用する部門固有の情報セキュリティ要件の影響を受け、異なってくる^[3]。

この規格は、ISO/IEC 27002で指示されている37の管理策に、クラウドサービスに関連する、以下の7つの管理策を追加することにより、クラウドサービスにおいて適用可能な情報セキュリティ管理のガイドラインを示している^[4]^[5]。

クラウドサービス利用時の役割および責任の明確化
サービス終了時の資産の除去または返却
仮想環境の分離保護
仮想マシンの適切な構成
クラウドサービスの管理操作手順
クラウドサービス利用者による監視
仮想と物理ネットワーク環境の調整

認証制度[編集]

クラウドサービスの市場が増進するにつれて、利用時のセキュリティに対しての懸念が広がっており、ISO/IEC 27017 の認証規格としての需要が高まっている^[6]。クラウドサービスの大手である、Google、Amazon.com、マイクロソフトは、自己のウェブサイト上にて認証取得を公表している^[7]^[8]^[9]。

日本国内では、2016年に情報セキュリティマネジメントシステム (ISMS) を取得する組織に対して、ISO/IEC 27017 に適合することを認定する第三者認証制度として、「ISMSクラウドセキュリティ認証制度」を開始した^[10]。

脚注[編集]

^ 国際標準化機構 (ISO). “ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services” (英語). 2021年2月2日閲覧。
^ テュフズード. “BS EN ISO/IEC 27001:2017 – What is ISO 27017?” (英語). 2021年2月2日閲覧。
^ 国際標準化機構 (ISO). “ISO/IEC 27017:2015(en) Introduction” (英語). 2021年2月2日閲覧。
^ BSIグループ. “ISO/IEC 27017” (英語). www.bsigroup.com. BSI Group. 2021年2月2日閲覧。
^ BSIグループ. “Extending ISO/IEC 27001 into the Cloud A Whitepaper” (PDF) (英語). www.bsigroup.com. BSI Group. 2021年2月2日閲覧。
^ 打川和男 (2017年3月7日). “クラウドセキュリティ規格解説：Microsoft、Google、AWSも取得した「ISO/IEC 27018」とは？ (1/2)”. www.atmarkit.co.jp. 2021年2月2日閲覧。
^ Google LLC. “ISO/IEC 27017”. 2021年2月2日閲覧。
^ Amazon Web Services, Inc. “ISO/IEC 27017:2015 コンプライアンス”. 2021年2月2日閲覧。
^ Microsoft Corporation (2020年12月4日). “ISO/IEC 27017:2015 情報セキュリティコントロールの実施基準”. 2021年2月2日閲覧。
^ 一般社団法人情報マネジメントシステム認定センター (ISMS-AC) (2016年8月1日). “ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証について” (PDF). 2021年2月2日閲覧。

[1] 国際標準化機構 (ISO). “ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services” (英語). 2021年2月2日閲覧。

[2] テュフズード. “BS EN ISO/IEC 27001:2017 – What is ISO 27017?” (英語). 2021年2月2日閲覧。

[3] 国際標準化機構 (ISO). “ISO/IEC 27017:2015(en) Introduction” (英語). 2021年2月2日閲覧。

[4] BSIグループ. “ISO/IEC 27017” (英語). www.bsigroup.com. BSI Group. 2021年2月2日閲覧。

[5] BSIグループ. “Extending ISO/IEC 27001 into the Cloud A Whitepaper” (PDF) (英語). www.bsigroup.com. BSI Group. 2021年2月2日閲覧。

[6] 打川和男 (2017年3月7日). “クラウドセキュリティ規格解説：Microsoft、Google、AWSも取得した「ISO/IEC 27018」とは？ (1/2)”. www.atmarkit.co.jp. 2021年2月2日閲覧。

[7] Google LLC. “ISO/IEC 27017”. 2021年2月2日閲覧。

[8] Amazon Web Services, Inc. “ISO/IEC 27017:2015 コンプライアンス”. 2021年2月2日閲覧。

[9] Microsoft Corporation (2020年12月4日). “ISO/IEC 27017:2015 情報セキュリティコントロールの実施基準”. 2021年2月2日閲覧。

[10] 一般社団法人情報マネジメントシステム認定センター (ISMS-AC) (2016年8月1日). “ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証について” (PDF). 2021年2月2日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

表話編歴 ISO標準
国際標準一覧 · ローマ字表記国際規格一覧 · 国際電気標準会議が定める国際標準一覧
1から 10000まで	1 2 3 4 5 6 7 9 16 31 -0 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 128 216 217 226 228 233 259 269 302 306 428 518 519 639 -1 -2 -3 -5 -6 646 668 690 732 764 843 898 965 1000 1004 1007 1073-1 1413 1538 1745 1989 2014 2015 2022 2047 2108 2145 2146 2240 2281 2382 2709 2711 2788 2852 3029 3103 3166 -1 -2 -3 3297 3307 3602 3864 3901 3977 4031 4157 4217 4909 5218 5428 5775 5776 5800 5964 6166 6344 6346 6385 6425 6429 6438 6523 6709 6937 7001 7002 7010 7098 7185 7200 7498 7736 7810 7811 7812 7813 7816 7942 8000 8178 8217 8571 8473 8583 8601 8613 8632 8652 8691 8807 8820-5 8859 -1 -2 -3 -4 -5 -6 -7 -8 -8-I -9 -10 -11 -12 -13 -14 -15 -16 8879 9000/9001 9075 -10 9126 9293 9241 -210 9362 9407 9506 9529 9564 9592 9594 9660 9897 9899 9945 9984 9985 9995
10001から 20000まで	10006 10021 10116 10118-3 10160 10161 10165 10179 10206 10218 10303 -11 -21 -22 -28 -238 10383 10487 10585 10589 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11519 11544 11783 11784 11785 11801 11898 11940 -2 11941 11941 (TR) 11992 12006 12100 12182 12207 12234 -2 -3 13211 -1 -2 13216-1 13250 13399 13406-2 13407 13450 13482 13485 13490 13522-5 13567 13568 13584 13616 14000 14031 14224 14229 14230 14289 14396 14443 14492 14496 -2 -3 -6 -10 -11 -12 -14 -17 -20 14644 -1 -2 -3 -4 -5 -6 -7 -8 -9 14649 14651 14698 -2 14750 14764 14882 14971 15022 15189 15288 15291 15292 15398 15408 15444 -3 15445 15438 15504 15511 15686 15693 15706 -2 15707 15765 -2 15836 15897 15919 15924 15926 15926 WIP 15930 15948 16023 16262 16612-2 16750 16949 17024 17025 17203 17369 17799 18000 18004 18014 18033 18092 18181 18245 18629 18916 19005 19011 19092 -1 -2 19100 19114 19115 19125 19136 19439 19500 19501 19502 19503 19505 19506 19507 19508 19509 19510 19600 19752 19757 -2 -3 -4 19770 19775 19784 19794-5 19831 20000
20001以上	20022 20121 21000 21047 21500 21827:2002 22000 22196 22250-1 22307 22324 23270 23271 23360 24517 24613 24617 24707 25178 25964 26000 26262 26300 26324 27000シリーズ 27000 27001:2005 27001:2013 27002 27003 27004 27005 27006 27007 27729 27799 28000 29110 29148 29199-2 29500 30170 31000 32000 37001 38500 40500 42010 80000 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 -14
組織	国際標準化機構
カテゴリ	ISO標準 ISO 31 ISO 639 ISO 3166 ISO 8859 ISO/IEC 80000 ISO/IEC標準
関連項目: ISOで始まる記事一覧

表話編歴 IEC標準
IEC標準	IEC 60027 IEC 60034 IEC 60320 IEC 60364 IEC 60906-1 IEC 60958 AES3 S/PDIF IEC 61131-3 IEC 61508
ISO/IEC標準	ISO/IEC 646 ISO/IEC 1539 ISO/IEC 1989 ISO/IEC 2022 ISO/IEC 2382 ISO/IEC 4909 ISO/IEC 6937 ISO/IEC 7185 ISO/IEC 7498 ISO/IEC 7810 ISO/IEC 7811 ISO/IEC 7812 ISO/IEC 7813 ISO/IEC 8613 ISO/IEC 8652 ISO/IEC 8859 ISO/IEC 8859-1 ISO/IEC 8859-5 ISO/IEC 8859-6 ISO/IEC 8859-7 ISO/IEC 8859-9 ISO/IEC 8859-10 ISO/IEC 8859-11 ISO/IEC 8859-13 ISO/IEC 8859-14 ISO/IEC 8859-15 ISO/IEC 8859-16 ISO/IEC 9075 ISO/IEC 9126 ISO/IEC 9594 ISO/IEC 9899 ISO/IEC 9945 ISO/IEC 10021 ISO/IEC 10179 ISO/IEC 10279 ISO/IEC 10646 ISO/IEC 10918 ISO/IEC 11172 ISO/IEC 11544 ISO/IEC 11801 ISO/IEC 12207 ISO/IEC 13568 ISO/IEC 13816 ISO/IEC 13818 ISO/IEC 14443 ISO/IEC 14492 ISO/IEC 14496 ISO/IEC 14496-10 ISO/IEC 14496-14 ISO/IEC 14882 ISO/IEC 15408 ISO/IEC 15444 ISO/IEC 15445 ISO/IEC 15504 ISO/IEC 15938 ISO/IEC 17025 ISO/IEC 18004 ISO/IEC 18033 ISO/IEC 18092 ISO/IEC 19757 ISO/IEC 19757-2 ISO/IEC 19784 ISO/IEC 20000 ISO/IEC 21000 ISO/IEC 23270 ISO/IEC 23271 ISO/IEC 26300 ISO/IEC 27000 シリーズ ISO/IEC 27002 ISO/IEC 27017 ISO/IEC 29500 ISO/IEC 30170 ISO/IEC 42010 ISO/IEC 80000 IEC 80000-6 IEC 80000-13
関連項目	国際電気標準会議