ISMSクラウドセキュリティ認証（ISO/IEC 27017)を企業が取得するメリット

サイバー攻撃の脅威がますます高まる中、企業はクラウドサービスを効果的に事業に活用しながら、同時に情報セキュリティ対策も強化しなければなりません。

ISMSクラウドセキュリティ認証（ISO/IEC 27017）は、クラウドサービスを提供している、もしくはクラウドサービスを利用してビジネスを進めている企業にとって情報セキュリティリスクを適切に管理していることを証明するために取得しておくと良いと言えます。

本記事では、ISMSクラウドセキュリティ認証を取得するメリットと、企業が取り組むべき情報セキュリティ対策について詳しく解説します。

ISMSクラウドセキュリティ認証（ISO/IEC 27017）の要求事項

ここではまず、 ISMSクラウドセキュリティ認証（ISO/IEC 27017）の基本概要や認証制度が求める要求事項を確認しておきましょう。

ISO/IEC 27017とは

「ISO/IEC 27017」は、クラウドサービスの情報セキュリティに関する国際規格です。

ISO/IEC 27001の一部としてクラウド環境における情報セキュリティに関する特定の要件を提供しています。

また、ISMSクラウドセキュリティ認証は、ISO/IEC 27001とISO/IEC 27017の要件に準拠することを証明するための認証プロセスの一環です。

そのため、ISMSクラウドセキュリティ認証を取得する際には、ISO/IEC 27001を事前に取得しておくか、ISO/IEC 27001とISO/IEC 27017の両方を同時に取得する必要があります。

ISMSクラウドセキュリティ認証の要求事項

ISMSクラウドセキュリティ認証を取得するにあたって、必要とされる要求事項は以下の3点となります。

1. 適用範囲の決定
2. リスクアセスメントとリスク対応
3. 内部監査の実施

1.適用範囲の決定

クラウドサービスの提供者か、クラウドサービスの利用者か、または両方の立場を兼ねているのかを、明確にする必要があります。

それによって、どんな管理策が必要となるか変わってくるからです。

そのうえで、適用範囲を明確にしておきます。

適用範囲とは、ISMSクラウドセキュリティ認証の対象とする組織や部署、事業のことです。

ベースとなるISO/IEC 27001の適用範囲と同じか、その一部である必要があります。

2.リスクアセスメントとリスク対応

自社の立場を踏まえ、クラウドサービスに関するリスクアセスメントを行います。

リスクアセスメントとは、リスクの特定、分析、評価を行うこと。

そのうえで、特定したリスクへの対応策（管理策）を準備します。

ISO/IEC 27001の附属書 A や ISO/IEC 27017 の管理策を確認し、抜け漏れがないかチェックしましょう。

3.内部監査の実施

ISMS とISMSクラウドセキュリティ認証の要求事項が満たされているか、構築した管理体制が適切に運用されているかを確認するため、内部監査を実施します。

内部監査は、企業内の担当者または依頼した外部コンサルタントが行うことになります。

要求事項の狙いは、クラウドサービスに関連するリスクを適切に特定し、対応する管理策を構築し、その運用状況を継続的に監視することにあります。

そのため、自社のクラウド利用形態を明確にすることと、体系的なリスク管理が重要となります。

ISMSクラウドセキュリティ認証（ISO/IEC 27017）を企業が取得することによるメリット

それでは次に、ISMSクラウドセキュリティ認証(ISO/IEC27017)取得のメリットを以下で説明します。

クラウドセキュリティに関する信頼性の向上

クラウドサービスへの不安は多くの企業が抱えている課題です。

もし自社がクラウドサービスの提供者だった場合は、ISMSクラウドセキュリティ認証（ISO/IEC 27017）を取得することで、ユーザーに対してセキュリティ水準が国際規格に適合するほど高いことをアピールできます。

自社がクラウドサービスの利用書だった場合でも、認証取得により、クラウドサービスを利用する上で取り扱う情報やデータ管理の安全性の高さをアピールすることに繋がります。

その結果、クラウドサービスや事業の信頼性が高まることは間違いないでしょう。

コンプライアンスの証明

ISMSクラウドセキュリティ認証（ISO/IEC 27017）を取得することで、コンプライアンスを徹底している証にもなります。

実際に自治体等では、入札要件にISMSクラウドセキュリティ認証（ISO/IEC 27017）取得を条件に加えるケースもまま増えており、企業に求めるコンプライアンスレベルの高まりを感じる一つの事象ではないでしょうか。

セキュリティリスク管理の強化

ISMSクラウドセキュリティ認証（ISO/IEC 27017）の取得に向けた取り組みを通じて、クラウドサービスの提供や利用に伴うリスクを体系的に洗い出し、適切な対策を講じることになります。

結果として、ビジネスの継続性とサービスの可用性を高めることに繋がるでしょう。

ビジネス競争力の向上

クラウド活用が進むと、必然的にセキュリティ水準の高い企業としての評価が高まります。

ISMSクラウドセキュリティ認証（ISO/IEC 27017） は、優れたクラウドセキュリティ対策を行っていることを客観的に証明するものであり、新規顧客獲得や取引先選定など、ビジネス機会を拡大することができるはずです。

認証取得だけでは不十分？企業が取り組むべき情報セキュリティ対策

ISMSクラウドセキュリティ認証は、取得がゴールではありません。

今後発生するさまざまな脅威に迅速に対処できるよう、継続的な対策の徹底と改善に取り組むことが必要不可欠となります。

継続的な情報セキュリティ対策の重要性

セキュリティ分野では脅威や攻撃手法が日々進化しているため、継続的なリスク監視と対策の見直しは必須です。

具体的には、以下のようなプロセスを継続的に実施する必要があるでしょう。

• 定期的なリスクアセスメントの実施
• 新たな脆弱性や脅威の特定
• 対策の有効性の検証と改善
• セキュリティ技術や対策手法の最新動向のフォロー
• セキュリティポリシーやプロセスの継続的な見直し

企業は、認証取得をゴールとするのではなく、情報セキュリティ対策の改善を継続することが重要となります。

従業員への教育と啓発活動

クラウドセキュリティ認証を取得しても、従業員のセキュリティ意識が低ければ効果がありません。

従業員一人ひとりの行動が、企業全体のセキュリティ水準を左右するためです。

そのため、定期的な社内教育を実施し、以下のようなセキュリティリテラシーを従業員に身につけさせる必要があるでしょう。

• クラウドサービスの適切な利用方法
• 標的型攻撃やフィッシング詐欺への対処方法
• パスワードの適切な管理
• USBメモリやモバイルデバイスの適切な利用
• インシデント発生時の対応手順

さらに、経営層から新入社員や業務委託社員まで、セキュリティ意識を浸透させるための啓発活動も欠かせません。

まとめ:さらなるセキュリティ対策を行いたいならNECネッツエスアイにご相談を

ISMSクラウドセキュリティ認証（ISO/IEC 27017）の取得に加え、さらなるクラウドサービスにおけるセキュリティ対策の強化をお考えであれば、NECネッツエスアイにぜひご相談ください。

NECネッツエスアイでは、豊富な経験と実績に基づき、お客様に最適なセキュリティ対策をご提案し、導入から運用まで一貫してサポートすることが可能です。