ISO/IEC 27017 あいえすおー にまんななせんじゅうなな
簡単に言うとこんな感じ!
クラウドを使うときの「情報セキュリティのお作法集」だよ!「このクラウドサービス、本当に安全に使えるの?」って不安になるよね。ISO 27017はそんな不安に応えるために、クラウドを提供する側・使う側それぞれが守るべきルールをまとめた国際規格なんだ!
ISO/IEC 27017とは
ISO/IEC 27017は、クラウドサービスにおける情報セキュリティ管理のための国際規格で、2015年に発行されました。正式名称は「ISO/IEC 27017:2015 — Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services」といい、クラウド環境に特化したセキュリティガイドラインを定めています。
この規格は、クラウドサービスプロバイダー(CSP)とクラウドサービスカスタマー(CSC)、つまりサービスを提供するベンダー側と利用する企業側の両方に向けた指針を含んでいます。「どこまでがベンダーの責任で、どこからが利用者の責任か」というクラウド特有の曖昧さを解消するための責任分界点の明確化が、この規格の最大のポイントです。
情報セキュリティの基盤となる規格 ISO/IEC 27001(ISMS)や ISO/IEC 27002(セキュリティ管理策の実践規範)を補完する位置づけで、クラウド固有のリスクに対応した管理策が追加・拡張されています。クラウドサービスを業務で利用する企業が取引先やパートナーにセキュリティ対策を証明したい場合に、認証取得の根拠規格として活用されます。
ISO 27017の構造と管理策
ISO 27017は、ISO 27002の既存の管理策にクラウド向けのガイダンスを追加し、さらにクラウド固有の新しい管理策を加えた構成になっています。
| 構成要素 | 内容 |
|---|---|
| ISO 27002ベース管理策 | 既存の114の管理策にクラウド向けガイダンスを追記 |
| クラウド固有の追加管理策 | クラウド特有のリスクに対応した7つの新規管理策 |
| 適用対象 | CSP(提供者)とCSC(利用者)の両方 |
クラウド固有の7つの追加管理策
ISO 27017で新たに追加されたクラウド専用の管理策は以下の7項目です:
| 管理策 | 概要 | 主な対象 |
|---|---|---|
| CLD.6.3.1 | クラウドサービスにおける役割と責任の共有 | CSP・CSC |
| CLD.8.1.5 | クラウドサービス上の資産の除去 | CSC |
| CLD.9.5.1 | 仮想化環境内のテナント分離 | CSP |
| CLD.9.5.2 | 仮想化環境の堅牢化 | CSP |
| CLD.12.1.5 | 管理者の運用セキュリティ | CSP |
| CLD.12.4.5 | クラウドサービスの監視 | CSP・CSC |
| CLD.13.1.4 | 仮想ネットワーク環境のセキュリティ | CSP |
覚え方のポイント
「27001の親戚・クラウド専門家」 と覚えよう!
- 27001 → ISMS全般の「資格試験」(認証のベース)
- 27002 → セキュリティ対策の「教科書」(実践規範)
- 27017 → クラウド専用の「補講テキスト」(27002のクラウド拡張版)
- 27018 → クラウド上の個人情報保護(27017の個人情報版)
歴史と背景
- 2006年頃〜 — クラウドコンピューティングの普及が加速。Amazon AWS・Googleなどがクラウドサービスを一般提供開始
- 2011年 — 米国NISTがクラウドコンピューティングの定義(SP 800-145)を公表。クラウドの標準化議論が本格化
- 2012年 — ISO/IEC JTC 1/SC 27(情報セキュリティ専門委員会)がクラウド向けセキュリティ規格の策定を開始
- 2014年 — クラウド上の個人情報保護を定める ISO/IEC 27018 が先行して発行
- 2015年12月 — ISO/IEC 27017:2015 が正式発行。クラウドセキュリティ管理策の国際標準が確立
- 2019年〜 — 日本でもJIS化(JIS Q 27017)が進み、国内クラウドベンダーの認証取得が拡大
- 現在 — AWS、Microsoft Azure、Google Cloud など主要クラウドベンダーが認証を取得済み。調達・発注時のセキュリティ評価基準として広く参照される
関連規格との位置づけ
ISO 27017は単体で使うものではなく、情報セキュリティ規格ファミリーの一員として機能します。
CSP(提供者)とCSC(利用者)の責任分界
クラウドの「誰が何を守るか」問題を整理したのがISO 27017の核心です:
| セキュリティ項目 | CSP(ベンダー)の責任 | CSC(利用者)の責任 |
|---|---|---|
| 物理インフラ | ✅ データセンターの物理的保護 | ─ |
| 仮想化基盤 | ✅ ハイパーバイザーの保護 | ─ |
| OS・ミドルウェア | 契約による(IaaS/PaaS/SaaS) | 契約による |
| アプリケーション | ─(SaaSは提供者) | ✅ 自社開発アプリ |
| アクセス管理 | ✅ 管理者アクセスの統制 | ✅ 利用者IDの管理 |
| データ暗号化 | ✅ 保存時の暗号化基盤 | ✅ データ分類・鍵管理 |
| ログ監視 | ✅ インフラログ | ✅ アプリ・業務ログ |
関連する規格・RFC
| 規格番号 | 内容 |
|---|---|
| ISO/IEC 27001:2022 | 情報セキュリティマネジメントシステム(ISMS)の要件。27017認証のベースとなる |
| ISO/IEC 27002:2022 | 情報セキュリティ管理策の実践規範。27017はこれを拡張する |
| ISO/IEC 27018:2019 | クラウド上の個人識別情報(PII)保護のための管理策 |
| ISO/IEC 27701:2019 | プライバシー情報マネジメントの拡張規格(GDPRとの連携) |
| RFC 6749 | OAuth 2.0 — クラウドサービスの認可フレームワーク |
| RFC 8446 | TLS 1.3 — クラウド通信の暗号化プロトコル |
関連用語
- ISO/IEC 27001 — ISMSの要件を定めた情報セキュリティの認証規格
- ISO/IEC 27018 — クラウド上の個人情報保護に特化した規格
- ISMS — 情報セキュリティマネジメントシステム。組織的にセキュリティを管理する仕組み
- クラウドサービス — インターネット経由でITリソースを提供するサービス形態
- 責任共有モデル — クラウドでCSPとCSCが責任を分担する考え方
- SaaS / PaaS / IaaS — クラウドサービスの提供形態の分類
- SOC 2 — クラウドサービスのセキュリティを第三者が監査する報告書フレームワーク
- GDPR — EU一般データ保護規則。クラウド利用時のデータ保護に深く関わる