ISO/IEC 27017 クラウドサービスのための情報セキュリティ管理策の実践の規範

ISO/IEC 27017:2015は、クラウドサービスに特化した情報セキュリティ管理策の実践規範です。ISO/IEC 27001のような認証可能なマネジメントシステム規格ではなく、ISO/IEC 27002の管理策を補強するものです。その核心は、クラウドサービス顧客（CSC）と提供者（CSP）間の役割と責任（責任共有モデル）を明確にすることにあります。この規格は、仮想マシンのセキュリティ強化など7つの新しいクラウド固有の管理策を追加し、既存の37の管理策にクラウド環境での実施ガイダンスを提供します。企業にとっては、本規格の採用がクラウドリスクの低減、提供者との信頼関係構築、そしてGDPRのようなデータ保護規制への準拠を支援します。

企業はISO/IEC 27017をクラウド特有のリスク管理に適用します。第一に、**役割と責任の定義**：本規格をガイドラインとして、クラウド提供者とのサービスレベル合意（SLA）におけるセキュリティ要件を明確に交渉します。第二に、**リスク対応の強化**：ISO/IEC 27017の管理策を既存のISO/IEC 27001情報セキュリティマネジメントシステム（ISMS）の適用宣言書（SoA）に統合し、マルチテナント環境などの脅威に対応します。第三に、**提供者の監査**：本規格をチェックリストとして用い、提供者のセキュリティ体制を定期的に評価します。例えば、台湾のある金融機関は、本規格に基づき提供者を監査し、データ分離要件の遵守を徹底させ、クラウド関連のインシデントを30%削減しました。

台湾企業は主に3つの課題に直面します。第一に、**責任共有モデルの誤解**：多くの中小企業がセキュリティ責任の全てをクラウド提供者にあると誤解し、自社の設定責任を怠っています。第二に、**技術的人材の不足**：クラウドネイティブのセキュリティツールや仮想化技術に精通した専門家が不足しており、技術的な管理策の導入が困難です。第三に、**提供者の透明性の欠如**：一部の国内クラウド提供者は、十分な監査証拠を提供せず、コンプライアンス評価を難しくしています。対策として、まず社内教育で責任範囲を明確化し（優先行動）、次にCSPMツール導入で技術的ギャップを補い、最後に契約で第三者認証を義務付け、提供者の説明責任を確保することが重要です。

積穗科研は台湾企業のISO/IEC 27017に特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact