目次
ISMSだけではだめ?
ISO/IEC27017とは
具体的に何をするのか
ISMSだけではだめ?
弊社では以前からPマークは取得しているものの、ISMS取得に関しては遅れており、ようやく取得に着手し始めました。 ところが、取得について調べていくにつれ、弊社がISMSを完全に満たすためには従来のISO/IEC27001(情報セキュリティマネジメントサービス)だけでは不足で、ISMSクラウドと呼ばれるISO/IEC27017(クラウドサービスセキュリティ管理策)を満たさないといけないことに気づいたのです(今さら何を言ってるのかというご批判はごもっともですが)
この辺の管理、勉強をしっかりされている企業様ではもちろんよくご承知の事かと思いますが、自らの復習を兼ねて、このISO/IEC27017について整理してみたいと思います。
ISO/IEC27017とは
ISO/IEC27017とは 情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取り組みをISO/IEC 27017で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築する(参照:日本品質保証機構(JQA)) ISO/IEC27017の対象組織
- クラウドサービスを提供する組織(クラウドサービスプロバイダ) つまりAWSやAzure、Oracleクラウドなど
- クラウドサービスを利用する組織(クラウドサービスカスタマ)
つまりAWSやAzure、Oracleクラウドなどを利用している全企業 つまり、 「クラウド使うのであればこれを取ってないと情報セキュリティが確保されてると認めませんよ」 となり、大半の会社が該当することになるのです。このガイドラインが発表されたのが2015年12月 つまり3年と少し前になりますが、それを解釈し、実際に取得が始まったのはおそらくここ1,2年。
国内企業では、取得企業はまだ100社強にすぎず、これから一気に取得が進むであろう規格です。
この規格のポイントは 「操作ログを取りましょう」 「機能へのアクセス制限をしっかりしましょう」 という管理策や、 その管理策を 「サービスの利用者に情報を提供する」 という情報開示となります 。
そのため、
- ユーザーから預かっているデータのバックアップに関する情報(バックアップ手法、頻度、保管世代数など)
- ユーザーへパスワードを割り当てる手順(メールで送られるのか、自分で設定するのか)
- 利用者が利用を終了した時、預けたデータはしっかり消去されるのか
など、自社が提供するサービスのセキュリティに関する情報を、利用者側に提供する必要があるという事です。
具体的に何をするのか
具体的には、ログに関しては、利用しているサービス(AWSやAzureなど)の仮想サーバのコマンドのログや、ストレージの設定の変更のログ、サービスコンソールへのログインのログを取得することになります(プロバイダ側からすると、その取得手段が提供されている必要があります。
アクセス制限に関しても重要な要素です。
- 管理者のログインは多要素認証を導入する
- 利用権限を持つ人以外以外はサーバにログイン出来ないようにする
- 可能な限り、特権アカウントは利用しないようにする などとなります。
プロバイダ側では、AWS、Azure、GCPが取得完了 このITPortでよく記載させていただいているOracleクラウドも取得準備されている事と思います。(彼らはほかにSOC1,2,3やGDPR、HIPAA等すべて取得してきているので今更かもしれませんが)。
一見企業の負荷が増えるように見えますが、クラウドの話をお客様とすると、今でもやはり「セキュリティに不安」の声が上がります。 その声に対して、「ISMSクラウドセキュリティ認証」というお墨付きがつくことになり、提案しやすく、導入しやすくなることでしょう。
当然のことですが、ISO27017を取るにはISO27001が無いとだめなので、まずそこから進めていきたいと思います。