サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

ISMSクラウドセキュリティ認証

ISMSクラウドセキュリティ認証
目次
  • ISMSクラウドセキュリティ認証とは
  • ISMS認証との関係
  • おわりに

ISMSクラウドセキュリティ認証とは

ISMSクラウドセキュリティ認証とは「ISO/IEC27017」で定められた「クラウドサービスのための情報セキュリティ管理策に関する規格」を満たすことを認証する仕組です。

この規格の対象となるのは「クラウドサービス プロバイダ(提供者)」と「クラウドサービス カスタマー(利用者)」の双方です。すなわち、利用者の立場からも、この規格を参照することで「クラウドサービス」という情報資産を適切に管理する指針となります。

この規格で特に重要な項目としては以下のようなものがあります。

  • ・クラウドプロバイダ/カスタマー間の責任範囲の明確化
  • ・クラウドサービス特有のリスク管理策

「クラウドサービス特有のリスク管理」は多岐に渡ります。例としては「国境(法域)を跨いだサービス提供・データ保管」や本来メリットであるスケーラビリティ等も侵害された場合にはリスクとなります。

ISMS認証との関係

名前からも推測できるように「ISMSクラウドセキュリティ認証(ISO/IEC27017)」と「ISMS認証(ISO/IEC27001)」は密接な関係にあります。具体的には「ISMSクラウドセキュリティ認証」の取得には「ISMS認証」の取得も必須となります。すなわち、「ISMSクラウドセキュリティ認証」だけを取得することはできません。このようなISMSを前提とする規格を「ISMSのアドオン規格」と呼ぶことがあり、 ISO/IEC27017 もその一つです。

「ISMS認証」は汎用的な情報セキュリティ管理策についての規定であり、端的に言えば情報資産に対して適切なリスクマネジメントのプロセスを定める事を目的としています。 「ISMSクラウドセキュリティ認証」ではISMSの適用範囲が「クラウドサービス」を含む際の固有の管理策に関してより明確化されています。

おわりに

クラウドサービスは物理的制約を受けずに管理やスケーリングができるなど、高い利便性を持つ反面、クラウド特有のリスクと表裏一体となっています。

「ISMSクラウドセキュリティ認証(ISO/IEC27017)」はそのようなリスクの管理策を定める上で有効な指針となります。 一方で、あらゆる認証に言えることですが、「ISMSクラウドセキュリティ認証」は「取得すること」だけでなく、「運用すること」が重要です。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 中村 丈洋

形式手法および高信頼ソフトウェアの研究に従事、博士号(工学博士)を取得。2013年より株式会社SHIFTにてソフトウェアテスト支援ツール開発および非機能テストに従事。SHIFT SECURITY の設立に携わる。同社では脆弱性診断手法とツール開発、およびセキュリティコンサルティング業務に従事。2018年よりSHIFT SECURITY 執行役員に就任。現在に至る。

\ 記事をシェアする /

サービスに関する
お問い合わせ