2024.2.18

初心者でも分かりやすく解説！ISO27017認証取得の流れメリット・デメリット

1．ISO27017とは？

クラウドセキュリティの信頼性を確認するためのISO27017認証についてお伝えします。

最近では、クラウドサービス提供会社が増え、安心した取引をするためにこの認証を取得する企業が増えています。

クラウドを利用するときには様々なリスクがある中、ISO27017はセキュリティ対策のガイドラインを示しており、内外からのセキュリティ保護を実践的に行えるようになるため、注目を集めています。

2．ISO27017は世界的にも注目されている

日本の企業では、クラウド利用が増えており、特にセキュリティに注力する企業が増加しています。この傾向は国内にとどまらず、世界的にも大手企業に注目されています。

GoogleやAmazonなどの主要なクラウドサービス提供者もISO27017を取得しており、今後も多くの企業が取得することが期待されています。

クラウドサービスは提供する企業と利用する企業の両方がISO27017を取得できる仕組みになっています。

お互いが取得することで、取引がより安心に行えます。

取得にはリスク対策が必要であり、ISMS機構の対策検討や最大で79個の管理策の導入が求められます。

クラウドサービス提供者は自社情報の提供が重要であり、利用者も情報を詳細に検討し、適切なサービスを利用することが求められます。

3．ISO27017の取得が多い主な業種

ISO27017の取得はIT企業だけでなく、さまざまな業種で進んでいます。

特にIT企業はクラウドを使い、顧客情報や機密情報の取り扱いが増えており、情報セキュリティへの対策が必要です。

取引先からのISMS認証の要求されることも増え、広告業や人材派遣業など機密情報の扱いが重要な業種でもISO27017の取得が求められます。

顧客情報だけでなく、取引先との機密情報も保護する必要があるため、セキュリティに力を入れる企業が増えています。

運送業や小売業、金融業などでもISO27017の取得が広がっています。

4．ISO27017認証取得のメリット

ISO27017を取得することで受けられるメリットは多いです。

逆に取得していないことで、取引先との契約がスムーズにいかない場合もあります。

ここからは、ISO27017を取得するメリットについて解説します。

・外部にアピールできる
ISO27017を取得できれば、外部に自社ではクラウドのセュリティ面にも力を入れていて安心な企業だとアピールできます。

さらに、ISO27017は国際規格なため、世界的にも見てもらえる目が変わってきます。

・マネジメントシステムも安心して維持できるようになる
一回取得したら何もしなくても良いのではなく、継続的な認証審査があります。

一見大変に感じるかもしれませんが、情報セキュリティや維持をコンスタントに図れるため何かあった時にも対応できます。

・信頼性も向上する
特に重大な故障や災害発生時なども、自社の事業継続ができるように確保する体制も整備できます。

いざ何かあっても安心です。

・取引要件を達成できる
中には、事前にISO27017の取得を要件として提示している場合もあります。

何も持っていないと、取引したいと思っても難しいのが現状です。

事前に取得しておけば、入札もしやすくなります。

日本だけでなく、海外企業との取引も達成しやすくなります。

5．ISO27017認証取得のデメリット

世界的にも信頼を得られるため、ISO27017の取得はおすすめですが、若干のデメリットもあるので覚えておきましょう。

・時間がある程度かかる
ISO27017は、取得したいと思って数日で簡単に取れるものではないため、ある程度時間がかかると知っておく必要があります。

まず、ルールを整備するためにも時間がかかりますし、自社にとって業務が非効率化してしまうケースもあります。

・費用がかかる
費用がそこまでかからないのであれば気軽ですが、ある程度まとまった金額がかかるケースがほとんどです。

しかも、一度で終わりではなく、取得後、一年に一回審査があるため維持費も必要です。

あまり予算に余裕のない企業にとっては大変に感じるかもしれません。

6．ISO27017認証取得に必要なこと

ISO27017を取得するためには、ISMSを一緒に取らなければなりません。

もしすでにISMSを持っていれば追加で取れるため問題ありませんが、持っていない場合は飛ばしてISO27017だけを取得するのは困難です。

適用範囲も決まっています。

ISMSとISO27017は対象組織や拠点が一緒である必要があります。

もしくは、一緒ではなくてもISMSの範囲内にISO27017が入っていなければなりません。

取得のためには、ISMSの114で作った策を今度はクラウドサービス用にアップデートして構築します。

そして、ISMSにはない項目も追加して作らなければなりません。

7．ISO27017認証取得の流れ

ここからは、ISO27017の認証取得までの流れについて解説します。

①クラウドセキュリティ認証の範囲を検討し、社内体制や管理責任者を決定する。

②審査会社を選定し、クラウドリスクアセスメントを実施する。具体的なリスク分析と対策を考える。

③ISO27017の認証には79の項目も追加で決める必要があり、それに基づき既存のISMSを修正する。

④社内で従業員の教育や理解促進を行い、部署ごとに実行や内部監査を実施する。

⑤成果を評価し、改善するために話し合いを行う。

⑥審査機関による文書審査と現地審査を受ける。

⑦終了後は指示事項に対応し、審査指摘事項がクリアできれば認証取得が完了する。

ISO27017認証取得にかかる時間は、企業の規模や既存のセキュリティ対策の進捗状況などによって異なりますが、おおよそ数ヶ月から1年以上かかります。

長期戦となるので、企業はISO27017の要件を理解し、それに対応するための準備を整えながら、進捗状況を確認していく必要があります。

8．ISO27017認証取得代行を利用するメリット

自社だけでISO27017を取得しようと思うと、まず理解するのが大変です。

しっかりと規格が意図する部分を理解できないと見当違いになり、取得できません。

ISO27017認証取得代行を利用できれば、自社サービスは何に該当するのかわかりやすく作業もスムーズに進められます。

主要な文書などもすべて自社で準備するとなると結構な時間を要しますが、主要文書の原案は作成してもらえるケースも多いです。

最新のクラウドセキュリティの知識があるプロに任せられるため安心です。

9．まとめ

クラウドセキュリティは、世界でも注目されていて、大手企業では取得しているケースも増えています。

今後取引を行う際にも、ISO27017を取得しているだけで有利になります。

外部にも表明でき海外との取引チャンスも増えるでしょう。

自社だけで取得も可能ですが、一から規格の意図を理解しなければならず時間もかかり大変です。

ISO27017認証取得代行を利用できれば、わからない点も確認しながらスムーズに進められます。

BLOG