ISO/IEC 27017:2015 – 情報技術 – ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
ISO/IEC 27017:2015 – 情報技術 – ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
情報に関するシリーズ規格であるISO/IEC 27000シリーズには、ISO 27001をはじめとして、現在47ものファミリー規格があります。その中で日本語化され、使われているものは6つです。この6つの中でいちばん新しい規格、ISO 27017 をご紹介します。
予言者 JCR リックライダー
コンピュータ業界の外側の世界にいる人々には、JCR リックライダー (JCR Licklider) という名前はほとんどなじみがないものだと思います。リックライダーはアメリカの心理学者でコンピュータ科学者のパイオニアであり、1960年代初頭にマサチューセッツ工科大学 (MIT) で働いていました。ICT の業界で働いている人にとっては、リックライダーはもっとも重要な貢献者の1人として崇拝され、インターネットの殿堂入りを果たしています。
リックライダーを特別な存在たらしめているのは彼の先見の明です。パーソナルコンピュータが登場するおよそ10年も前に、世界各地のデータにアクセスできる自分自身のコンピュータに誰もがアクセスするという「銀河間コンピュータネットワーク intergalactic network」を予言していました。ただし、そのようなネットワークをどのように構築するか、あるいはどのように実現するかということについては、彼に何のアイディアもありませんでしたが、これを実現することは非常に重要であるということは確信していました。その後、リックライダーはこの目標を追求することに残りの人生を捧げました。
約60年後、リックライダーの夢は現実となりました。インターネットの出現やその後のクラウドコンピューティングにより、アプリケーション、情報やデータへのユニバーサルアクセス、オンデマンドアクセスは当たり前のこととなりました。しかし、この自由な状況により、新たな課題が生まれています。組織は自分たちの貴重なICT 資産を不正アクセスからどうすれば守ることができるのでしょうか?
不正アクセスの脅威への対策
(広範囲に及び) ISO/IEC 27000の シリーズ規格が助けとなります。このシリーズ規格には、情報セキュリティマネジメントシステム (ISMS) の要求事項と組織の情報セキュリティリスクへの暴露を減らすためのガイダンスが含まれています。これらの規格の中でもっともよく知られているのは、ISO/IEC 27000 、ISO/IEC 27001 とISO/IEC 27002 です。ISO/IEC 27000 はISMS の概要と用語及び定義を提供し、ISO/IEC 27001はISMS要求事項を提供し、ISO/IEC 27002 は情報セキュリティ管理策の実施に関するベストプラクティスと推奨事項を提供しています。
ISO/IEC 27002は、ほとんどの組織にとっては十分な指針を提供していますが、クラウド環境での運用の結果としてクラウドサービスの利用顧客あるいはクラウドサービスの提供者が直面する追加のリスクを考慮すると、クラウドサービスの利用者と提供者双方に対して、追加の指針が必要であるということになりました。これに対応して、ISO/IEC 27017 – 情報技術 – ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範が2015年12月に発行されました。
この第1版となる規格は、ISO の合同技術委員会 1 の小委員会 27 (ITセキュリティ技術) と国際電気通信連合 (International Telecommunications Union) の研究グループ 17 (セキュリティ) が協力してつくりました。その結果、ISO/IEC 27017はITU-T. X.1631 というタイトルでも発行されています (2015年7月)。
ISO/IEC 27017 はISO/IEC 27002と同じ構造をもっています。この規格には、18の「箇条」、2つの附属書と参考文献があります。これらの箇条には情報セキュリティ方針の設定から、組織の情報セキュリティ側面、人的資源のセキュリティ、資産の管理、暗号、物理的及び環境的セキュリティ、運用のセキュリティ、通信のセキュリティ、システムの取得、開発及び保守、供給者関係、情報セキュリティインシデント管理、情報セキュリティ事業継続及び順守までが網羅されています。ISO/IEC 27017 には、これらの分野に関するISO/IEC 27002に含まれる既存の適用可能な目的及び管理策は再掲せず、クラウドサービスの利用顧客及び/もしくは提供者にとってISO/IEC 27002に含まれているものに追加して必要になると思われる管理策と実施指針を特定しています。
クラウド環境で業務を行い、すでにISMS を運用している組織は、ISO/IEC 27017に含まれる追加のガイダンスも適用されるようお勧めします。
◎情報セキュリティ関連では以下の記事もあります
>>ISO/IEC 27002 の改訂と ISO/IEC 27001 - 今後の変更点
>>ISO/IEC TS 27022:2021 – 情報技術 – 情報セキュリティマネジメントプロセスに関するガイダンス
>>ISO/IEC 27014: 情報セキュリティ, サイバーセキュリティ, プライバシー情報保護―情報セキュリティのガバナンス
>>ISO/IEC 27035 - 情報セキュリティインシデントが発生したとき、組織は何をすべきか?
>>ISO/IEC 27005:2018 情報技術-セキュリティ技術-情報セキュリティリスクマネジメント