ISO27017を取得すると、自社サービスはどう変わる？

ISO27017認証の取得を表明する企業が増えてきました。

ところで、このブログでは今まで「ISO27017とはなんぞや」という説明をしてきましたが、いまいち「自社がISO27017を取得すると何が変わるの」という具体的なイメージがつかみにくい方も多いのではないでしょうか。

そんな方のために、今回はできるだけ具体例を詰め込みつつ「ISO27017を取得すると、自社の、もしくは自社サービスのここが変わる！」というポイントを、大きく2つ、ご説明しようと思います。

今回は、IaaS型のクラウドサービスを利用して、SaaS型のクラウドサービスを提供する会社が、クラウドサービスの利用者および提供者の立場としてISO27017認証を取得することを考えてみます。

(1) 自社クラウドサービスのセキュリティレベルが上がる

ISO27017には、自社が利用しているサービスと、自社が提供しているサービスのセキュリティレベルを上げるための対策(管理策)が多く掲載されています。

そのため、ISO27017に準拠することで、サービスのセキュリティを高めることが出来ます。

具体的に見ていくと、ISO27017には、「操作ログを取りましょう」であるとか「機能へのアクセス制限をしっかりしましょう」という管理策が記載されています。

実際にやることは、ログに関しては、利用しているサービス(AWSやAzureなど)の仮想サーバのコマンドのログや、ストレージの設定の変更のログ、サービスコンソールへのログインのログを取得することを検討します。

アクセス制限に関しては、管理者のログインは多要素認証を導入する、特定の人以外はサーバにログイン出来ないようにする、可能な限り、特権アカウントは利用しないようにする、などの対策を検討していきます。

あくまで「検討する」というレベルですので、ここで上げた具体例を実施しないとISO27017認証が取得出来ないというわけではありません。

とりあえずIaaSサービスを利用しているけど、利用ルールが社内で明確に決まっていない場合には、ルールを明確にするために、ISO27017が大いに役に立つと思います。

また、社内で既にルールが決まっている場合でも、ISO27017を利用することで、そのルールが国際標準のベストプラクティスに一致しているかを確かめることが出来ます。

(2) 顧客に様々な情報を公開する必要がある

ISO27017の主要な目的の1つは「サービスの利用者に情報を提供する」ということです。

そのため、ユーザーから預かっているデータのバックアップに関する情報（バックアップの手法、頻度、保管している世代数など）や、ユーザーへパスワードを割り当てる手順（メールで送られるのか、自分で設定するのか）、利用者が利用を終了した時、預けたデータはしっかり消去されるのか、など、自社が提供するサービスのセキュリティに関する情報を、利用者側に提供する必要があります。

提供の方法は様々です。利用規約に書く場合もあれば、サービスのWebページの中に記載する場合もあります。場合によっては、サービスの「セキュリティホワイトペーパー」を作成するケースも考えられるでしょう。

ISO27017には、具体的な情報提供の手法は定められていませんが、要は、利用者が「このサービスのセキュリティは大丈夫かどうか」を判断するために十分な情報を、利用者側に提供することが求められているわけです。

まとめると、ISO27017に準拠することで、サービスのセキュリティレベルを向上させることができます。また、サービスのセキュリティに関する情報を広く公開する必要もあります。