ISMSクラウドセキュリティ認証（ISO27017）とは？JIP-ISMS517の要求事項を解説

「ISMSクラウドセキュリティ認証」は、一般に「ISO 27017」と呼ばれることが多いため、「ISO 27001に沿った情報セキュリティ対策とマネジメントシステムを構築すれば、そのまま認証が取得できる」と多くの方が考えています。

しかし、同認証を取得するにはJIPDECが発行している「JIP-ISMS517」というドキュメントに基づいたマネジメントシステムを構築することが求められています。同認証制度を運営するJIPDECは、認証制度の説明資料の中で、以下の様に述べています。

ISMS認証を取得している組織でなければISO27017認証は取得できないため、「ISO/IEC 27001:2013への適合」は理解できるかと思います。

また、「ISO/IEC 27001」の詳細については以下の記事「ISO/IEC 27001とは？ISMSとの違い・メリットを徹底解説」に記載していますので、そちらも参考にしてください。

では、もう一方の条件である「JIP-ISMS517-1.0への適合」とは、一体何を意味しているのでしょうか。本記事ではこの聞き馴染みのないドキュメントの詳細について、詳しく解説いたします。

なお、ISMSクラウドセキュリティ認証の取得に向けてISO27017の具体的な管理策（セキュリティ対策基準）をあらかじめ把握しておくことは非常に重要です。
本記事とあわせて手元で確認しながら理解を深めたい方は、当社LRMの専門コンサルタントが作成した解説資料もぜひご活用ください。

ISMSクラウドセキュリティ認証とJIP-ISMS517の関係

「ISMS（情報セキュリティマネジメントシステム）」のクラウド向け拡張である「ISMSクラウドセキュリティ認証」において、なぜJIP-ISMS517への適合が重要になるのでしょうか。まずはその前提知識を整理します。

また、ISMS（情報セキュリティマネジメントシステム）については以下の記事「ISMS認証とは？Pマークとの違いや取得までの流れ・メリット・費用を解説！」にも記載していますので、そちらも参考にしてください。

JIPの意味

ドキュメントの識別番号の先頭に付与されている「JIP」という文字列は、発行元であるJIPDEC（一般財団法人日本情報経済社会推進協会）の名称に由来しています。

JIPDECの正式な英語表記は「Japan Institute for Promotion of Digital Economy and Community」であり、その頭文字3文字をとって「JIP」と表記されています。

JIP-ISMS517を入手するには

「JIP-ISMS517」のドキュメントは、JIPDECの公式サイトから無料でダウンロードが可能です。内容を把握するためにも、一度お手元に用意し目を通してみることをお勧めします。

JIP-ISMS517には何が書かれているのか

JIP-ISMS517は、ISO27017に記載されている管理策を用いたマネジメントシステムを構築するための枠組みが記載されています。 主に以下の3つの内容について記載されています。

JIP-ISMS517には、クラウドセキュリティに関する重要な指針が凝縮されています。全体で10ページ程度のボリュームですので、認証取得を目指す組織の方は、隅々まで目を通しておくことを強くお勧めします。

とはいえ、これだけでは「従来のISMS（ISO/IEC 27001）と具体的に何が違うのか？」という疑問を抱く方も多いでしょう。そこで、JIP-ISMS517に記載されている上記３つの内容を個別に詳しく見ていきましょう。

また、ISMS（ISO/IEC 27001）に必須とされ、多くの工数を有するプロセスであるリスクアセスメントについて、以下の記事「【事例付】ISMSリスクアセスメントとは？手順・評価方法・リスク値の計算式を解説」で解説していますので、そちらも参考にしてください。

適用範囲の決定

JIP-ISMS517では、クラウドサービスを含めたISMSの適用範囲を定めることが要求されています。「適用範囲を文書化しなければならない」といった点は従来のISMS（ISO/IEC 27001）と共通していますが、特筆すべきは以下の点です。

また、プロバイダとカスタマについての定義は以下の通りです。

• クラウドサービスプロバイダ（CSP）： クラウドサービスを提供する組織
• クラウドサービスカスタマ（CSC）： クラウドサービスを利用する組織

なお、ISO/IEC 27017ではプロバイダ側の情報セキュリティ管理対象について、カスタマの情報セキュリティ対策のための情報提供や機能提供も含まれると定められています。

クラウド情報セキュリティ対策

ここでは、クラウドサービス固有のリスクを評価（アセスメント）し、それに対して適切な対策を講じることが要求されています。

従来のISMS（ISO/IEC 27001）との主な違いは、以下の2点です。

つまり、従来のリスクアセスメント手法をそのまま流用するのではなく、クラウド環境特有の脅威や脆弱性を前提とした新たなアセスメント手法を確立することが求められているといえます。

具体的なプロセスは、以下の2ステップで進めます。

ステップ1：情報セキュリティリスクアセスメント

まずは、リスクアセスメントのプロセスを定めて適用します。クラウドサービスに関する情報資産に対して、以下の3要素が喪失するリスクを特定し、リスク所有者（責任者）を明確にすることが挙げられています。

ステップ2：情報セキュリティリスク対応

リスクアセスメントが完了したら、次は特定されたリスクに対する対応を行います。
具体的な手順は以下の通りです。

JIP-ISMS517には適用宣言書の例が掲載されているため、作成時に参考にするとスムーズです。

なお、クラウドサービスに関するリスクアセスメントについてさらに深掘りしたい場合は、ISO/IEC 27017の附属書Bに記載の参考文献も確認することをおすすめします。

内部監査の実施

ここでは、クラウドサービスに関する内部監査の実施を組織に要求しています。具体的には以下の内容について監査を実施します。

なお内部監査の一部に、独立した第三者からのレビュー（外部監査）の結果を利用することや、クラウドサービスの提供にかかる情報セキュリティガバナンス及びマネジメントに関するコミットメントを正しく実施することが望ましいと記載されています。

まとめ：ISMSクラウドセキュリティ認証取得に向けて

本記事では、ISMSクラウドセキュリティ認証の必須条件である「JIP-ISMS517-1.0」への適合について解説しました。JIP-ISMS517は、全体で10ページほどの非常にコンパクトな文書です。しかし、その中身にはクラウドセキュリティの基盤を築くために欠かせない、重要なエッセンスが凝縮されています。

「これから認証取得を目指したい」と考えている組織の方は、まずはこのドキュメントを手に取り、マネジメントシステムがJIP-ISMS517の要求事項に適合するか、チェックしましょう。

LRMでは、「運用できる」認証取得を目標としたセキュリティコンサルティングサービスを行っております。ISO27017/クラウドセキュリティにも対応しておりますので、ぜひお気軽にご相談ください。