読み方 : アイエスオーアイイーシーにまんななせんじゅうなな

ISO/IEC 27017

ISO/IEC 27017とは?

クラウドサービスにおける情報セキュリティ管理策の基準を定めた国際規格。クラウドサービスを提供する事業者と利用する組織の双方を対象とし、クラウド環境に固有のリスクや運用上の課題に対応するための管理策を定めている。
ISO/IEC 27017のイメージ画像

クラウド環境では、利用者とサービス提供者が設備や管理責任を分担する。自社施設内でサーバを運用する従来のオンプレミス型システムとは異なり、どの範囲を利用者が管理し、どの範囲を提供者が管理するのかを明確にしなければならない。ISO/IEC 27017は、こうした責任分担を踏まえたセキュリティ管理の考え方を示している。

本規格では、クラウドサービス事業者と利用者のそれぞれに対して、実施すべき管理策が規定されている。事業者側には安全なサービス設計・運用に関する管理策が、利用者側にはサービスの適切な選択・利用とデータ保護に関する管理策が求められる。同一の管理策でも立場によって内容が異なる場合があり、両者の責任の境界を明確にする構成となっている。

具体的には、アクセス権限の管理、仮想環境における他利用者との隔離、クラウド上の資産管理、契約終了後のデータ消去手順などの管理策が含まれる。例えば、一つの物理サーバを複数の利用者が共有する環境では、他の利用者のデータや処理に影響を与えないよう適切な分離が求められる。こうした従来のセキュリティ標準にはないクラウド固有の運用課題に対応する指針が定められている。

ISO/IEC 27017は、情報セキュリティマネジメントシステムの認証規格であるISO/IEC 27001を補完する位置付けにあり、クラウドサービスに関する具体的な管理指針を追加したものである。認証取得を前提とした規格ではないが、クラウドサービスを調達・評価する際の基準として参照されることが多い。クラウドサービス事業者が本規格に沿った運用を行っている場合、利用者がサービス選定時にセキュリティ対策の実施状況を判断する材料の一つとなる。

資格試験などの「ISO/IEC 27017」の出題履歴

▼ ITパスポート試験
令7 問2】 従来の情報セキュリティマネジメントシステム規格を基礎に追加で制定されたもので,クラウドサービスに対応した情報セキュリティ管理体制を構築するためのガイドライン規格として,最も適切なものはどれか。
この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。