一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

FAQ1:制度一般(ISMSクラウドセキュリティ)

11.ISMSクラウドセキュリティ認証の概要及び特徴

JIS Q 27001(ISO/IEC 27001)に基づくISMS(情報セキュリティマネジメントシステム)認証を取得している/取得する組織に対して、その適用範囲内に含まれるクラウドサービスの提供又は利用についてISO/IEC 27017:2015に規定されるクラウドサービス固有の管理策が追加で特定され実施されていることを認証するものです。詳細は、以下のWebページをご参照下さい。

「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」が認証基準です。

登録証の発行方法は、認証機関に委ねられます。一般には、ISMS登録証と別に発行されるようですが、詳細は各認証機関にお問い合わせください。

初回のISMSクラウドセキュリティ認証審査は、ISMSクラウドセキュリティ認証がISMS認証の拡張の認証であるため、ISMSのサーベイランス審査時又は再認証審査時に併せて実施可能で、そのような場合には段階を分けることは必ずしも求められていません。ISMSクラウドセキュリティ認証機関認定基準及び指針の附属書Aをご参照ください。
 ISMSクラウドセキュリティ認証機関認定基準及び指針(JIP-ISAC101-1.0)の附属書A(参考)より抜粋:
「なお、ISMSクラウドセキュリティ認証審査をJIS Q 27001のサーベイランス審査時、もしくは再認証審査時に併せて拡張する場合の審査方法は、ISMSクラウドセキュリティ認証がJIS Q 27001認証の拡張の認証であるため、初回審査相当(第一段階・第二段階)の審査を行う必要はない。」

なお、審査工数については、附属書Aで、ISMSのサーベイランスあるいは再認証の審査と同時に初めてのISMSクラウドセキュリティ認証の審査を実施する場合、適用範囲のISMS認証の初回審査(第一段階、第二段階)の審査工数(JIS Q 27006:2018*の附属書Bに基づく)を基礎として、追加の審査工数を算出することが記載されています。

ISMSクラウドセキュリティ認証は、ISMS-ACが実施するISMS認証の拡張です。そのため、審査・認証を行うISMSクラウドセキュリティ認証機関に対する認定基準は、JIS Q 27006:2018に基づき、ISMSクラウドセキュリティ認証機関認定基準及び指針(JIP-ISAC101-1.0)として、ISMS-ACが策定しています。

*JIS Q 27006:2018は、ISMS認証機関に対する要求事項(認定基準)を規定した日本産業規格で、国際規格であるISO/IEC 27006:2015を日本語に翻訳したものです。

審査プロセスとしては、ISMSクラウドセキュリティ認証によって審査方法が大きく変わるわけではないので、ISMS認証審査と同様の審査プロセスとなります。したがって、期間内に対応が間に合わない場合には、やはり既存のISMS認証の審査と同様に再審査等になることもあり、場合によっては審査工数も発生することになろうかと思われます。

ISO/IEC 27017:2015は国際規格ですので、ISMSクラウドセキュリティ認証についても今後、国際的に認知されていくことが期待されます。しかしながら、ISMSクラウドセキュリティ認証の認証基準であるJIP-ISMS517-1.0はISMS-ACの独自の基準(日本語)であり、基本的には国内のISMS認証組織を対象にしていることにご留意ください。

組織がカスタマの立場でISMSクラウドセキュリティ認証を取得する場合には、以下の点に留意する必要があります。
カスタマは、クラウドサービスプロバイダ(プロバイダ)から得られた情報も含めてクラウドサービスの利用に関するリスクを評価し、必要であれば、ISO/IEC 27017:2015に規定されたカスタマに対する追加の管理策を実施する必要があります。
プロバイダに対しても、ISO/IEC 27017:2015の管理策の実施について、以下の場合に応じて確認する必要があります。

  • プロバイダが、カスタマが利用するクラウドサービスに関するISMSクラウドセキュリティ認証を既に取得している場合:
    ISO/IEC 27017:2015に則してサービスを提供できる仕組みを有しており、カスタマのプロバイダに対する要求も満足していると考えることができます。
  • プロバイダが、カスタマが利用するクラウドサービスに関するISMSクラウドセキュリティ認証をまだ取得していない場合:
    プロバイダへのISO/IEC 27017:2015に基づく要求に対して、プロバイダが提供する情報の信頼性を確認する方法の一つとして、プロバイダに対する信頼できる第三者の監査結果等を利用することができます。
  • カスタマが実施すると決めたリスク対応をクラウドサービスプロバイダに期待できない場合:
    自らがクラウドサービスカスタマの立場で対応することが必要となります。

ISMSクラウドセキュリティ認証の要求事項であるJIP-ISMS517-1.0では、組織に対してクラウドサービスプロバイダ、クラウドサービスカスタマのいずれの立場であるかを明確にすることを求めています。したがって、ISMSクラウドセキュリティ認証では、その点について適用範囲に明記する必要があります。
また、クラウドサービスを提供するにあたり他の組織のクラウドサービスに強く依存している場合には、クラウドサービスプロバイダ及びクラウドサービスカスタマの両方を適用範囲とすることが求められます。その場合、特に上記C1107に記載の点について留意する必要があります。

ISMSクラウドセキュリティ認証の取得により、組織は、クラウドサービス固有のリスクについて網羅的なアセスメントを実施して必要な管理策を導入していることを、認証機関による審査・認証によって対外的に表明することができます。具体的には、クラウドサービスに関する自社の立場(プロバイダ/カスタマ)及び適用した基準(JIP-ISMS517-1.0)を明記した証明書(登録証)が認証機関より発行されます。

現時点(2023年1月現在)では、ISO/IEC 27017認証を行っている認証機関が公式な認定を受けている事例は見当たりません。したがって、外国企業によるISO/IEC 27017の認証取得については、海外の認証機関が独自の責任において認証サービスを実施しているものと思われます。
なお、ISMS-ACによるISMSクラウドセキュリティ認証では、適用範囲、審査工数に関する認定基準を定めており、その認定基準に従って制度を運用しております。