ISO 27017 / 27018

ISO/IEC 27017およびISO/IEC 27018は、クラウドサービスに特化した情報セキュリティとプライバシー保護の国際規格です。ISO 27017はクラウドサービスにおけるセキュリティ管理策のガイドラインを提供し、ISO 27018はパブリッククラウドにおける個人情報（PII：Personally Identifiable Information）の保護に関する実施基準を定めています。いずれもISO/IEC 27001（ISMS）を基盤とした拡張規格であり、クラウド環境特有のリスクに対応するための追加的な管理策を規定しています。

クラウドサービスの普及に伴い、従来のオンプレミス環境を前提としたセキュリティ基準だけでは、クラウド特有のリスク（マルチテナント環境、データの所在、仮想化技術の脆弱性など）に十分に対応できないという課題が生じました。ISO 27017/27018は、クラウドサービスプロバイダー（CSP）とクラウドサービスカスタマー（CSC）の双方に向けた管理策を明確に区別し、それぞれの役割と責任を明確化しています。

これらの規格の認証を取得することは、クラウドサービスのセキュリティとプライバシーに関する国際的な信頼性の証明となります。特に日本では、政府のISMAP（Information system Security Management and Assessment Program）制度においてISO 27017の認証が参照されるなど、公共調達や金融業界でのクラウドサービス採用における重要な判断基準となっています。

ISO 27017：クラウドセキュリティ管理策

ISO/IEC 27017:2015は、ISO/IEC 27002（情報セキュリティ管理策の実施のガイドライン）をベースに、クラウドサービスに固有のセキュリティ管理策を追加した規格です。ISO 27002の管理策にクラウド固有の実装ガイダンスを付与するとともに、7つの追加管理策（CLD.6.3.1〜CLD.13.1.4）を新たに規定しています。

追加管理策には、クラウドコンピューティング環境における役割と責任の共有、仮想マシンの要塞化、クラウドサービスの管理者の操作ログ管理、仮想・物理ネットワークのセキュリティ管理、マルチテナント環境におけるデータ隔離、クラウドサービス利用者の仮想環境の保護、クラウドサービスの契約終了時のデータ返却・削除などが含まれます。

ISO 27018：クラウドプライバシー保護

ISO/IEC 27018:2019は、パブリッククラウド環境でPII（個人識別情報）を処理するPIIプロセッサ（クラウドサービスプロバイダー）が遵守すべきプライバシー保護のための管理策を定めた規格です。OECD プライバシーガイドラインの原則に基づき、同意と選択、目的の正当性と限定、データの最小化、利用・保持・開示の制限などの原則を具体的な管理策に落とし込んでいます。

ISO 27018では、PII処理に関する透明性の確保、データ主体のアクセス権の保障、サブプロセッサー（再委託先）への管理要件、データ侵害時の通知義務、法執行機関からのデータ開示要求への対応手順など、GDPRやAPECプライバシーフレームワークとも整合性のある要件が規定されています。

CSP（クラウドサービスプロバイダー）とCSC（クラウドサービスカスタマー）の責任分担

ISO 27017の最も重要な特徴の一つは、各管理策についてCSPとCSCそれぞれの責任を明確に区分している点です。クラウドサービスモデル（IaaS/PaaS/SaaS）によって責任の境界が異なりますが、規格はサービスモデルに依存しない形で、両者が実施すべき管理策を定義しています。

例えば、アクセス制御に関して、CSPは管理コンソールへのアクセス制御と特権管理を、CSCは自組織のユーザーアカウント管理とアクセス権限の設定を、それぞれ責任を持って実施する必要があります。この責任分担の明確化により、クラウド環境におけるセキュリティの「隙間」を防ぎ、包括的なセキュリティ管理を実現できます。

ISO 27001との関係と認証体系

ISO 27017およびISO 27018は、ISO/IEC 27001の認証を前提とした拡張規格です。つまり、これらの認証を取得するためには、まずISO 27001のISMS認証を取得している必要があります。ISO 27017/27018の認証は、ISO 27001の付帯認証（アドオン認証）として発行されます。

認証審査では、ISO 27001の審査に加えて、クラウドサービスに固有の管理策の実装状況と有効性が評価されます。審査機関はISMS-AC（ISMS適合性評価制度）など各国の認定機関から認定を受けた第三者認証機関が担当します。認証の有効期間は3年間で、年次のサーベイランス審査と3年ごとの更新審査が必要です。

認証取得のプロセスとメリット

ISO 27017/27018の認証取得プロセスは、一般的にギャップ分析 → 管理策の実装 → 内部監査 → マネジメントレビュー → 第三者審査（Stage 1/Stage 2） → 認証取得という流れで進みます。既にISO 27001を取得している組織であれば、追加のクラウド固有管理策を実装し、統合的な審査を受けることで効率的に認証を取得できます。

認証取得のメリットとして、クラウドサービスの信頼性向上、顧客からのセキュリティ評価における優位性、法規制（GDPRやAPPI等）への準拠の証明、入札・調達要件への適合、インシデント発生時のデューディリジェンスの証明などが挙げられます。特にグローバル展開するクラウドサービスにとっては、国際的に認知された規格への準拠は重要な差別化要因となります。

• 01
  クラウドサービス利用における責任分界点の明確化：CSPとの契約やSLA（サービスレベル合意書）において、セキュリティ管理策の責任分担を明確に文書化してください。IaaS/PaaS/SaaSの各サービスモデルに応じた責任マトリクスを作成し、セキュリティの「隙間」が発生しないようにしましょう。
• 02
  クラウド環境における資産管理とデータ分類：クラウド上に保管・処理するデータを適切に分類し、機密度に応じたセキュリティ管理策を適用してください。データの所在地（リージョン）、保持期間、アクセス権限を明確に管理し、データライフサイクル全体を通じたセキュリティを確保しましょう。
• 03
  マルチテナント環境におけるデータ隔離の検証：クラウドサービスプロバイダーが提供するテナント分離機能の実装状況を確認し、論理的・物理的なデータ隔離が適切に機能していることを検証してください。特に共有インフラストラクチャ上での機密データの処理については、暗号化やアクセス制御による追加の保護を実施しましょう。
• 04
  PII（個人識別情報）の処理に関する透明性の確保：ISO 27018の要件に従い、PII処理の目的、範囲、保持期間、サブプロセッサーへの委託状況を文書化し、データ主体に対して適切に情報開示してください。データ侵害時の通知手順を確立し、法令で定められた期間内に通知できる体制を整えましょう。
• 05
  クラウドサービスの管理者操作ログの取得と監視：CSPの管理コンソールへのアクセスログ、特権操作ログ、設定変更ログを取得・保管し、定期的にレビューしてください。異常な管理者操作を検知するためのアラートを設定し、不正アクセスや設定ミスの早期発見に努めましょう。
• 06
  クラウドサービス契約終了時のデータ管理：クラウドサービスの利用を終了する際のデータ返却・削除手順を事前に契約で定めてください。ISO 27017のCLD.12.4.5に基づき、CSPが保有するすべてのデータコピー（バックアップ含む）の完全な削除を確認し、削除証明を取得しましょう。