情報セキュリティの国際規格ISO27001・ISO27017について
-
2023.7.07 (金)Posted by コワークストレージ窓口
コワークストレージでは、セキュリティ面でもさらに安心してご利用いただくために
情報セキュリティの国際規格 「ISO/IEC27001」(以下、ISO27001)・「ISO/IEC27017(JIP-ISMS517)」(以下、ISO27017)を取得しました。
※詳細:お知らせリンク
ISO27001・ISO27017を取得したことで、どうしてコワークストレージがセキュリティ面でもさらに安心してご利用可能となったのかを知っていただくために、そもそもISOとは何か、ISO27001・ISO27017ではどのようか規格なのかを詳しく説明していきます。
|
この記事を読めば分かること
|
|
※ISO/IECは、簡単に説明すると、ISOとIECで共同で開発した規格となります。(IEC=国際電気標準会議:電気・電子に関する国際規格を標準化を行う団体)
ISO/IEC27001は、ISO27001とほとんど同じ意味となります。そのため、この記事ではISO27001、ISO27017として記載します。
1.ISOとは
ISOとは、スイスのジュネーブに本部を置く非政府機関 International Organization for Standardization(国際標準化機構)の略称です。一般的な表現をすると「国際的な規模で標準をつくる組織」です。
ISOの主な活動は国際的に通用する規格を制定することであり、ISOが制定した規格をISO規格といいます。ISO規格には、製品そのものを対象とする「モノ規格」と、マネジメントシステムを対象とする「マネジメントシステム規格」の2種類があります。
「モノ規格」は製品に対しての標準なのでイメージが付くと思いますが、「マネジメントシステム規格」はどのように標準を制定しているのかあまりイメージできないので、少し掘り下げてみます。
「マネジメントシステム」というのは、簡潔に説明すると『組織を適切に指揮・管理する「仕組み」』を表します。
マネジメントシステムは、個人ではなく「組織」で運用します。企業が大多数ではありますが、2人以上の集まりならば会社の部署や支店、施設も「組織」に含みます。
組織内で複数の人が足並みそろえて同じ目標に向かうためには「管理=マネジメント」が不可欠となります。
マネジメントを行っていく上では、ルールを作り、組織全体でそのルールを守っていくが重要となってきます。ルールを守っていくためには、規程・手順などの仕組みが必要となり、その仕組みの国際的な基準を示すものが「マネジメントシステム規格」です。
2.ISO取得のメリット
そもそもISOを取得するとどのようなメリットがあるのでしょうか。
2-1.国際的な承認
ISOは国際的な規格であるため、取得すると「国際的に認められている」ということになります。
利用者は、第三者承認を得られたと客観的に証明されているため安心して利用することができ、
組織としては、信頼性を高めビジネスに新たな機会をもたらすことができます。
2-2.品質管理
ISO取得したということは、「適切な品質が担保されている」ことも表します。
また、ISOには継続的に品質を担保する必要があるため、サービスの品質改善や、顧客満足度をより高めることができます。
3.ISO27001/ISO27017について
近年「マネジメントシステム規格」の中でも、注目されている情報セキュリティに関する
「ISO27001」・「ISO27017」について詳しく解説していきます。
3-1.ISO27001
ISO 27001は、ISOが定めた情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報セキュリティマネジメントシステム(ISMS)とは、情報を適切に管理し守る仕組みのことです。
ISO 27001では、企業や組織が、情報セキュリティマネジメントシステム(ISMS)を導入・運用するためのガイドラインとして要求事項を定めています。
システムを運用するにあたっては、PDCAサイクルを用いて継続的に事業活動を実行することが重要となります。ISO27001は、PDCAサイクルに則った継続的改善が基盤となっているため、情報の「機密性」「完全性」「可用性」をバランスよくマネジメントするための規格でもあります。
つまり、ISO27001は「運用面」において情報セキュリティを担保していることを表しているものとなります。
3-2.ISO27017
ISO27017は、クラウドサービスに対応した情報セキュリティ管理に関する国際規格です。
クラウドサービスの特性に合わせた要件があります。
- クラウドサービス利用者のデータ保護
- クラウドサービス提供者による情報セキュリティ管理の責任
- 現場でのセキュリティ意識の向上
ISO27017は、クラウドサービスを利用する企業や組織にとって、セキュリティ対策を徹底する上での重要な規格の一つとなります。
クラウドサービスというのは、オンプレミスのようにシステム稼働に必要なサーバーやネットワークを自社で保有しシステムの運用を行うのとは違い、自社でサーバー等を保有せず、他社が提供しているものを利用してシステムを運用しているのが特徴です。
そのため、クラウドサービスでシステムを運用する場合には、以下のようなリスクも考えられます。
- セキュリティリスクの増加
クラウドサービスに保存したデータは、インターネット経由でアクセスするため、
「情報漏洩」「不正アクセス」のリスクが高まる - アカウントの悪用
クラウドサービスを使用する際にIDとパスワードでログインするが、
万が一その情報が流出してしまうと、不正アクセスにより情報が漏洩する可能性がある - クラウドサービス側の障害による弊害
他社が提供しているものを利用しているため、提供元で障害が発生してしまった場合、
自社のシステムも自ずと運用できなくなる
このような、クラウドサービス特有のリスクに対して、適切にセキュリティ対策を行い、安定するサービスを提供していることを示しているのが、「ISO27017」となります。
また、ISO27017はISO27001を取得していることが必須となるので、ISO27017には運用面からも情報セキュリティを担保していると示された規格となります。
3-3.ISO27001/ISO27017 取得企業
「ISO27001/ISO27017」はクラウドサービスを提供する企業において取得が増加しております。
【実際に取得している企業】
- ・Amazon Web Services, Inc
- ・Google LLC
- ・サイボウズ株式会社
- ・Microsoft Corporation
4.まとめ
上記でも紹介したように「ISO27001」で運用面から、「ISO27017」でクラウドサービス面から、セキュリティの安全性や品質の担保が証明されておりますので、安心してコワークストレージをご利用いただけます。
コワークストレージでは以下のセキュリティ対策を実施しております。
|
情報喪失・漏えいを防ぐための暗号化
|
|
|
2段階認証・回線認証を用いた
セキュリティの強化 |
|
|
管理者も含めすべてのログを記録
|
|
|
高い安全性と堅ろう性、運用性を実現
|
|
詳細について下記を参照ください。
コワークストレージでは無料トライアルを提供しておりますので、是非お試しください。
