ISO/IEC 27017
クラウド特有の情報セキュリティ管理策の実施指針を定めた国際規格です。
用語解説
ISO/IEC 27017とは
ISO/IEC 27017は、クラウドサービスの提供および利用における情報セキュリティ管理策を示す国際規格です。
ISO/IEC 27002を基にして、クラウド特有のリスクに対応するための追加の管理策と実施の手引きを定めています。
対象
クラウドサービスの提供者と利用者の両方に向けて管理策を示します。
| 立場 | 説明 | 例 |
|---|---|---|
| クラウドサービスプロバイダ(CSP) | クラウドサービスを提供する事業者です | AWS、Microsoft Azure、Google Cloudなど |
| クラウドサービスカスタマ(CSC) | クラウドサービスを利用する組織や個人です | 企業、官公庁、個人など |
規定されている主な内容
クラウドで問題になりやすい点について、管理策や手順の考え方を示します。
-
責任の分担の明確化(提供者と利用者のどちらが何を実施するか)
-
仮想化環境に関するセキュリティ対策
-
利用終了時のデータ削除の手順
-
クラウド上の資産管理(例、設定情報や保存データの管理)
-
アクセス管理(例、利用者ID、権限、認証の運用)
ISO/IEC 27001、ISO/IEC 27002との関係
ISO/IEC 27017は、クラウド向けに管理策の解釈と実施方法を具体化する文書です。
-
ISO/IEC 27001は、ISMS(情報セキュリティマネジメントシステム)の要求事項を定めます。
-
ISO/IEC 27002は、情報セキュリティ管理策の一般的な実施指針を定めます。
-
ISO/IEC 27017は、ISO/IEC 27002を基に、クラウド特有の追加指針を定めます。
発展知識
関連用語
| 用語 | 概要 |
|---|---|
| ISO/IEC 27001 | 組織のISMS(情報セキュリティマネジメントシステム)の要求事項を定めた国際規格です。 |
| ISO/IEC 27002 | 情報セキュリティ管理策の指針を定めた国際規格です。 |
| ISO/IEC 27018 | クラウドサービスにおける個人情報(PII)の保護に特化した管理策の国際規格です。 |
| 責任共有モデル | クラウドのセキュリティ責任の分担を、提供者と利用者の間で整理する考え方です。 |
※本解説は生成AIによる学習支援用の参考情報です。内容の正確性や最新性は保証されません。生成された回答を再確認するようにしてください。