ISO 27017 / 27018

要約 

ISO 27017と27018は、ISO 27001のクラウドに特化した拡張です。

27017 = クラウドインフラにおける共有責任のセキュリティ管理策 (CSP + 顧客)。

27018 = パブリッククラウドにおける個人データ（PII）の取り扱い方法。

個別の証明書は不要です。通常、ISO 27001監査中にレビューされます。GDPRへの準拠と安全なクラウドプラクティスを示す強力な指標となります。

ISO 27017 / 27018 スコアカード概要：

• 開発者の労力: 中程度（クラウドの責任を理解し、特定のクラウドセキュリティ設定を実装し、該当する場合はPII管理/権利のための機能を構築する必要があります）。この労力はISO 27001に追加されます。
• ツールコスト: ISO 27001からの追加コストは最小限（既存のISO 27001ツールを使用し、コストは主に、まだ導入されていない場合に強化された監視や暗号化などの特定の管理策の実装に関連します）。
• 市場への影響: 高い（特にCSPやクラウドを多用する企業にとって重要です。ISO 27018は、GDPRに関連するクラウドPII保護を実証するための鍵となります）。
• 柔軟性: 中程度（柔軟なISO 27001フレームワーク内で、具体的なガイダンスと管理策を提供します）。
• 監査の厳格度: 高厳格度ISO 27001監査の一部として評価されます（クラウドおよびPIIに関連する監査人が精査すべき特定の領域を追加します）。

ISO 27017 / 27018とは何ですか？

ISO/IEC 27017とISO/IEC 27018は、ISO 27000ファミリーに属する国際標準であり、クラウドコンピューティングに関する分野固有のガイダンスを提供します。これらは、ISO 27001およびISO 27002（附属書Aの管理策に関する実装ガイダンスを提供）に見られる一般的なフレームワークと管理策に基づいて構築されています。

• ISO/IEC 27017:2015（ISO/IEC 27002に基づくクラウドサービスの情報セキュリティ管理策の実践規範）：
  
  • ISO 27002の37の管理策のうち、クラウドセキュリティに特に関連するガイダンスを提供します。
  • ISO 27002にはない、7つの新しいクラウド固有の管理策を導入します。これらは、共有される役割と責任、クラウドサービスの監視、仮想マシンの強化、顧客向け資産の削除といった領域をカバーしています。
  • 各コントロールの実装における、クラウドサービスプロバイダー (CSP) とクラウドサービスカスタマー (CSC) 間の役割と責任を明確にします。
  • クラウドにおける情報セキュリティ管理に広範に焦点を当てています。
• ISO/IEC 27018:2019（PII処理者として機能するパブリッククラウドにおける個人識別可能情報（PII）保護の実践規範）：
  
  • 公共のCSPによって処理されるPIIの保護に特化しています。
  • PII保護要件を満たすための管理策を実装するための目標を確立し、ガイダンスを提供します。
  • 同意と選択、目的の正当性、データ最小化、利用/保持/開示の制限、正確性、セキュリティ保護、透明性、およびPII処理者に対する説明責任といった原則に対処します。
  • GDPRのようなプライバシー規制に密接に準拠しています。
  • その管理策は、クラウドにおけるPII保護のための特定の解釈を加え、既存のISO 27002管理策を大部分拡張しています。

重要な点として、ISO 27017もISO 27018も、ISO 27001のようなマネジメントシステム規格ではありません。27017または27018の認証を直接取得するわけではありません。その代わりに、ISO 27001に準拠した情報セキュリティマネジメントシステム（ISMS）内でこれらのガイダンスを実装し、ISO 27001の監査中に監査人がこれらの特定の管理策の実装を評価します。

なぜそれらが重要ですか？

ISO 27001の拡張であるISO 27017およびISO 27018は、クラウドサービスを利用または提供する組織にとって不可欠です。

• クラウドにおける責任の明確化: ISO 27017は、クラウドにおける曖昧になりがちな共有責任モデルに特に対処し、CSPsと顧客の双方がどのセキュリティ管理策に責任を持つかを理解するのに役立ちます。
• クラウドサービスの信頼を構築します: これらの標準への準拠を実証することで、CSPがクラウドセキュリティ（ISO 27017）およびPII保護（ISO 27018）のベストプラクティスに従っていることを顧客に保証します。
• 特定のクラウドリスクへの対処: ISO 27017は、クラウド固有の脅威と脆弱性 (例: 仮想化セキュリティ、顧客環境の分離) に対応したガイダンスを提供します。
• プライバシーコンプライアンス（GDPRなど）をサポート: ISO 27018 は、CSPがGDPRおよびその他のプライバシー法に基づく処理者の義務を果たすための明確なフレームワークを提供し、PIIに関連する透明性、同意、およびデータ主体の権利に焦点を当てています。
• 競争優位性: CSPにとって、遵守状況を示すこと（多くの場合、ISO 27001監査範囲への含めることによって）は、特に規制産業やプライバシー意識の高い顧客を扱う際に、重要な市場差別化要因となります。
• セキュリティ態勢の強化: 追加の制御とガイダンスを実装することで、クラウド環境におけるセキュリティとプライバシーの実践が真に強化されます。

これらは、ISO 27001/27002のより広範な原則を、クラウドコンピューティングとその中でのPII処理という特定の文脈に落とし込むものです。

何を、どのように実装するか (技術的側面とポリシー側面)

導入は、既存または計画中のISO 27001 ISMS 内で行われます。

1. スコープ定義（ISO 27001の一部として）: ISMSのスコープに、提供または利用するクラウドサービスが明確に含まれていることを確認してください。
2. リスク評価（ISO 27001の一部として）: クラウド関連のリスク（ISO 27017ガイダンスを使用）と、クラウドにおけるPII処理リスク（ISO 27018ガイダンスを使用）を具体的に特定します。
3. 管理策の選択 (適用宣言書 - SoA):
   
   • ISO 27017の視点からISO 27002の管理策を見直し、CSPsとCSCsの両方に対するクラウド固有のガイダンスを考慮してください。
   • リスクに基づいて適用可能な場合、ISO 27017の7つの新しい管理策 (例: 共有責任の定義、VMの強化) を導入します。
   • 公開CSPsとしてPIIを処理する場合、ISO 27018の視点からISO 27002の管理策を見直し、拡張された管理目的（例：同意、データ最小化、透明性、ユーザーの権利など）を実装してください。
   • これらのクラウド固有の管理策の適用可能性と実装状況を反映するように、SoAを更新してください。
4. 技術的およびポリシーによる制御を導入します。
   
   • ISO 27017 の例：
     
     • CSP/顧客との共有責任を明確に文書化します (A.6.1.1 ガイダンス)。
     • クラウドサービスを終了する際の資産の削除/返却手順を導入します（A.8.3.1ガイダンス、新しいコントロールCLD.6.3.1）。
     • 仮想環境を分離します（A.13.1.3ガイダンス、新規管理策CLD.9.5.1）。
     • 仮想マシンイメージを強化します（新規コントロール CLD.9.5.2）。
     • 特定のクラウドユーザーセキュリティ監視を定義し、実装します（A.12.4.1ガイダンス）。
   • ISO 27018 の例（PIIを処理するCSP向け）：
     
     • 顧客から指示された目的以外でPIIを処理しないことを契約上約束します（A.18.1.4ガイダンス）。
     • PIIを処理するサブプロセッサーに関する透明性を維持します（A.15.1.1、A.15.1.2のガイダンス）。
     • データ主体権（アクセス、訂正、消去）に関する顧客のコンプライアンスをサポートするメカニズムを導入します（A.18.1.4ガイダンス）。
     • 契約終了時にPIIを安全に削除または返却します（A.8.3.1、A.11.2.7ガイダンス）。
     • 公衆ネットワークを介して送信されるPIIを暗号化します（A.13.2.1、A.13.2.3ガイダンス）。
     • PIIに特化したデータ漏洩通知手順を導入します（A.16.1ガイダンス）。
5. トレーニングと意識向上: 関連スタッフがクラウドセキュリティの責任（ISO 27017）とPII保護の義務（ISO 27018）を理解していることを確認します。
6. 監査: 実装されたISO 27017 / ISO 27018管理策を、内部および外部のISO 27001監査の範囲に含めます。

既存のISMS管理策に、特定のクラウドおよびPII保護の視点を適用することに重点が置かれています。

避けるべきよくある間違い

ISO 27017 / 27018への対応でよくある誤り：

1. それらを独立した認証として扱うこと: それらはISO 27001を補完する実施基準であり、独立した認証ではありません。
2. ISO 27001基盤の無視: 適切なISO 27001 ISMS（リスクアセスメント、SoAなど）が整備されていない状態で、27017/27018のコントロールを実装しようとすること。
3. スコープの定義が不適切: 関連するクラウドサービスやPII処理活動をISMSのスコープに含めないこと。
4. 共有責任の見落とし（ISO 27017）: CSPがすべてを処理すると仮定したり、プロバイダーと顧客間の責任を明確に文書化しなかったりすること。
5. PII（ISO 27018）への焦点不足：CSP（クラウドサービスプロバイダー）にとって、同意、透明性、データ主体権利のサポート、およびPII（個人識別情報）利用の制限に関する特定の要件を十分に理解または実装できていないこと。
6. 技術的実装の欠如: ガイダンスを単なるポリシーとして扱い、必要な技術的制御（例：暗号化、アクセス制御、クラウド環境に特化したセキュアな構成）を実装しないこと。
7. 顧客の役割を忘れる（ISO 27017）: クラウド顧客にもISO 27017で定義された責任があります。これはプロバイダーだけのものではありません。

監査人が尋ねること（開発者向け）

ISO 27017 / 27018を含むISO 27001監査の範囲内で、監査人はクラウド運用とPIIの取り扱いに関する質問をする可能性があります。

• (27017) 「クラウドにデプロイされた仮想マシンイメージのセキュアな構成と強化をどのように確保していますか？」 (CLD.9.5.2)
• (27017) 「お客様（顧客/プロバイダーとして）とクラウドプロバイダー/顧客との間のセキュリティ責任を定義する文書を提示してください。」 (A.6.1.1 guidance)
• (27017) 「クラウド環境内で具体的にセキュリティイベントをどのように監視していますか？」 (A.12.4.1 guidance)
• (27017) 「クラウドサービス終了時に、お客様のデータ/資産を安全に削除するための手順はどのようなものがありますか？」 (CLD.6.3.1)
• (27018 - CSP向け) 「お客様のシステムは、処理するPIIに関するデータ主体からのアクセスまたは消去要求に対応する顧客の能力をどのようにサポートしていますか？」 (A.18.1.4 guidance)
• (27018 - CSP向け) 「明示的な同意なしに、PIIがマーケティング/広告目的で使用されないことをどのように確保していますか？」 (目的制限の原則)
• (27018 - for CSPs) 「クラウドサービス内で転送中および保存中のPIIを保護するために、どのような暗号技術が使用されていますか？」 (A.10.1 / A.13.2.1 ガイダンス)
• (27018 - CSP向け) 「お客様のPIIの処理に関与するサブプロセッサーについて、顧客にどのように通知していますか？」 (A.15.1.1 / A.15.1.2 guidance)

ISMS内で、特定のクラウドおよびPII保護ガイダンスが考慮され、実装されているという証拠が求められます。

開発チームのためのクイックウィン

ISO 27017 / 27018の原則への準拠はここから始められます：

1. クラウドプロバイダーの役割を理解する（ISO 27017）: CSPの共有責任モデルに関するドキュメントを確認してください。彼らがどのようなセキュリティを処理し、アプリケーション/構成レイヤーで何を処理する必要があるかを把握してください。
2. VM/コンテナイメージの強化 (ISO 27017): 最小限のベースイメージを使用し、不要なサービスを削除し、デプロイ前にセキュリティ設定を適用します。(CLD.9.5.2に関連)
3. クラウドセキュリティツール（ISO 27017）の活用: 監視、アクセス制御（IAM）、および構成管理（AWS Config、Azure Policyなど）のために、クラウドプロバイダーが提供する組み込みツールを活用します。
4. PIIデータフローのマッピング (ISO 27018): PIIを取り扱う場合、クラウドアプリケーション内でそれがどこから入り、どのように処理され、どこに保存され、誰がアクセスするのかを正確に把握します。
5. PIIの暗号化（ISO 27018）: 転送中（TLS）および保存中（データベース/ストレージ暗号化）の両方でPIIの暗号化を優先します。
6. データ主体の権利に関する計画 (ISO 27018): PIIを含む機能を設計する際は、要求があった場合にその特定のユーザーデータを技術的に取得、訂正、または削除する方法を検討します。

これを無視すると...（失敗の結果）

ISO 27017 / 27018はISO 27001監査内で評価されるため、「不適合」とは通常、その監査中に不適合を受けることを意味します。

• ISO 27001監査の失敗：未実装の27017／27018コントロール（対象範囲内である場合）に関連する重大な不適合は、ISO 27001認証そのものを危うくし、認証の一時停止または取得失敗につながる可能性があります。
• 信頼の喪失: クラウドセキュリティ（ISO 27017）またはPII保護（ISO 27018）のベストプラクティスへの準拠を実証できない場合、貴社のクラウドサービスに依存する顧客やパートナーとの信頼関係が損なわれます。
• 契約上／市場上の問題: これらの基準への準拠を規定する契約要件を満たせない場合、取引を失ったり、市場アクセスを失ったりする可能性があります。
• リスクの増加: ガイダンスを無視すると、重要なクラウド固有のセキュリティ制御やPII保護対策を見落とす可能性があり、侵害やプライバシー侵害のリスクが高まります。
• 規制非準拠: ISO 27018の場合、そのPII保護ガイダンスを実装しないことは、GDPRのような規制への非準拠につながり、罰金や法的措置を招く可能性があります。

よくあるご質問

ISO 27017またはISO 27018に直接認定を受けることはできますか？

いいえ。それらは実践規範であり、マネジメントシステム標準ではありません。コンプライアンスは、これらの標準がスコープに含まれるISO 27001認証監査の一部として評価されます。

ISO 27017とISO 27018の両方が必要ですか？

必ずしもそうではありません。ISO 27017は、重要なクラウドサービスを利用または提供するほぼすべての組織に関連します。ISO 27018は、顧客に代わって個人識別情報（PII）を処理するパブリッククラウドサービスプロバイダーに特に関連します。PIIを扱うCSPであれば、両方を検討する可能性が高いでしょう。クラウドで重要なPIIを処理しないクラウド顧客であれば、ISO 27017のみが関連する可能性があります。

ISO 27017/27018はISO 27001とどのように関連しますか？

これらは、クラウドコンピューティング（ISO 27017）およびクラウドPII保護（ISO 27018）の文脈における特定のISO 27001/27002管理策に対する詳細な実装ガイダンスを提供する拡張です。基盤としてISO 27001 ISMSが必要です。

ISO 27017はクラウドサービスプロバイダー（CSP）のみが対象ですか？

いいえ。ISO 27017は、クラウドサービスプロバイダー（CSP）とクラウドサービスカスタマー（CSC）の両方にガイダンスを提供し、各当事者の責任を明確にしています。

ISO 27018はクラウドサービスプロバイダー（CSP）のみが対象ですか？

主に、はい。ISO 27018は、PII処理者として機能するCSPsの要件に焦点を当てています。クラウド顧客（PII管理者）はCSPsを評価するためにこれを利用するかもしれませんが、実装の負担は主にプロバイダーにかかります。

ISO 27018を実装することでGDPRに準拠できますか？

自動ではありませんが、大幅に役立ちます。ISO 27018は、CSPsがPII処理に関連する多くのGDPR要件（第28条の義務）を満たすための強力なフレームワークを提供します。これには、セキュリティ、透明性、サブ処理、データ主体権の支援などが含まれます。これは、クラウドPII処理におけるGDPR準拠を実証するための貴重なツールです。

これらはどのように監査されますか？

認定された認証機関がISO 27001監査を実施します。ISO 27017 / 27018がISMSスコープおよび適用宣言書に含まれている場合、監査人はISO 27001監査プロセス中に、これらの規格からの関連する管理策とガイダンスの実装を評価します。