TL;DR 

ISO 27017と 27018は、ISO 27001のクラウドに特化した拡張である。

27017 = クラウドインフラ（CSP＋顧客）における共有責任のセキュリティ管理。

27018 = パブリック・クラウドにおける個人情報（PII）の扱い方。

別個の認証は不要-通常、ISO 27001監査の際に審査される。GDPRとの整合性と安全なクラウドの実践のための強力なシグナル。

ISO 27017 / 27018 スコアカードの概要：

• 開発者の労力：中程度（クラウドの責任を理解し、特定のクラウドセキュリティ構成を実装し、該当する場合はPII管理／権利に関する機能を構築する可能性がある。）労力はISO 27001に追加される。
• ツールコスト：ISO 27001より増加するコストは最小限（既存のISO 27001ツールを使用。）
• 市場への影響：高い（特にCSPやクラウドを多用する企業にとって。ISO 27018はGDPRに関連するクラウドのPII保護を実証する上で重要である）。
• 柔軟性：中程度（柔軟なISO 27001の枠組みの中で、具体的なガイダンスとコントロールを提供する。）
• 監査の強度：高強度のISO 27001監査の一部として評価される（クラウドとPIIに関連する監査人が精査すべき特定の分野が追加される）。

ISO 27017 / 27018とは？

ISO/IEC 27017と ISO/IEC 27018は、ISO 27000ファミリーの国際規格であり、クラウドコンピューティングのためのセクター固有のガイダンスを提供する。これらは、ISO 27001とISO 27002（附属書Aの管理に関する実施ガイダンスを提供する）に見られる一般的なフレームワークと管理に基づいている。

• ISO/IEC 27017:2015（クラウドサービスにおける ISO/IEC 27002 に基づく情報セキュリ ティ管理の実践規範）：
  
  • ISO 27002 のうち、特にクラウドセキュリティに関連する 37 の管理策に関するガイダンスを提供する。
  • ISO 27002にはないクラウド特有の管理策を新たに7つ導入し、役割と責任の共有、クラウドサービスの監視、仮想マシンの堅牢化、顧客の資産除去などの分野をカバーする。
  • 各コントロールを実施するための、クラウド・サービス・プロバイダ（CSP）とクラウド・サービス・カスタマ（CSC）間の役割と責任を明確にする。
  • クラウドにおける情報セキュリティ管理に広く焦点を当てる。
• ISO/IEC 27018:2019（PII処理者として機能するパブリッククラウドにおける個人を特定できる情報（PII）の保護に関する実施規範）：
  
  • 公共 CSP によって処理される PII の保護に特に重点を置く。
  • PII 保護要件を満たすための管理策を実施するための目的を定め、ガイダンスを提供する。
  • 同意と選択、目的の正当性、データの最小化、使用／保持／開示の制限、正確性、セキュリティ保護措置、透明性、およびPII処理者の説明責任などの原則を扱う。
  • GDPRのようなプライバシー規制と密接に連携する。
  • その管理は、既存のISO 27002の管理をほぼ拡張するもので、クラウドにおけるPII保護のための特別な解釈が加えられている。

重要なことは、ISO 27017も ISO 27018もISO 27001のようなマネジメントシステム規格ではないということです。27017または27018の認証を直接取得するわけではありません。その代わり、ISO 27001に準拠した情報セキュリティマネジメントシステム（ISMS）の中でこれらのガイダンスを実装し、ISO 27001監査の際に監査人がこれらの特定のコントロールの実装を評価します。

なぜ重要なのか？

ISO 27001の拡張版であるISO 27017と ISO 27018は、クラウドサービスを使用または提供する組織にとって不可欠である：

• クラウドの責任の明確化 ISO 27017は、クラウドにおいてしばしば曖昧になりがちな責任共有モデルを特に取り上げており、CSPと顧客の双方が、誰がどのセキュリティ管理に責任を持つのかを理解するのに役立つ。
• クラウド・サービスに対する信頼の構築：これらの規格に準拠していることを証明することで、CSPはクラウドセキュリティ（ISO 27017）と個人情報保護（ISO 27018）のベストプラクティスに従っていることを顧客に保証します。
• 特定のクラウドリスクへの対応 ISO 27017は、クラウド特有の脅威や脆弱性（仮想化セキュリティ、顧客環境の分離など）に合わせたガイダンスを提供している。
• プライバシー・コンプライアンス（GDPR など）のサポート： ISO 27018は、PII に関する透明性、同意、およびデータ主体の権利に重点を置き、CSP が GDPR およびその他のプライバシー法における処理者の義務を果たすための明確な枠組みを提供します。
• 競争上の優位性：CSPにとって、（多くの場合ISO 27001の監査範囲に含まれることによって）準拠を実証することは、特に規制業界やプライバシー意識の高い顧客と取引する場合に、市場での重要な差別化要因となります。
• セキュリティ体制の強化：追加的な管理とガイダンスを実施することで、クラウド環境におけるセキュリティとプライバシーの実践が純粋に強化される。

これらは基本的に、ISO 27001/27002の広範な原則を、クラウド・コンピューティングとその中でのPII処理という特定の文脈に翻訳したものである。

何をどのように実施するか（技術・政策）

実施は、既存の、または計画されたISO 27001 ISMSの中で行われる：

1. 範囲の定義（ISO 27001の一部として）：ISMSの適用範囲に、提供または利用するクラウドサービスが明確に含まれていることを確認する。
2. リスクアセスメント（ISO 27001の一部として）：クラウド関連リスク（ISO 27017ガイダンスを使用）およびクラウドにおけるPII処理リスク（ISO 27018ガイダンスを使用）を具体的に特定する。
3. コントロールの選択（Statement of Applicability - SoA）：
   
   • CSP と CSC の両方に対するクラウド特有のガイダンスを考慮し、ISO27017 のレンズを通して ISO 27002 の管理策を見直す。
   • リスクに基づいて、ISO 27017の7つの新しい管理策を実施する（例：共有責任の定義、VMのハードニング）。
   • 公開 CSP として PII を処理する場合は、ISO27018 のレンズを通して ISO 27002 の管理を見直し、拡張管理目的（同意、データ最小化、透明性、ユーザの権利など）を実施する。
   • SoAを更新して、これらのクラウド固有の管理策の適用可能性と実施状況を反映させる。
4. テクニカルコントロールとポリシーコントロールを実施する：
   
   • ISO 27017の例：
     
     • CSP/ 顧客との共有責任を明確に文書化する（A.6.1.1 ガイダンス）。
     • クラウドサービス終了時の資産除去／返却の手順を実施する（A.8.3.1ガイダンス、新規管理CLD.6.3.1）。
     • 仮想環境を分離する（A.13.1.3 ガイダンス、新規管理 CLD.9.5.1）。
     • 仮想マシンイメージを固める（新コントロールCLD.9.5.2）。
     • 特定のクラウドユーザのセキュリティ監視を定義し、実施する（A.12.4.1 ガイダンス）。
   • ISO 27018 の例（PII を処理する CSP 向け）：
     
     • 顧客の指示以外の目的で PII を処理しないことを契約で約束する（A.18.1.4 ガイダンス）。
     • PII を取り扱うサブプロセッサーに関する透明性を維持する（A.15.1.1、A.15.1.2 ガイダンス）。
     • 顧客がデータ主体の権利（アクセス、訂正、消去）を遵守することを支援する仕組みを導入 する（A.18.1.4 ガイダンス）。
     • 契約終了時に PII を安全に削除または返却する（A.8.3.1、A.11.2.7 ガイダンス）。
     • 公衆ネットワーク経由で送信される PII を暗号化する（A.13.2.1、A.13.2.3 ガイダンス）。
     • PII に特化したデータ侵害通知手順を実施する（A.16.1 ガイダンス）。
5. トレーニングと意識向上：関連スタッフがクラウドセキュリティの責任（ISO 27017）と個人情報保護の義務（ISO 27018）を理解するようにする。
6. 監査実施されたISO 27017/ISO 27018の管理を、ISO 27001の内部監査および外部監査の範囲に含める。

特定のクラウドとPII保護レンズを既存のISMS管理に適用することに重点を置いています。

避けるべき一般的な間違い

ISO 27017 / 27018に対処する際によくある誤り：

1. 独立した認証として扱うこと：ISO27001を補完する実践規範であり、独立した認証ではない。
2. ISO 27001の基礎を無視している：適切なISO 27001 ISMS（リスクアセスメント、SoAなど）を実施せずに、27017/27018の管理を実施しようとする。
3. 範囲を正しく定義しない：関連するクラウドサービスまたは PII 処理活動を ISMS の適用範囲に含めないこと。
4. 責任共有（ISO 27017）の見落とし：CSP がすべてを処理すると想定したり、プロバイダと顧客の間の責任を明確に文書化しなかったりすること。
5. PII（ISO 27018）の重視不足：CSP の場合、同意、透明性、データ主体の権利サポート、および PII 使用の制限に関する具体的な要件を十分に理解または実装していない。
6. 技術的な実装の欠如：必要な技術的管理（暗号化、アクセス制御、クラウド環境に特化したセキュアな設定など）を実施せずに、ガイダンスを純粋にポリシーとして扱うこと。
7. 顧客の役割（ISO 27017）を忘れる：クラウドの顧客にもISO 27017で定義された責任がある。

監査役が質問すること（開発者フォーカス）

ISO27017 / 27018をスコープに含むISO 27001監査では、監査員はクラウド運用とPIIの取り扱いに関連する質問をする可能性があります：

• (27017)「クラウドにデプロイされた仮想マシンイメージの安全な設定とハードニングをどのように保証しますか」（CLD.9.5.2）
• (27017)「（顧客／プロバイダとしての）あなたとクラウドプロバイダ／顧客との間のセ キュリティ責任を定義した文書を見せてください。(A.6.1.1ガイダンス)
• (27017)「クラウド環境内のセキュリティイベントを具体的にどのように監視していますか？(A.12.4.1 ガイダンス)
• (27017)"クラウドサービスの終了時に、データ/資産を安全に削除するためにどのような手順が用意されていますか？"(CLD.6.3.1)
• (27018 - CSP 向け）「御社のシステムは、御社が処理する PII に対するデータ対象者のアクセスまたは消去要 求に対応する顧客の能力をどのようにサポートしていますか？(A.18.1.4ガイダンス)
• (27018 - CSP 向け）「明示的な同意なしに PII がマーケティング／広告に使用されないことをどのように保証しますか？(目的限定原則）
• (27018 - CSP 向け)"御社のクラウド・サービスにおいて、転送中および静止中の PII を保護するためにどのよう な暗号技術が使用されていますか？(A.10.1 / A.13.2.1 ガイダンス）。
• (27018 - CSP 向け）「顧客の PII の取扱いに関与するサブプロセッサーについて、顧客にどのように通知するか」（A.15.1.1 / A.15.1.2 ガイダンス）。

彼らは、特定のクラウドとPII保護ガイダンスがISMSの中で考慮され、実施されている証拠を探す。

開発チームのクイックウィン

ISO 27017 / 27018の原則との整合は、ここから始めることができます：

1. クラウド・プロバイダーの役割を理解する（ISO 27017）：CSPの責任共有モデルの文書を確認する。CSPが扱うセキュリティと、自社がアプリケーション／構成レイヤーで扱う必要のあるセキュリティの違いを把握する。
2. VM/Container イメージを堅牢化する（ISO 27017）：最小限のベースイメージを使用し、不要なサービスを削除し、配備前にセキュリティ設定を適用する。(CLD.9.5.2 に関連する）。
3. クラウドセキュリティツール（ISO 27017）の活用：監視、アクセス制御（IAM）、構成管理（AWS ConfigやAzure Policyなど）のためのクラウドプロバイダー内蔵ツールを活用する。
4. PIIデータの流れをマッピングする（ISO 27018）：PIIを扱う場合、クラウド・アプリケーション内でPIIがどこから入り、どのように処理され、どこに保管され、誰がアクセスするのかを正確に理解する。
5. PIIを暗号化する（ISO 27018）：輸送時（TLS）と保管時（データベース/ストレージの暗号化）の両方でPIIを暗号化することを優先する。
6. データ対象者の権利に関する計画（ISO 27018）：PIIを含む機能を設計する際には、要求があった場合に特定のユーザーのデータを技術的にどのように取得、修正、削除するかを検討する。

これを無視すれば...（失敗の結果）

ISO 27017 / 27018は ISO 27001 審査の中で評価されるため、「不合格」とは通常、審査中に不適合を受けることを意味します：

• ISO 27001審査の失敗：27017/27018の未実施のコントロールに関連する重大な不適合は、ISO 27001認証そのものを危険にさらし、認証の一時停止や不認証につながる可能性があります。
• 信頼の喪失：クラウドセキュリティ（ISO 27017）または個人情報保護（ISO 27018）のベストプラクティスへの準拠を実証できない場合、クラウドサービスに依存している顧客やパートナーとの信頼関係が損なわれます。
• 契約／市場問題：これらの基準の遵守を明記した契約要件を満たすことができず、取引や市場アクセスを失う可能性がある。
• リスクの増大：ガイダンスを無視することは、クラウド特有の重要なセキュリティ管理や個人情報保護対策を見落とす可能性があることを意味し、違反やプライバシー侵害のリスクを増大させる。
• 規制の不遵守： ISO 27018では、PII保護ガイダンスの実施を怠ると、GDPRのような規制の不遵守につながり、罰金や法的措置につながる可能性がある。

よくあるご質問

ISO 27017またはISO 27018の認証を直接取得できますか？

これらの規格は実施基準であり、マネジメントシステム規格ではありません。これらの規格が適用範囲に含まれるISO 27001認証審査では、コンプライアンスが審査されます。

ISO 27017とISO 27018の両方が必要ですか？

必ずしもそうではない。ISO 27017は、重要なクラウドサービスを使用または提供するほぼすべての組織に関連する。ISO 27018は、顧客に代わって個人を特定できる情報（PII）を処理するパブリック・クラウド・サービス・プロバイダーに特に関連する。PIIを扱うCSPであれば、おそらく両方を検討することになるだろう。クラウド上で重要なPIIを処理しないクラウドの顧客であれば、ISO 27017のみが関連する可能性があります。

ISO 27017/27018とISO 27001の関係は？

拡張機能として、クラウドコンピューティング（ISO 27017）とクラウドPII保護（ISO 27018）に関連する特定のISO 27001/27002管理に関する詳細な実施ガイダンスを提供しています。基礎としてISO 27001 ISMSが必要です。

ISO 27017はクラウド・サービス・プロバイダー（CSP）だけのものですか？

ISO 27017は、クラウド・サービス・プロバイダー（CSP）とクラウド・サービス・カスタマー（CSC）の両方にガイダンスを提供し、各当事者の責任を明確にしています。

ISO 27018はクラウド・サービス・プロバイダー（CSP）だけのものですか？

主にそうです。ISO 27018は、PIIプロセッサとして機能するCSPの要件に焦点を当てている。クラウドの顧客（PII管理者）はCSPを評価するためにこれを利用するかもしれないが、実装の負担は主にプロバイダにかかる。

ISO 27018を導入すればGDPRに対応できますか？

自動的ではないが、かなり役立つ。ISO 27018は、セキュリティ、透明性、サブ処理、データ主体の権利の支援など、PIIの処理に関連する多くのGDPR要件（第28条の義務）をCSPが満たすための強力なフレームワークを提供する。これは、クラウドのPII処理に関するGDPRの整合性を実証するための貴重なツールである。

監査はどのように行われるのですか？

認定された認証機関は、ISO 27001 審査を実施します。ISO 27017 / 27018がISMSの適用範囲および適用声明に含まれている場合、審査員は、ISO 27001の審査プロセスにおいて、これらの規格の関連する管理およびガイダンスの実施を評価します。