さかのぼること数ヶ月前、当社ではクラウド型社内資産管理システム「Assetment Neo」を対象に、クラウドセキュリティに関する国際規格「ISO27017」を取得しました。2017年の「ISO27001」取得に続く久しぶりの認証ということで、取得の経緯をここに残しておこうと思います。自社システムが認証取得に役に立ったよというお話もあわせてしたいので👌
まずは、ISO27017とはどんな認証なのか、以前取得したISO27001とは何が違うのかについて。
ISO/IEC 27017は、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格です。情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取り組みをISO/IEC 27017で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。また、ISO/IEC 27001とISO/IEC 27017の両方の認証を取得することで、クラウドサービスセキュリティへの堅実な取り組みを対外的にアピールすることができます。
概要 | ISO/IEC 27017(クラウドサービスセキュリティ) | ISO認証 | 日本品質保証機構(JQA)
簡単に言えばISO27017は「セキュリティ対策のガイドライン基準を満たしたクラウドサービスである」ということを審査機関が認めるしくみ、といった感じでしょうか。以前取得したISO27001は対象をクラウドサービスに限定せず、「企業・組織内の情報資産を安全に管理する体制ができている」ことを認めるしくみ。このISO27001をベースに、クラウド部分においてさらに踏み込んだ施策が求められるのがISO27017です。
ISO27001の認証を取得している組織数は、2023年8月時点で7,500弱。対してISO27017は500弱。まだまだ認知度の低い認証なので、現時点でISO27017を取得してもすぐに「すげー!」となったりはしませんし、取得していないからといって「クラウドサービス提供者としてやばいよ」なんてこともありません。
しかし、クラウドにおけるセキュリティ対策は今の時代には必要不可欠。認証取得のために管理体制を構築しておけば、結果的にセキュリティリスクを低減させることができますし、クラウドサービスを利用するお客様にとっても「ISO27017認証取得」がひとつの安心材料になります。実際、当社にお問い合わせをいただく企業様の中にも、認証の取得有無を確認される方がたまにいらっしゃいます。
…という綺麗事は置いておいて、我々がこの認証を取得した1番の理由は「クラウドサービスを展開している事業者として、『しっかりとセキュリティ対策を施している』という外部機関のお墨付きを得たかった」から。これに尽きます、うん。
ISO27017の認証取得は、当社にとってはそれほど難易度の高いものではありませんでした。なぜなら認証を取る取らないに関わらず、最初からセキュリティレベルの高いサービスの提供を意識していたから。Assetment Neoはお客様企業の資産情報や費用情報、従業員情報などを登録するシステムなので、情報漏えいなどのリスクを徹底的に排除しなければいけません。お客様に安心してシステムを使っていただくためにすでに運用体制を整えていたため、管理策を大きく見直す必要はなく、+αの作業ですんなり取得できました。
認証取得のために動き出してから審査に通るまでの期間は1年ちかくかかっていますが、実際に作業をしていた日数は20日程度でしょうか。コンサルティング会社との定期的な打ち合わせや審査機関のスケジュールの都合もあるので、自分の努力次第で期間を大幅短縮できるというものではありません。ゆるく(?)無理なく進めた結果が1年だった、というところ。
ここからは「ISO27017の認証取得にAssetment Neoが役立った」という話をさせてください。審査中、クラウド環境で作業を行うときの手順について、審査員の方がこんな質問をしてきました。
サーバーへのアクセス履歴はどうやって管理していますか?また直近でサーバーへアクセスした際の記録も教えてください。
我々はAssetment Neoのワークフロー画面を確認しながらこう答えます。
Assetment Neoのワークフロー機能を使って管理しています。最近アクセスしたのは✕日前、〇〇会社様の環境に関してサポート部門より調査依頼があったので、△△が調査のためにログインしました。調査の内容は…(以下略)。
審査では、“何のために”クラウド環境を触ったのか履歴を追うことができればOK。当社ではすべての作業履歴をAssetment Neoのワークフロー画面に書き記しているため、監査ではワークフロー履歴とサーバーへのアクセスログを照らし合わせながら、何を聞かれてもすぐに詳細を追うことができました。加えて承認プロセスも設けているので、行う作業はすべて複数人で情報を共有し、承認されたもの。記録を残すだけよりもさらに安心です。
作業履歴にAssetment Neoのワークフロー機能を活用する方法は、以前にも記事にしています。こちらもぜひ👇
今回の認証取得は、プライバシーマーク、ISO27001に続いて当社として3つめの認証。今後も少しずつ認証を増やしていければいいなと思っています。採用に関わるようなものとかSDGsをアピールできそうなものもいいよね🌏