ISO/IEC 27017は、クラウドサービスに特化した情報セキュリティ管理策を提供する国際規格です。2015年に国際標準化機構(ISO)と国際電気標準会議(IEC)によって共同で開発されました。
背景と目的
ISO/IEC 27017は、クラウドサービスプロバイダ(CSP)とクラウドサービスカスタマ(CSC)の両方に対して、クラウド環境における情報セキュリティのベストプラクティスを提供することを目的としています。この規格は、ISO/IEC 27002の管理策を基に、クラウド特有のリスクに対応するための追加管理策を含んでいます。
主な内容
ISO/IEC 27017は、以下のようなクラウドサービスに特有の管理策を含んでいます:
- クラウドコンピューティング環境における役割と責任の共有:クラウドサービスプロバイダとクラウドサービスカスタマの間で役割と責任を明確にします。
- クラウドサービスカスタマの資産の除去:クラウドサービスの利用終了時に、カスタマのデータを適切に削除または返却する手順を定めます。
- 仮想コンピューティング環境における分離:仮想マシン間の分離を確保し、セキュリティを強化します。
- 仮想マシンの要塞化:仮想マシンの設定を強化し、セキュリティリスクを低減します。
- 実務管理者の運用のセキュリティ:クラウドサービスの運用管理におけるセキュリティ対策を強化します。
- クラウドサービスの監視:クラウドサービスの利用状況を監視し、不正アクセスや異常を検知します。
- 仮想および物理ネットワークのセキュリティ管理の整合:仮想ネットワークと物理ネットワークのセキュリティ管理を統合します。
認証
ISO/IEC 27017の認証は、クラウドサービスのセキュリティを強化し、顧客の信頼を得るために重要です。多くのクラウドサービスプロバイダがこの認証を取得しており、セキュリティ対策の一環として活用しています。
ISO/IEC 27017は、クラウドサービスのセキュリティを確保するための重要な規格です。
