ISO/IEC27001にISO/IEC27017の要求事項をアドオンする事により、クラウドセキュリティの認証を受けることができます。認証制度はクラウドサービスに特化したセキュリティ認証であり、 クラウドサービスプロバイダ(CSP)、及び、クラウドサービスカスタマ(CSC)が対象になります。つまりビジネスとしてクラウドサービスに何らかの関係があれば該当する事になり、昨今のインターネット事情からすると、認証制度に対するニーズは増えてくると思われます。そのきっかけになるのが、アマゾンやマイクロソフトのクラウド事業者がISO/IEC27017を取得する事により、関連する事業者への波及が見込まれるからです。
ISO/IEC27017の要求事項の特徴としては、クラウドサービスの為に追加された管理策を抑える必要があり、
◆情報セキュリティのための組織(A6)に関連するのは、クラウド利用者とクラウド事業者間の関係(CLD.6.3)、クラウドコンピューティング環境における役割分担及び責任(CLD.6.3.1)が対象になり、
◆資産管理(A8)に関連するのは、クラウド利用者資産の削除(CLD8.1.5)が対象になり、
◆アクセス制御(A9)に関連するのは、分散仮想環境におけるクラウド利用者データのアクセス制御(CLD.9.5)、バーチャルコンピューティング環境における分離(CLD9.5.1)、仮想化マシンの堅牢化(CLD9.5.2)が対象になり、
◆運用のセキュリティ(A12)に関連するのは、管理者の運用セキュリティ(CLD12.1.5)、クラウドサービスの監視(CLD12.4.5)が対象になり、
◆ネットワークセキュリティ管理(A13.1)に関連するのは、仮想及び物理ネットワークのセキュリティマネジメントの整合(CLD13.1.4)が対象になるので、
このあたりの管理策はクラウドセキュリティの認証を受ける上でポイントになります。