ITパスポート 令和7年度 問2：corporate_legalに関する問題

答えは c「ISO/IEC 27017」 です。

情報を安全に管理するための“世界共通のお手本ルール”がいくつかあります。その中で、特にクラウドサービス（ネット上で借りるサーバやソフト）向けのルールが27017です。

もともとある情報セキュリティの基本ルール（27001など）に、クラウドならではの注意点を“追加で”まとめたもの、と覚えればOK。

👉 覚え方：「27017＝クラウド向けのセキュリティのお手本」。

ほかの選択肢：a ISO 14001＝環境（エコ）の管理ルール／b JIS Q 15001＝個人情報を守る仕組み（プライバシーマークの基準）／d ISO 9001＝品質を管理するルール。それぞれ目的がぜんぜん違います。

なぜこれが正解か

正解は c。ISO/IEC 27017は、情報セキュリティマネジメントシステム（ISMS）の管理策規格ISO/IEC 27002を基礎に、クラウドサービス特有のセキュリティ管理策を追加で規定したガイドライン規格。クラウド事業者（提供者）と利用者の双方向けに、責任分界やクラウド固有のリスクへの対策を示す。問題文の『ISMS規格を基礎に追加制定・クラウド対応』に合致する。

各選択肢の解説

• a ISO 14001：環境マネジメントシステム（EMS）の規格。情報セキュリティとは無関係。
• b JIS Q 15001：個人情報保護マネジメントシステムの規格。プライバシーマーク（Pマーク）の認証基準。
• d ISO 9001：品質マネジメントシステム（QMS）の規格。

覚え方・ひっかけ注意

『27000番台＝情報セキュリティ（ISMS）ファミリー』と覚える。27001（要求事項）・27002（管理策）が基礎で、27017がクラウド向け、27018がクラウド上の個人情報保護向けの追加規格。番号の頭が27ならセキュリティ系、14は環境、9は品質と数字で見分ける。

理論的背景

ISO/IEC 27017はクラウドサービスのための情報セキュリティ管理策に関するガイドライン規格であり、ISO/IEC 27001（ISMS：情報セキュリティマネジメントシステムの要求事項）とISO/IEC 27002（情報セキュリティ管理策の実践のための規範）を基礎として、クラウドサービス固有の管理策を追加した「クラウド特化型」の補足規格（ガイドライン規格）として2015年に発行された。規格の構造：ISO/IEC 27002の93の管理策に対して、クラウドサービス顧客（CSC：Cloud Service Customer）とクラウドサービスプロバイダー（CSP：Cloud Service Provider）それぞれの立場からの追加実施ガイダンスを提供し、さらに7つのクラウド固有の新規管理策（仮想化セキュリティ・クラウド環境でのアクセス管理・残存情報の保護等）を規定している。本問の選択肢bが正解：「クラウドサービスについてクラウドサービス固有の管理策が実施されていることを認証する制度」がISO/IEC 27017に基づくISMSクラウドセキュリティ認証の定義。

実務での使われ方

ISO/IEC 27017認証（ISMSクラウドセキュリティ認証）はクラウドサービス提供事業者（CSP）と、クラウドを大規模利用する企業の両方で取得が進んでいる。日本ではJIPDEC（一般財団法人日本情報経済社会推進協会）が認証機関として機能し、NTTデータ・富士通・NEC・SoftBank等の主要クラウドサービス事業者が取得している。政府のISMAP（Information System Security Management and Assessment Program）では、ISO/IEC 27017を含む複数のセキュリティ基準への適合が評価されており、政府クラウド調達における信頼性の証明として機能する。国際的には、AWS・Azure・GCPも主要リージョンでISO/IEC 27017認証を取得しており、グローバルなクラウド調達における標準的なセキュリティ保証文書（コンプライアンスパッケージ）の一部として提供されている。SOC 2 Type IIとの組み合わせで「技術的・プロセス的の両面でセキュリティを保証」するアプローチが現代のクラウドガバナンスの標準となっている。

試験での位置づけ

ISO/IEC 27017はITパスポートの「ストラテジ系／法務・コンプライアンス（クラウドセキュリティ規格）」または「テクノロジ系／セキュリティ（セキュリティ規格）」で出題される。本問は4つの異なる「認証・規格・制度」を識別する問題であり、各選択肢が代表する概念（a=ISO/IEC 27001のSSO的概念の誤記・実際はSAMLの説明に近い／b=ISO/IEC 27017（正解）／c=プライバシーマーク（JIS Q 15001）／d=リスクベース認証・MFA）の正確な理解が必要。近年のシラバル改訂でクラウドセキュリティ関連規格の出題が増加しており、ISO/IEC 27001（ISMS基本）・ISO/IEC 27017（クラウド）・ISO/IEC 27018（クラウドの個人情報保護）・ISO/IEC 27019（電力セクター）の体系的な整理が求められる。基本情報技術者（FE）ではISO/IEC 27017の管理策の具体的内容・共有責任モデル（Shared Responsibility Model：CSPとCSCが分担するセキュリティ責任の定義）まで問われることがある。

選択肢の発展補足

選択肢aの「一度認証するだけで複数のクラウドサービスやシステムを利用できる認証」はシングルサインオン（SSO）の説明であり、SAML 2.0・OAuth 2.0・OpenID Connect等のフェデレーション認証プロトコルが実装する機能。ISMSクラウドセキュリティ認証とは全く別の概念。選択肢cのプライバシーマーク（Pマーク）制度はJIS Q 15001（個人情報保護マネジメントシステム）への適合を審査する日本独自の制度で、個人情報の適切な取り扱い体制の構築・維持が評価対象。クラウドサービス固有の管理策を対象とするISO/IEC 27017とは目的・対象が異なる。選択肢dのリスクベース認証（Adaptive Authentication）はユーザーのアクセス環境・行動パターンを分析して認証強度を動的に変化させるアクセス制御の仕組みで、ForgeRock・Okta・IBM Security Verifyが実装している。これはアイデンティティ管理（IAM）・ゼロトラストアーキテクチャの文脈の技術であり、セキュリティ認証制度（規格への適合証明）とは概念レベルが異なる。