Presentation on October 18, 2013

1. クラウドセキュリティの現状と今後
～国際的視点からの課題提起～
2013年10月18日
日本クラウドセキュリティアライアンス
健康医療情報管理ワーキンググループ
(c) 2013 Cloud Security Alliance
1

2. AGENDA
• Cloud Security Allianceのご紹介
のご紹介
のご
• 国際的視点から見たヘルスケア分野の
クラウドセキュリティの現状
• クラウドセキュリティから見た今後の課題
～サイバーセキュリティ、モバイル、ビッグデータ～
(c) 2013 Cloud Security Alliance
2

3. Cloud Security Allianceのご紹介
• クラウドセキュリティのグローバルな非営利組織
• Individual Members（ソーシャルメディアLinkedInの
「Cloud Security Alliance」グループ登録者）：5万人以上
• Corporate Members: 140
• Affiliate Members: 24（ASPIC、IPA含む）
• Chapters worldwide：60以上（日本含む）
The Cloud Security Alliance (CSA) is a not-for-profit organization with a
mission to promote the use of best practices for providing security assurance
within Cloud Computing, and to provide education on the uses of Cloud
Computing to help secure all other forms of computing. The Cloud Security
Alliance is led by a broad coalition of industry practitioners, corporations,
associations and other key stakeholders.
（https://cloudsecurityalliance.org/）
(c) 2013 Cloud Security Alliance
3

4. Cloud Security Allianceのご紹介
Security, Trust &
Assurance
Registry
クラウドプロバイ
ダーの
ダーのセキュリ
ティ認証／登録
ティ認証／
認証
• CSAの主な活動／成果物
クラウドコンピューティ
ングのための
のためのセキュ
ングのためのセキュ
リティガイダンス
他の
基準との連結
リスク分析のための
リスク分析のための
分析
コントロールマトリクス
ISO27001/HIPAA/
HITECH Act
/AICPA/COBIT4.1/
ENISA IAF/
FedRAMP/ PCI DSS
v2.0
WGや研究活動
や
(c) 2013 Cloud Security Alliance
認定資格試験
4

5. Cloud Security Allianceのご紹介
• クラウドソーシングを活用した国際標準化活動
• クラウドソーシング（Crowdsourcing）で、クラウドセキュリ
ティ（Cloud Security）の標準化を推進する
•
オープン、グローバルなオンラインコミュニティから、ボランティアを幅広
く募集し、プロジェクトコディネーターを中心として、クラウドセキュリティ
の個別テーマに関する標準化活動を推進する
• クラウドソーシングのためのツール
•
ソーシャルネットワーキングサービス：LinkedIn
(http://www.linkedin.com/groups?gid=1864210)
•
•
•
～Working GroupやPeer Reviesに参加するボランティアの募集
コラボレーションツール：Google Groups、Google Docs、Basecamp
～オンラインディスカッション、ピアレビューなど
テレカンファレンス：joinme
~定例オンライン会議
メーリングリスト など
(c) 2013 Cloud Security Alliance
5

6. Cloud Security Allianceのご紹介
• ワーキンググループ／リサーチイニシアティブの活動領域
(c) 2013 Cloud Security Alliance
6

7. Cloud Security Allianceのご紹介
• 主要なワーキンググループ／リサーチイニシアティブ（1）
•
•
•
•
•
•
•
•
•
•
•
•
•
Security Guidance for Critical Areas of Focus in Cloud Computing
Cloud Vulnerabilities Working Group
Incident Management and Forensics
CSA Legal Information Center
Innovation Initiative
Open Certification Framework
Mobile Working Group
Big Data Working Group
Privacy Level Agreement Working Group
Consensus Assessments Initiative
Cloud Controls Matrix (CCM)
CloudTrust Protocol
Cloud Data GovernanceCloud Security Alliance
(c) 2013
7

8. Cloud Security Allianceのご紹介
• 主要なワーキンググループ／リサーチイニシアティブ（2）
•
•
•
•
•
•
•
•
•
•
Enterprise Architecture Working Group
Security as a Service
Telecom Working Group
Health Information Management Working Group
Top Threats to Cloud Computing
CloudAudit
CloudCERT
Cloud Metrics
Solution Provider SME Advisory Council （Corporate Members）
Solution Provider Advisory Council （Corporate Members）
(c) 2013 Cloud Security Alliance
8

9. Cloud Security Allianceのご紹介
• CSA Health Information Management （HIM）Working Group
（https://cloudsecurityalliance.org/research/him/）
• 代表幹事: Vincent Campitelli, McKesson Corp.
Chris Ledoux, athenahealth, Inc.
• 活動領域：
• Provide direct influence on how health information service
providers deliver secure cloud solutions (services, transport,
applications and storage) to their clients, and foster cloud
awareness within all aspects of healthcare and related industries.
• The efforts are jointly executed by CSA Global, health
information cloud communities (i.e. focus groups, associations,
vendors, providers, research institutes, forums, and academia),
Solution Providers and relevant working group responsible for
authoring CSA’s Guidance V.3.
(c) 2013 Cloud Security Alliance
9

10. Cloud Security Allianceのご紹介
• 日本クラウドセキュリティアライアンス
健康医療情報管理ワーキンググループ
• 幹事: 笹原英司（米国CSA本部 HIM WGメンバー）
• 活動領域（Google Groupsなどのツールを利用）：
•
•
ライフサイエンス／医薬品／医療機器産業、医療機関／介護施設／健
康増進サービス事業者、患者／消費者を含む健康医療情報バリュー
チェーン全体におけるSecurity Guidance for Critical Areas of Focus in
Cloud ComputingおよびCloud Security Alliance Cloud Controls Matrix
(CCM)の有効活用の推進活動
• CSAのワーキンググループが主導するCSAガイダンス、CCMおよびそ
の他発行文書類に関する、業界の視点に立ったピアレビューの実施お
よびフィードバックの提供
• 健康医療情報に関わる国内外の主要なステークホルダーコミュニティ
（例．フォーカスグループ、業界団体、研究機関、フォーラム、学術団体
など）との積極的な協業活動
参加資格：CSA日本支部のインディビジュアル／コーポレート／アフィリエー
トメンバーからのボランティア（まずはLinkedInグループに御登録下さい）
(c) 2013 Cloud Security Alliance
10

11. AGENDA
• Cloud Security Allianceのご紹介
• 国際的視点から見たヘルスケア分野の
国際的視点から見 ヘルスケア分野の
から
分野
クラウドセキュリティの
クラウドセキュリティの現状
• クラウドセキュリティから見た今後の課題
～サイバーセキュリティ、モバイル、ビッグデータ～
(c) 2013 Cloud Security Alliance
11

12. 国際的視点から見たヘルスケア分野の
クラウドセキュリティの現状
• CSA Cloud Controls Matrixの健康医療分野への適用（1）
• 米国： HIPAA／HITECH総括的規則の沿革
年月日
内容
2009年8月24日
HITECH法（Health Information Technology for Economic and Clinical Health Act
of 2009） 暫定的最終規則（IFR：Interim Final Rule）（データ漏えい）
2009年10月7日
遺伝子情報差別禁止法（GINA：Genetic Information Nondiscrimination Act of
2008） 規則制定案告示（NPRM）（GINA規則）
2009年10月30日
HITECH法 暫定的最終規則（IFR）（執行）
2010年7月14日
•
2013年1月25日
HITECH法 規則制定案告示（NPRM：Notice of Proposed Rulemaking）（HITECH
規則）
HIPAA総括規則（データ漏えい、執行、HITECH規則、GINA規則）公表
2013年3月26日
HIPAA総括規則（データ漏えい、執行、HITECH規則、GINA規則）施行
2013年9月23日
適用対象主体および事業提携者（BA：Business Associates）の遵守義務開始
（前提条件：日本との違い）
•
•
個人情報保護の権利とは別個にプライバシーに関する権利が確立
健康医療データのオーナーは個人である（→インフォームドコンセント）
(c) 2013 Cloud Security Alliance
12

13. 国際的視点から見たヘルスケア分野の
クラウドセキュリティの現状
• CSA Cloud Controls Matrixの健康医療分野への適用（2）
• 米国： HIPAA／HITECH総括的規則のスコープ
漏えい発生時の通知基準の改正
電子健康記録（EHR）に含まれる情報に対する患者のアクセス
事業提携者（ ：
下請け
事業提携者（BA：Business Associates）および下請け事業者に対する規制
）および下請 事業者に する規制
許諾のないマーケティングにおける保護対象保健情報（PHI：Protected Health
Information）の利用／開示の制限
許諾のない保護対象保健情報（PHI）の販売の禁止
データの研究利用 - 複合的、より一般的な許諾
患者が保険者とのデータ共有を制限する権利
プライバシーの取り扱いの通知を修正／再配布するための要件
契約査定のための遺伝子情報利用に対する制限の包含
民事制裁金（CMP：Civil Money Penalty）の執行／賦課および代理人行為の民事
制裁金負債における保健社会福祉省（HHS：Department of Health and Human
Services）長官の役割の明確化
(c) 2013 Cloud Security Alliance
13

14. 国際的視点から見たヘルスケア分野の
クラウドセキュリティの現状
• CSA Cloud Controls Matrixの健康医療分野への適用（3）
• 米国： HIPAA／HITECHにおける事業提携者（BA）
事業提携者（BA：Business Associates）＝適用主体に代わって、保護対象保健情報
（PHI：Protected Health Information）を生成、収集、維持、交換する者
事業提携者（BA）に代わって保護対象保健情報（PHI）を生成、収集、維持、交換する、事業提
携者（BA）の下請け事業者も該当する
事業提携者（BA）としての位置づけは、契約上の相手関係ではなく、役割や責任に基づく
事業提携者（BA）に該当する例
患者安全組織
保健情報連携組織、電子処方箋ゲートウェア、適用主体の個人健康記録（PHR）ベンダー（全
てのPHRではない）
日常的に、保護対象保健情報情報（PHI）へのアクセスを必要とするデータ交換プロバイダー
事業提携者（BA）に該当しない例
単にデジタル管路を提供する、データ交換サービス事業者は該当しない
ただし、実際に閲覧する意図がなくても、保護対象保健情報情報（PHI）を保存する事業者は該
当する（例．クラウドモデルの電子健康記録（EＨR））
(c) 2013 Cloud Security Alliance
14

15. 国際的視点から見たヘルスケア分野の
クラウドセキュリティの現状
• CSA Cloud Controls Matrixの健康医療分野への適用（4）
• 米国：健康医療固有の法規制＋パブリックセクターのセ
キュリティ要件＋サイバーセキュリティ要件
健康医療分野のクラウドセキュリティの
健康医療分野のクラウドセキュリティの視点
監査への対応:リスク
例．-HIPAA／HITECH監査への対応 リスク評価
／
監査への対応 リスク評価
CSA Cloud Controls Matrix (CCM)
（https://cloudsecurityalliance.org/research/ccm/）
パブリックセクターのクラウドセキュリティの視点
例．Federal Risk and Authorization Management Program (FedRAMP)
（http://www.fedramp.gov/）
ホームランドセキュリティの視点
例．Federal Information Security Management Act（FISMA）
(c) 2013 Cloud Security Alliance
（http://csrc.nist.gov/groups/SMA/fisma/index.html）
15

16. 国際的視点から見たヘルスケア分野の
クラウドセキュリティの現状
• CSA Cloud Controls Matrixの健康医療分野への適用（5）
• 米国：CCMを介した健康医療関連法規制の省庁間マッピング
Control
Area
(CSA)
Contr
ol ID
(CSA)
Control Specification
(CSA)
Scope Applicability
HIPAA / HITECH NIST
Act
SP800-53
R3（最新版
（
はR4）
）
45 CFR
164.312(e)(2)(i):
Implement security
measures to ensure
that electronically
transmitted
electronic protected
health information
is not improperly
modified without
detection until
disposed of.
(c) 2013 Cloud
https://cloudsecurityalliance.org/research/ccm/ Security Alliance
Applicatio
n&
Interface
Security
Applicatio
n Security
AIS-01
Applications and
interfaces (APIs) shall be
designed, developed, and
deployed in accordance
with industry acceptable
standards (e.g., OWASP
for web applications) and
adhere to applicable legal,
statutory, or regulatory
compliance obligations.
HHS
SC-2
SC-3
SC-4
SC-5
SC-6
SC-7
SC-8
SC-9
SC-10
・・・
NIST
FedRAMP
Security
Controls
--LOW IMPACT
LEVEL—
NIST SP 800-53
R3 SC-5
NIST SP 800-53
R3 SC-6
NIST SP 800-53
R3 SC-7
NIST SP 800-53
R3 SC-12
NIST SP 800-53
R3 SC-13
NIST SP 800-53
16
R3 SC-14
GSA

17. 国際的視点から見たヘルスケア分野の
クラウドセキュリティの現状
• CSA Cloud Controls Matrixの健康医療分野への適用（6）
• 米国：医療ソフトウェアとセキュリティの関係例
FDA規制対象の医療ソフトウェア
規制対象の医療ソフトウェア
規制対象
FDA規制対象外の医療ソフトウェア
規制対象外の医療ソフトウェア
規制対象外
HIPAA／HITECH規制への対応： 事業提携者（BA）に該当する場合
／
規制への対応：
する場合
規制への対応 事業提携者（ ） 該当する
CSA Cloud Controls Matrix (CCM)
（https://cloudsecurityalliance.org/research/ccm/）
パブリックセクターのクラウドセキュリティの視点
例．Federal Risk and Authorization Management Program (FedRAMP)
（http://www.fedramp.gov/）
ホームランドセキュリティの視点
例．Federal Information Security Management Act（FISMA）
（http://csrc.nist.gov/groups/SMA/fisma/index.html）
(c) 2013 Cloud Security Alliance
17

18. 国際的視点から見たヘルスケア分野の
クラウドセキュリティの現状
• CSA Cloud Controls Matrixの健康医療分野への適用（7）
• 米国とEUのハーモナイゼーションに向けた取組
健康医療分野のクラウドセキュリティの
健康医療分野のクラウドセキュリティの視点
例．eヘルス／ヘルスITの標準化に関して、米国保健社会福祉省（HHS）と
欧州委員会通信ネットワーク・コンテンツ・技術総局（DG CONNECT）が提携
CSA Cloud Controls Matrix (CCM)
例．CSAグローバル各WG／イニシアティブ／支部間の交流活動
パブリックセクターのクラウドセキュリティの視点
例．政府機関向けクラウドセキュリティ基準策定における
米国NISTと欧州ENISAの交流／連携
ホームランドセキュリティの視点
例．重要情報インフラ保護（CIIP）のサイバーセキュリティフレーム
ワーク策定における米国NISTと欧州ENISAの交流／連携
(c) 2013 Cloud Security Alliance
18

19. 国際的視点から見たヘルスケア分野の
クラウドセキュリティの現状
• CSA Cloud Controls Matrixの健康医療分野への適用（8）
• 日本での適用上の問題点
Control
Area
(CSA)
Contr
ol ID
(CSA)
Control Specification
(CSA)
Scope Applicability
Applicatio
n&
Interface
Security
Applicatio
n Security
AIS-01
Applications and
interfaces (APIs) shall be
designed, developed, and
基本的に省庁タテ りで、
タテ割
・基本的に省庁タテ割りで、
deployed in accordance
基本的に省庁タテ りで、
タテ割
・基本的に省庁タテ割りで、
改訂のタイミングも バラバラ
with industry acceptable
改訂のタイミングもバラバラ
改訂のタイミングも
改訂のタイミングも
standards (e.g., OWASP
重要情報インフラ
インフラとしての
・・重要情報インフラとしての
重要情報インフラとしての
重要情報インフラ
インフラとしての
for web applications) and
サイバーセキュリティの 全
サイバーセキュリティの全
サイバーセキュリティの
サイバーセキュリティの
adhere to applicable legal,
体最適化は 誰が担う？
体最適化は誰が担う？
statutory, or regulatory
体最適化は
体最適化は
compliance obligations.
(c) 2013 Cloud Security Alliance
19
厚生労働省：
厚生労働省：
医療情報システ
医療情報システ
安全管理に
ムの安全管理に
するガイドライ
関するガイドライ
ン 第4.2版
版
（2013年10月）
年 月
経済産業省：
経済産業省：
医療情報を
医療情報を受託
管理する
する情報処
管理する情報処
理事業者向け
理事業者向けガ
イドライン 第2版
版
（2012年10月）
年 月
総務省：
総務省：
ASP・SaaS事業者
・
事業者
医療情報を
が医療情報を取
り扱う際の安全管
するガイド
理に関するガイド
ライン第 版
ライン第1.1版
（2010年12月）
年 月

20. AGENDA
• Cloud Security Allianceのご紹介
• 国際的視点から見たヘルスケア分野の
クラウドセキュリティの現状
• クラウドセキュリティから見た今後の課題：
サイバーセキュリティ、モバイル、ビッグデータ
(c) 2013 Cloud Security Alliance
20

21. クラウドセキュリティから見た今後の課題
• クラウドのサイバーセキュリティと健康医療
• 米国FDAの医療機器／医療ソフトウェア関連規制例
•
•
「Guidance to Industry: Cybersecurity for Networked Medical
Devices Containing Off-the-Shelf (OTS) Software」 （2005年1月14日）
（市販ソフトウェアを含むネットワークに接続された医療機器のサイバー
セキュリティに関するガイドライン）
「Content of Premarket Submissions for Management of
Cybersecurity in Medical Devices: Draft Guidance for Industry and
Food and Drug Administration Staff」（2013年6月14日）
（医療機器のサイバーセキュリティ管理のための市販前申請内容に関
するガイドライン草案）
• 欧州ENISAの重要情報インフラ保護（CIIP: Critical Information
Infrastructure Protection）対策：医療も対象
•
「Critical Cloud Computing: A CIIP perspective on cloud computing
services」（2012年12月）
（EUサイバーセキュリティ戦略に基づく重要情報インフラ保護のための
クラウドガバナンスの方向性を示す）
(c) 2013 Cloud Security Alliance
21

22. クラウドセキュリティから見た今後の課題
• モバイルのクラウドセキュリティと健康医療
• 米国NISTの企業向けモバイル機器のセキュリティ管理指針
•
「NIST SP800-124 R1: Guidelines for Managing the Security of
Mobile Devices in the Enterprise」（2013年6月）
• 米国FDAのモバイル医療ソフトウェア関連規制例
•
「Mobile Medical Applications: Guidance for Industry and Food and
Drug Administration Staff」（2013年9月25日）
（モバイル医療アプリケーションの品質に関する要求事項ガイドライン）
• CSAにおけるHealth Information Management WGとMobile WGとの
連携
•
•
「Cloud Controls Matrix v3.0」で新設されたモバイルセキュリティ項目
の健康医療分野への適用
「Security Guidance for Critical Areas of Mobile Computing v1.0」
（2012年11月）の健康医療分野への適用
• 認証、BYOD（Bring Your Own Device）、モバイルデバイス管理
（MDM）、App Storeセキュリティ（開発者含む） など
(c) 2013 Cloud Security Alliance
22

23. クラウドセキュリティから見た今後の課題
• ビッグデータのクラウドセキュリティと健康医療
• 米国NISTがBig Data Working Groupを設置
•
•
•
•
•
•
•
Big Data Definitions
Big Data Taxonomies
Big Data Requirements
Big Data Security and Privacy Requirements
Big Data Security and Privacy Reference Architectures
Big Data Reference Architectures
Big Data Technology Roadmap
• CSAにおけるHealth Information Management WGとBig Data WGと
の連携
•
「Expanded Top Ten Big Data Security and Privacy Challenges」
（2013年6月）などの健康医療分野への適用
• インフラストラクチャセキュリティ、データプライバシー、データ管理、
完全性／反応的なセキュリティ など
(c) 2013 Cloud Security Alliance
23

24. クラウドセキュリティから見た今後の課題
• CSA Health Information Management Working Groupの
今後の主要活動テーマ
• Cloud Controls Matrix v1.xからv3.0への移行に伴うマッピングの
アップデートと新たに追加された領域への対応
•
•
•
モバイルセキュリティ
（スマートフォン／タブレットなど）
クラウドプロバイダーのサプライチェーン管理とガバナンス
（変更管理、透明性／説明責任の担保など）
相互接続性／ポータビリティ など
• HIM Surveyの準備、実施（CSA主催／共催イベントで公表予定）
•
米国でスタートし、将来的にグローバルへ拡大
• 遠隔医療
• モバイルデバイスとしての医療機器管理
• HIPAA/HITECH総括規則への対応 など
• 随時ボランティアを募集
（https://cloudsecurityalliance.org/research/him/）
(c) 2013 Cloud Security Alliance
24

25. (c) 2013 Cloud Security Alliance
25