本ブログは米国で2019年02月11日に公開されたUnit 42ブログ「Healthcare Hot Seat:3 Things to Remember About Cloud Compliance - Palo Alto Networks Blog」の日本語翻訳です。

世界の医療クラウド コンピューティング市場は、2022年までに350億ドルに成長すると予想されています。しかしどこでもクラウド採用が一様に進んでいるわけではありません。大量の生産ワークロードをクラウドで実行し、コンテナやサーバーレスのような新たに出現したクラウド テクノロジすら利用して全力で取り組んでいる医療組織もあれば、まだその前の段階にある医療組織、つまり、より効率的なビジネス協業を求めてクラウドが提供するインフラストラクチャを利用するか、SaaS を活用するにとどまっている医療組織もあります。HIMSS Analyticsが公開したデータによれば、医療クラウドを使用する大部分の目的は、臨床アプリケーションとデータのホスティング、データのバックアップと復元、運用アプリケーションのホスティングを支援することだそうです。

ただ、皆さんの医療ビジネスがクラウド成熟度スペクトラムのどこに位置しているかに関わらず、クラウド コンピューティングを着実に導入することで、消費者とのやり取りや情報交換の活発化、分析の向上、高度なデータ区分といった利益が得られます。しかし、どうすればデータの安全性を確保できるのでしょうか。

最終的にクラウドでは、セキュリティとコンプライアンスの責任が大きく変化し、アクセス・交換される大量の機密データが基本的にユーザーの制御外に置かれます。

コンプライアンスに集中しましょう。

データが格納されているインフラストラクチャやテクノロジを自身では制御できない場合、どうすればコンプライアンス規制や命令を
満たせるのでしょうか。

その答えは2つあります。1つ目は、セキュリティの責任共有モデルを厳格に理解し、「皆さんの組織が責任を持つこと」と「クラウド サービス プロバイダが皆さんの代わりに責任を持つこと」を明確にすることです。2つ目は、クラウドのデプロイ時に包括的な可視化を達成することです。HIPAA (Health Insurance Portability and Accountability Act: 医療保険の携行と責任に関する法律)、HIPAA High-Techなどのプライバシー規制は、可視化を通じてのみ維持できます。これら2点を備えれば、コンプライアンスを遵守し、規制に準拠していることを示せます。

ただし、クラウドのコンプライアンスが少々厄介であるという事実は残ります。コンプライアンスの要件は、パブリック クラウド インフラストラクチャをサポートすることを想定して作られていません。そのため、制御の一部を解釈し、その制御をセキュリティおよびコンプライアンスのツールに正しくマッピングするにはコツがいります。たとえば、PCI DSS(Payment Card Industry Data Security Standard ペイメントカード業界データセキュリティ基準)は、特定の種類のインフラストラクチャについては、ウイルス対策その他の専用テクノロジを実装することを要求しています。一方、クラウドやサーバーレス環境 (SaaSなど) にこれらの制御は単純には当てはまりません。同様に、保管中のデータの暗号化では、インフラストラクチャを所有していない場合、どのように制御を適用すればよいのでしょうか。結局、クラウドのコンプライアンスについての考えかたを改める必要があります。

クラウドのコンプライアンスを達成するために覚えておくべき3つのこと

1.ひとつに統合化されたセキュリティが必須である

最近同僚が「デジタルの世界では、ファイアウォールにはまだ役割があるの?」と聞いてきて、ふむ、と考えさせられました。短く答えれば答えは「ある」です。ファイアウォールは、デジタル テクノロジ (クラウドなど) を採用し、拡大する(イネーブラとしての)重要な役割をになっており、ビジネスを拡大するためのセキュリティ戦略の基盤だからです。たとえば、従来のインフラストラクチャでファイアウォールを使用してHIPAAコンプライアンスを実証している場合、その同じファイアウォールを使用して、クラウドで同じポリシーを利用し、同じ用語を使って重要なステークホルダーに説明することができるのです。

ファイアウォールは、クラウド以外の世界ではお馴染みのテクノロジです。そこで私個人は、ファイアウォールを「従来のオンプレミスの世界とクラウドの世界をつなぐもの」と考えるのが好きです。ファイアウォールを使用すると、従来のインフラストラクチャの観点で得た知見を利用して、インフラストラクチャ全体のデータに対して、統一されたポリシーを使用し、統一されたセキュリティとコンプライアンスを実現できます。仮想化ファイアウォールは、素晴らしい選択肢と出発点を組織に提供します。

2.見えないものは保護できない。だから包括的な可視化を実現する

クラウドは非常に動的で分散しています。コンプライアンスをつねに維持するには可視化がきわめて重要です。とくに、インフラストラクチャやテクノロジを制御できない環境ではそうです。適切なAPIベースのセキュリティ ツールがあれば、可視化を実現して、複数のクラウド環境にある、APIに接続されたクラウド リソースをすべてリアルタイムで監視できます。結果として、次回の監査が巡ってくるまでに死角はなくなり、信頼性の高いデータやレポートをすばやく生成できるようになります。

3.クラウドを採用しないことが正しいと思えるかもしれないが、影響は残る (ヒント: シャドーIT)

たしかにクラウドには多くの未知数があります。ですが、これまで強調した利点やROIの他にも、医療組織がクラウドを採用しないことで直面しうる途方もなく大きな影響があるのです。クラウドは、ビジネスをつなぐものであり、協業を実現してくれるものです。とりわけ SaaS アプリケーションはその役割が大きい。医師は、モバイルやクラウドのアプリケーションを使いたがります。使えば生活が楽になるからです。そのため組織がクラウドを採用しないことに決めても、ユーザーや従業員はこれらのサービスを使い続ける可能性があります。このことによって、大きなシャドーIT問題、つまり、ソーシャル メディア アプリや個人の携帯電話など、許可されていないアプリケーションを医師が使用して個人データや個人健康情報 (PHI) を交換するという問題が起こります。こうした不正なシャドーITを使用した結果、コンプライアンス上の問題や違反が発生する可能性が生じることは明らかです。デジタルトランスフォーメーション(DX)は私たちの肩にかかっていて、クラウドのコンプライアンスを維持するのにほかの選択肢はない、というのが実情なのです。

クラウド採用を見送るのではなく、リスクを生み出す事柄に対処しましょう。適切なCASBツールを実装すれば、適正なバランスで可視化、制御、予防を実現し、コンプライアンスを維持しながら、ビジネスを有効に進めることができます。そうしないと、ポリシーと教育に頼らざるを得なくなります。そして人はたとえ悪意がなくても間違いを犯すものです。デジタル戦争の時代を勝ち抜く唯一の方法は、攻撃者が使うのと同じ自動化技術を使用して、攻撃からの防御にあたることなのです。クラウドとソフトウェアと自動化には、クラウドとソフトウェアと自動化で対抗する必要があるのです。