• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

医療業界の苦境: クラウドのコンプライアンスに関して覚えておくべき3つのこと

Paul Calatayud 3 28, 2019 at 11:00 午前

本ブログは米国で2019年02月11日に公開されたUnit 42ブログ「Healthcare Hot Seat:3 Things to Remember About Cloud Compliance - Palo Alto Networks Blog」の日本語翻訳です。

 

世界の医療クラウド コンピューティング市場は、2022年までに350億ドルに成長すると予想されています。しかしどこでもクラウド採用が一様に進んでいるわけではありません。大量の生産ワークロードをクラウドで実行し、コンテナやサーバーレスのような新たに出現したクラウド テクノロジすら利用して全力で取り組んでいる医療組織もあれば、まだその前の段階にある医療組織、つまり、より効率的なビジネス協業を求めてクラウドが提供するインフラストラクチャを利用するか、SaaS を活用するにとどまっている医療組織もあります。HIMSS Analyticsが公開したデータによれば、医療クラウドを使用する大部分の目的は、臨床アプリケーションとデータのホスティング、データのバックアップと復元、運用アプリケーションのホスティングを支援することだそうです。

 

ただ、皆さんの医療ビジネスがクラウド成熟度スペクトラムのどこに位置しているかに関わらず、クラウド コンピューティングを着実に導入することで、消費者とのやり取りや情報交換の活発化、分析の向上、高度なデータ区分といった利益が得られます。しかし、どうすればデータの安全性を確保できるのでしょうか。

最終的にクラウドでは、セキュリティとコンプライアンスの責任が大きく変化し、アクセス・交換される大量の機密データが基本的にユーザーの制御外に置かれます。

コンプライアンスに集中しましょう。

 

データが格納されているインフラストラクチャやテクノロジを自身では制御できない場合、どうすればコンプライアンス規制や命令を
満たせるのでしょうか。

 

その答えは2つあります。1つ目は、セキュリティの責任共有モデルを厳格に理解し、「皆さんの組織が責任を持つこと」と「クラウド サービス プロバイダが皆さんの代わりに責任を持つこと」を明確にすることです。2つ目は、クラウドのデプロイ時に包括的な可視化を達成することです。HIPAA (Health Insurance Portability and Accountability Act: 医療保険の携行と責任に関する法律)、HIPAA High-Techなどのプライバシー規制は、可視化を通じてのみ維持できます。これら2点を備えれば、コンプライアンスを遵守し、規制に準拠していることを示せます。

 

ただし、クラウドのコンプライアンスが少々厄介であるという事実は残ります。コンプライアンスの要件は、パブリック クラウド インフラストラクチャをサポートすることを想定して作られていません。そのため、制御の一部を解釈し、その制御をセキュリティおよびコンプライアンスのツールに正しくマッピングするにはコツがいります。たとえば、PCI DSS(Payment Card Industry Data Security Standard ペイメントカード業界データセキュリティ基準)は、特定の種類のインフラストラクチャについては、ウイルス対策その他の専用テクノロジを実装することを要求しています。一方、クラウドやサーバーレス環境 (SaaSなど) にこれらの制御は単純には当てはまりません。同様に、保管中のデータの暗号化では、インフラストラクチャを所有していない場合、どのように制御を適用すればよいのでしょうか。結局、クラウドのコンプライアンスについての考えかたを改める必要があります。

 

クラウドのコンプライアンスを達成するために覚えておくべき3つのこと

 

1.ひとつに統合化されたセキュリティが必須である

最近同僚が「デジタルの世界では、ファイアウォールにはまだ役割があるの?」と聞いてきて、ふむ、と考えさせられました。短く答えれば答えは「ある」です。ファイアウォールは、デジタル テクノロジ (クラウドなど) を採用し、拡大する(イネーブラとしての)重要な役割をになっており、ビジネスを拡大するためのセキュリティ戦略の基盤だからです。たとえば、従来のインフラストラクチャでファイアウォールを使用してHIPAAコンプライアンスを実証している場合、その同じファイアウォールを使用して、クラウドで同じポリシーを利用し、同じ用語を使って重要なステークホルダーに説明することができるのです。

 

ファイアウォールは、クラウド以外の世界ではお馴染みのテクノロジです。そこで私個人は、ファイアウォールを「従来のオンプレミスの世界とクラウドの世界をつなぐもの」と考えるのが好きです。ファイアウォールを使用すると、従来のインフラストラクチャの観点で得た知見を利用して、インフラストラクチャ全体のデータに対して、統一されたポリシーを使用し、統一されたセキュリティとコンプライアンスを実現できます。仮想化ファイアウォールは、素晴らしい選択肢と出発点を組織に提供します。

 

2.見えないものは保護できない。だから包括的な可視化を実現する

クラウドは非常に動的で分散しています。コンプライアンスをつねに維持するには可視化がきわめて重要です。とくに、インフラストラクチャやテクノロジを制御できない環境ではそうです。適切なAPIベースのセキュリティ ツールがあれば、可視化を実現して、複数のクラウド環境にある、APIに接続されたクラウド リソースをすべてリアルタイムで監視できます。結果として、次回の監査が巡ってくるまでに死角はなくなり、信頼性の高いデータやレポートをすばやく生成できるようになります。

 

3.クラウドを採用しないことが正しいと思えるかもしれないが、影響は残る (ヒント: シャドーIT)

たしかにクラウドには多くの未知数があります。ですが、これまで強調した利点やROIの他にも、医療組織がクラウドを採用しないことで直面しうる途方もなく大きな影響があるのです。クラウドは、ビジネスをつなぐものであり、協業を実現してくれるものです。とりわけ SaaS アプリケーションはその役割が大きい。医師は、モバイルやクラウドのアプリケーションを使いたがります。使えば生活が楽になるからです。そのため組織がクラウドを採用しないことに決めても、ユーザーや従業員はこれらのサービスを使い続ける可能性があります。このことによって、大きなシャドーIT問題、つまり、ソーシャル メディア アプリや個人の携帯電話など、許可されていないアプリケーションを医師が使用して個人データや個人健康情報 (PHI) を交換するという問題が起こります。こうした不正なシャドーITを使用した結果、コンプライアンス上の問題や違反が発生する可能性が生じることは明らかです。デジタルトランスフォーメーション(DX)は私たちの肩にかかっていて、クラウドのコンプライアンスを維持するのにほかの選択肢はない、というのが実情なのです。

 

クラウド採用を見送るのではなく、リスクを生み出す事柄に対処しましょう。適切なCASBツールを実装すれば、適正なバランスで可視化、制御、予防を実現し、コンプライアンスを維持しながら、ビジネスを有効に進めることができます。そうしないと、ポリシーと教育に頼らざるを得なくなります。そして人はたとえ悪意がなくても間違いを犯すものです。デジタル戦争の時代を勝ち抜く唯一の方法は、攻撃者が使うのと同じ自動化技術を使用して、攻撃からの防御にあたることなのです。クラウドとソフトウェアと自動化には、クラウドとソフトウェアと自動化で対抗する必要があるのです。

 

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
May 3, 2023

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved