This post is also available in: English (英語)
医療/ヘルスケア業界のクラウド導入は他の多くの垂直市場セグメントを上回るペースで進んでいますが、そこには正当な理由があります。ITの複雑さを軽減し、コストを削減し、規制当局による監視強化に先んじることができるからです。
Global Healthcare Cloud Computing Market 2017-2021 (グローバル ヘルスケア クラウド コンピューティング市場 2017-2021) レポートによれば、グローバルなヘルスケア クラウド コンピューティング市場は、現在から 2021 年の間に 21% を超える年平均成長率で成長すると予想されています。
ただし、ヘルスケアはもちろん、その他の業界についても言えることですが、そうした業界の中小企業の多くが、「必要なスキルを備えた人材の発掘」そして「オンプレミスのセキュリティ対策を使ってクラウド システムのセキュリティを管理し、対策できるようなセキュリティツールの探索」という両面で苦労しています。
これにくわえて、クラウド システムのセキュリティを一元管理する専任者がおらず、CIO や運用チーム、開発チーム、遠隔オフィスにいるチームが管理しているという状況があると、組織のクラウド セキュリティ対策にはさらに大きな課題が生じます。
こうしたニーズに押されるかたちで、パブリック クラウド コンピューティング プロバイダ側も、IT インフラストラクチャのセキュリティを向上させつつ、これらの課題に応えるソリューションを提供しはじめています。要するに、セキュリティ改善が組織の実行力に比例することを考えれば、セキュリティに割けるリソースが限られていたり、専任のセキュリティ専門家人材を持てない組織にとっては、オンプレミスでシステムを管理するより、クラウドに移行したほうが、よりセキュリティを改善できる可能性が高くなる、ということです。
状況を把握しよう
HIPAA Journalによれば、「2009 年から 2018 年の間に、500 件以上の医療データ レコードが侵害された事例は 2,546 件にのぼり、これらの侵害事例によって 1億8994万5,874 件の医療記録が窃取されたがこれは米国の人口の 59% 以上に相当し、医療データ漏えい/侵害インシデントは、現在 1 日あたり数回という割合で報告されている」とのことです。
こうした事例には相応に重い過料が課されることは言うまでもありません。2018 年は HIPAA (医療保険の携行性と責任に関する法律) の過料と和解が記録的に多く、2016 年に記録された 2350万5,300 ドルという過去最高記録を 22% 上回りました。 OCR (公民権局) は、2018 年に HIPAA の対象となった事業体および HIPAA 規則に違反した企業関係者から総額 2868万3,400 ドル の過料を徴収しました。
クラウドセキュリティは責任共有モデル 言い訳はできない
人材とリソースが厳しい状況では、確かにデータ侵害やシステム可用性の低下といった問題は増えやすいものです。ですがそれは言い訳にはなりません。とくに医療サービス提供組織では、そうした言い訳はしていられないでしょう。保健社会福祉省公民権局からのガイダンスでも明言されているとおり、「ヘルスケア サービス提供組織ならびに同組織と協業する事業体は、自身のクラウド環境にくわえ、クラウド サービス プロバイダが安全であること、セキュリティ上の要求事項ならびにプライバシー要求事項に準拠していることを確認する責任がある」からです。
ヘルスケア サービス提供組織がクラウド環境の保護と管理に成功するための方法はひとつではありませんが、絶対にうまくいかない戦術というものは存在します。そして、あまりに多くの組織が、あまりにも長い間、このうまくいかない戦術を中心として対策をしてしまっています。たとえば、セキュリティ ポリシーやレビューに一貫性がなかったり、チェックリストでシステムを保護しようとしていたり、セキュリティへの取り組みをコンプライアンスを中心に構築してしまい、本来あるべきリスク緩和の視点が欠けていたり、といった状況です。
好材料は対策が可能であること
ただし、そこには好材料もあります。それは、クラウドを使用すれば、「自動化」と「継続監視」の 2 つの手法を通じてセキュリティ対策を簡素化できるということです。この 2 つの手法は、今後新規に導入するシステムや、規制やセキュリティポリシーの遵守から外れると脆弱になってしまうシステムの両方について有効です。
クラウド システムは常に変化し続けているため、そこには設定ミスや脆弱性の入り込む隙が常につきまといます。ですが、継続監視を行うことで、そうしたアノマリ(異常)を識別し、自動的なレスポンスや修復を行いやすくなるのです。これに加えて、自動化はリソースの制約が厳しい企業にとってとくに有益です。
継続監視や自動化についての詳細は、PDF 形式の小冊子『Continuous Monitoring and Compliance in the Cloud (クラウドの継続監視とコンプライアンス)』もぜひご確認ください (こちらは英語資料のみとなります)。また、SANS, Delivering Infrastructure, Security & Operations as Code で弊社が最近提供した自動化に関するウェビナーもご覧になることをお勧めします。
自動化や継続監視などのセキュリティ対策機能を直接体験してみたい方には、RedLock クラウドセキュリティサービス/コンプライアンスサービス、VM-Series 仮想化次世代ファイアウォールなどのパブリック クラウド セキュリティ製品の試用もあわせてお勧めします。