• Save
CSA Japan Chapter Global Activities on Dec.3, 2013
Upcoming SlideShare
Loading in...5
×
 

CSA Japan Chapter Global Activities on Dec.3, 2013

on

  • 1,486 views

 

Statistics

Views

Total Views
1,486
Views on SlideShare
1,486
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

CSA Japan Chapter Global Activities on Dec.3, 2013 CSA Japan Chapter Global Activities on Dec.3, 2013 Presentation Transcript

  • CSAのグローバル活動 ~ヘルスケア、モバイル、ビッグデータ~ 2013年12月3日 一般社団法人日本クラウドセキュリティアライアンス 1 1
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • CSA Health Information Management Working Group (https://cloudsecurityalliance.org/research/him/) • 代表幹事: Vincent Campitelli, McKesson Corp. Chris Ledoux, athenahealth, Inc. • 活動領域: • Provide direct influence on how health information service providers deliver secure cloud solutions (services, transport, applications and storage) to their clients, and foster cloud awareness within all aspects of healthcare and related industries. • The efforts are jointly executed by CSA Global, health information cloud communities (i.e. focus groups, associations, vendors, providers, research institutes, forums, and academia), Solution Providers and relevant working group responsible for authoring CSA’s Guidance V.3. 2
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • CSA Cloud Controls Matrixの健康医療分野への適用(1) • 米国:健康医療固有の法規制+パブリックセクターの セキュリティ要件+サイバーセキュリティ要件 CSA Cloud Controls Matrix (CCM) (https://cloudsecurityalliance.org/research/ccm/) 健康医療分野のクラウドセキュリティの 健康医療分野のクラウドセキュリティの視点 監査への対応:リスク 例.-HIPAA/HITECH監査への対応 リスク評価 / 監査への対応 リスク評価 (http://www.hhs.gov/ocr/privacy/) ) パブリックセクターのクラウドセキュリティの パブリックセクターのクラウドセキュリティの視点 例.Federal Risk and Authorization Management Program (FedRAMP) (http://www.fedramp.gov/) ) ホームランドセキュリティ/重要情報インフラの ホームランドセキュリティ/重要情報インフラの視点 インフラ 例.Federal Information Security Management Act(FISMA) ( ) (http://csrc.nist.gov/groups/SMA/fisma/index.html) ) 3
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • CSA Cloud Controls Matrixの健康医療分野への適用(2) • 米国:CCMを介した健康医療関連法規制の省庁間マッピング 米国: 健康医療関連法規制の を した健康医療関連法規制 省庁間マッピング Control Area (CSA) Applicatio n& Interface Security Applicatio n Security Contr ol ID (CSA) AIS-01 Control Specification (CSA) Applications and interfaces (APIs) shall be designed, developed, and deployed in accordance with industry acceptable standards (e.g., OWASP for web applications) and adhere to applicable legal, statutory, or regulatory compliance obligations. Scope Applicability HIPAA / HITECH NIST Act SP800-53 R3(最新版 ( はR4) ) FedRAMP Security Controls 45 CFR 164.312(e)(2)(i): Implement security measures to ensure that electronically transmitted electronic protected health information is not improperly modified without 保健社会 detection until disposed of. 福祉省 NIST SP 800-53 R3 SC-5 NIST SP 800-53 R3 SC-6 NIST SP 800-53 R3 SC-7 NIST SP 800-53 R3 SC-12 NIST SP 800-53 R3 SC-13 一般 NIST SP 800-53 調達局 4 R3 SC-14 ) (GSA) https://cloudsecurityalliance.org/research/ccm/ (HHS) ) SC-2 SC-3 SC-4 SC-5 SC-6 SC-7 SC-8 SC-9 SC-10 国立標準 ・・・ 技術研究所 (NIST) ) --LOW IMPACT LEVEL—
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • CSA Cloud Controls Matrixの健康医療分野への適用(3) • 米国:医療ソフトウェアとセキュリティの関係例 FDA規制対象の医療ソフトウェア 規制対象の医療ソフトウェア 規制対象 FDA規制対象外の医療ソフトウェア 規制対象外の医療ソフトウェア 規制対象外 HIPAA/HITECH規制への対応: 事業提携者(BA)に該当する場合 / 規制への対応: する場合 規制への対応 事業提携者( ) 該当する 健康医療分野のクラウドセキュリティの 健康医療分野のクラウドセキュリティの視点 監査への対応:リスク 例.-HIPAA/HITECH監査への対応 リスク評価 / 監査への対応 リスク評価 (http://www.hhs.gov/ocr/privacy/) ) パブリックセクターのクラウドセキュリティの パブリックセクターのクラウドセキュリティの視点 例.Federal Risk and Authorization Management Program (FedRAMP) (http://www.fedramp.gov/) ) ホームランドセキュリティ/重要情報インフラの ホームランドセキュリティ/重要情報インフラの視点 インフラ 例.Federal Information Security Management Act(FISMA) ( ) (http://csrc.nist.gov/groups/SMA/fisma/index.html) ) 5
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • CSA Cloud Controls Matrixの健康医療分野への適用(4) • 米国とEUのハーモナイゼーションに向けた取組 CSA Cloud Controls Matrix (CCM) 例.CSAグローバル各WG/イニシアティブ/支部間の交流活動 グローバル各 グローバル /イニシアティブ/支部間の 健康医療分野のクラウドセキュリティの 健康医療分野のクラウドセキュリティの視点 例.eヘルス/ヘルスITの標準化に関して、米国保健社会福祉省(HHS)と 欧州委員会通信ネットワーク・コンテンツ・技術総局(DG CONNECT)が提携 パブリックセクターのクラウドセキュリティの パブリックセクターのクラウドセキュリティの視点 例.政府機関向けクラウドセキュリティ基準策定における 米国NISTと欧州ENISAの交流/連携 ホームランドセキュリティ/重要情報インフラの ホームランドセキュリティ/重要情報インフラの視点 インフラ 例.重要情報インフラ保護(CIIP)のサイバーセキュリティフレーム ワーク策定における米国NISTと欧州ENISAの交流/連携 6
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • クラウドのサイバーセキュリティと健康医療 • 米国FDAの医療機器/医療ソフトウェア関連規制例 • • 「Guidance to Industry: Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」 (2005年1月14日) (市販ソフトウェアを含むネットワークに接続された医療機器のサイバー セキュリティに関するガイドライン) 「Content of Premarket Submissions for Management of Cybersecurity in Medical Devices: Draft Guidance for Industry and Food and Drug Administration Staff」(2013年6月14日) (医療機器のサイバーセキュリティ管理のための市販前申請内容に関 するガイドライン草案) • 欧州ENISAの重要情報インフラ保護(CIIP: Critical Information Infrastructure Protection)対策:医療も対象 • 「Critical Cloud Computing: A CIIP perspective on cloud computing services」(2012年12月) (EUサイバーセキュリティ戦略に基づく重要情報インフラ保護のための クラウドガバナンスの方向性を示す) 7
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • モバイルのクラウドセキュリティと健康医療(1) • 米国:NIST 「SP800-124 R1: Guidelines for Managing the Security of Mobile Devices in the Enterprise」(2013年6月) 企業向けモバイル機器のセキュリティ管理指針 モバイル端末のうちスマートフォン/タブレットが適用対象で、ラップトップPC やフューチャーフォンは対象外 法人支給および個人所有(BYOD)のモバイル端末のセキュリティ管理が適 用対象 • 米国:FDA「Mobile Medical Applications: Guidance for Industry and Food and Drug Administration Staff」(2013年9月) モバイル医療アプリケーションの品質に関する要求事項ガイドライン モバイルアプリケーション:スマートフォンおよびその他のモバイル通信端末 で稼動するソフトウェアプログラム モバイル医療アプリケーション:医療機器の定義を満たすモバイルアプリケー ションで、規制対象の医療機器の付属品、若しくはモバイルプラットフォーム を規制対象の医療機器に変換するもの FDAが規制対象/対象外とするモバイル医療アプリケーションを例示 8
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • モバイルのクラウドセキュリティと健康医療(2) • CSAにおけるHealth Information Management WGとMobile WGと の連携 • 「Cloud Controls Matrix v3.0」で新設されたモバイルセキュリティ 項目の健康医療分野への適用 • 「Security Guidance for Critical Areas of Mobile Computing v1.0」(2012年11月)の健康医療分野への適用 • 認証、BYOD(Bring Your Own Device)、モバイルデバイス 管理(MDM)、App Storeセキュリティ(開発者含む) など 9
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • ビッグデータのクラウドセキュリティと健康医療 • 米国NISTがBig Data Working Groupを設置 • • • • • • • Big Data Definitions Big Data Taxonomies Big Data Requirements Big Data Security and Privacy Requirements Big Data Security and Privacy Reference Architectures Big Data Reference Architectures Big Data Technology Roadmap • CSAにおけるHealth Information Management WGとBig Data WGと の連携 • 「Expanded Top Ten Big Data Security and Privacy Challenges」(2013 年6月)などの健康医療分野への適用 • インフラストラクチャセキュリティ、データプライバシー、データ管理、 完全性/反応的なセキュリティ など 10
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • CSA Health Information Management Working Groupの 今後の主要活動テーマ • Cloud Controls Matrix v1.xからv3.0への移行に伴うマッピングの アップデートと新たに追加された領域への対応 • • • モバイルセキュリティ (スマートフォン/タブレットなど) クラウドプロバイダーのサプライチェーン管理とガバナンス (変更管理、透明性/説明責任の担保など) 相互接続性/ポータビリティ など • HIM Surveyの準備、実施(CSA主催/共催イベントで公表予定) • 米国でスタートし、将来的にグローバルへ拡大 • 遠隔医療 • モバイルデバイスとしての医療機器管理 • HIPAA/HITECH総括規則への対応 など • 随時ボランティアを募集 (https://cloudsecurityalliance.org/research/him/) 11
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • CSA Cloud Controls Matrixの日本の健康医療分野への 適用上の課題点 Control Area (CSA) Contr ol ID (CSA) Control Specification (CSA) Applicatio n& Interface Security Applicatio n Security AIS-01 Applications and interfaces (APIs) shall be designed, developed, and deployed in accordance with industry acceptable standards (e.g., OWASP for web applications) and adhere to applicable legal, statutory, or regulatory compliance obligations. Scope Applicability 厚生労働省: 厚生労働省: 医療情報システ 医療情報システ 安全管理に ムの安全管理に するガイドライ 関するガイドライ ン 第4.2版 版 (2013年10月) 年 月 経済産業省: 経済産業省: 医療情報を 医療情報を受託 管理する する情報処 管理する情報処 理事業者向け 理事業者向けガ イドライン 第2版 版 (2012年10月) 年 月 総務省: 総務省: ASP・SaaS事業者 ・ 事業者 医療情報を が医療情報を取 り扱う際の安全管 するガイド 理に関するガイド ライン第 版 ライン第1.1版 (2010年12月) 年 月 基本的に省庁タテ りで、 タテ割 ・基本的に省庁タテ割りで、 基本的に省庁タテ りで、 タテ割 ・基本的に省庁タテ割りで、 改訂のタイミングも バラバラ 改訂のタイミングもバラバラ 改訂のタイミングも 改訂のタイミングも 重要情報インフラ インフラとしての ・・重要情報インフラとしての 重要情報インフラとしての 重要情報インフラ インフラとしての サイバーセキュリティの 全 サイバーセキュリティの全 サイバーセキュリティの サイバーセキュリティの 体最適化は 誰が担う? 体最適化は誰が担う? 体最適化は 体最適化は 12
  • CSAのグローバル活動: 健康医療情報管理ワーキンググループの例 • 日本のモバイルのクラウドセキュリティと健康医療 • 日本:厚生労働省「医療情報システムの安全管理に関するガイドライン 医療情報システム 安全管理に するガイドライン システムの 第4.2版」(2013年10月) モバイル端末の普及に鑑み、機器の取扱いについて明確化するとともに、 災害等の非常時の対応について、大規模災害時を想定した考え方につい て追記するため6章の一部を改定。 6.9 情報及び情報機器の持ち出しについて 想定する対象機器:ノートパソコン、スマートフォン/タブレット、情報記 録可搬媒体(例.CD-R、USBメモリ)、シンクライアント 6.11 外部と個人情報を含む医療情報を交換する場合の安全管理 B-2. 選択すべきネットワークのセキュリティの考え方 モバイル端末等を使って医療機関等の外部から接続する場合 *携帯電話/PHS、可搬型コンピュータ等を想定 B-3. 従業者による外部からのアクセスに関する考え方 *持ち出した管理端末および非管理端末(例.私物PC)を想定 B-4. 患者等に診療情報等を提供する場合のネットワークに関する 考え方 *オープンなネットワークを想定 13
  • 健康医療情報管理ワーキンググループのご紹介 • 日本クラウドセキュリティアライアンス 健康医療情報管理ワーキンググループ(1) • 代表幹事: 笹原英司( CSA本部 Health Information Management WG メンバー、特定非営利活動法人ヘルスケアクラウド研究会・理事) • 活動領域(Google Groupsなどのツールを利用): • • • • ライフサイエンス/医薬品/医療機器産業、医療機関/介護施設/健康増進 サービス事業者、患者/消費者を含む健康医療情報バリューチェーン全体にお けるSecurity Guidance for Critical Areas of Focus in Cloud Computingおよび Cloud Security Alliance Cloud Controls Matrix (CCM)の有効活用の推進活動 CSAのワーキンググループが主導するCSAガイダンス、CCMおよびその他発行 文書類に関する、業界の視点に立ったピアレビューの実施およびフィードバック の提供 健康医療情報に関わる国内外の主要なステークホルダーコミュニティ(例.フォー カスグループ、業界団体、研究機関、フォーラム、学術団体など)との積極的な 協業活動 参加資格:日本クラウドセキュリティアライアンスのインディビジュアル/コー ポレート/アフィリエートメンバーからのボランティア (まずはLinkedInグループに御登録下さい) 14
  • 健康医療情報管理ワーキンググループのご紹介 • 日本クラウドセキュリティアライアンス 健康医療情報管理ワーキンググループ(2) • 過去の主な活動実績 • • • • • 2013年11月15日:第3回ヘルスケアcafeオープンブレスト             「これからどうする、日本の医療情報システムを」(パネリスト) これからどうする、日本の医療情報システム システムを             主催:UDXオープンカレッジ  ICIC(株式会社新産業文化創出研究所)              共催:HTOP(一般社団法人ヘルスケア技術オープン・プラットホーム) 2013年10月18日:第2回ヘルスケアcafeオープンブレスト 「クラウド・セキュリティの現状と今後」(講演) クラウド・セキュリティの現状と             主催:UDXオープンカレッジ  ICIC(株式会社新産業文化創出研究所)   共催:HTOP(一般社団法人ヘルスケア技術オープン・プラットホーム) 2013年9月4日: U.S.-Japan Health IT Expert Meeting (パネリスト) 主催:ACCJ(在日米国商工会議所) 2013年6月12日: Health Policy for Healthy Economic Growth in Japan: 2013 ACCJ-EBC Health Policy White Paper Panel Discussion (パネリスト) 主催:ACCJ(在日米国商工会議所)、EBC(欧州ビジネス協会) 2010年5月28日: Healthy Healthcare - Lecture Series #12: “Digital Consumers Meet Analog Hospitals - Challenges of Cloud Security in Japan“(講演) 主催:テンプル大学日本校現代アジア研究所 15
  • モバイルワーキンググループのご紹介 • CSA Mobile Working Group (https://cloudsecurityalliance.org/research/mobile/)(1) • 代表幹事: David Lingenfelter, Fiberlink Cesare Garlati, Trend Micro • 活動領域: • • • • • • • • Securing application stores and other public entities deploying software to mobile devices Analysis of mobile security capabilities and features of key mobile operating systems Cloud-based management, provisioning, policy, and data management of mobile devices to achieve security objectives Guidelines for the mobile device security framework and mobile cloud architectures Scalable authentication from mobile devices to multiple, heterogeneous cloud providers Best practices for secure mobile application development and securely enabling existing applications on mobile platforms Identification of primary risks related to individually owned devices accessing organizational systems (commonly known as BYOD – Bring Your Own Device) Solutions for resolving multiple usage roles related to BYOD, e.g. personal and business use of a common device 16
  • モバイルワーキンググループのご紹介 • CSA Mobile Working Group (https://cloudsecurityalliance.org/research/mobile/)(2) • 過去の主な活動実績 • • • • 2012年9月:モバイルデバイスのライフサイクルセキュリティ管理における重要な構成 年 月 要素17項目をまとめた「Mobile Device Management: Key Components, V1.0」を公表 2012年10月:企業環境におけるモバイルデバイスセキュリティの脅威に関するアンケー 年 月 ト結果をまとめた報告書「Top Mobile Threats」を公表 2012年11月:モバイルの定義、モバイルコンピューティングの現状に加えて、、Bring 年 月 Your Own Device (BYOD)、認証、App Stores、モバイルデバイス管理(MDM)など、 モバイル利用上の留意点を整理した「Security Guidance for Critical Areas of Mobile Computing V1.0」を公表 2013年12月:推奨される認証プロセスを決定する際の主な要素、信頼境界の定義方 年 月 法、企業/BYOD環境におけるモバイル認証の使い勝手を改善するガイドライン、認 証の脅威/リスクを定義して適正なリスク評価を行うための方法などを整理した 「Mobile Authentication」を公表予定 17
  • モバイルワーキンググループのご紹介 • 日本クラウドセキュリティアライアンスモバイルワーキンググループ • 代表幹事: 里中 慧(特定非営利活動法人ヘルスケアクラウド研究会・理事) • アドバイザー: 笹原英司( CSA本部 Mobile WGメンバー)   • 活動領域(Google Groupsなどのツールを利用): • • • • • • • • パブリック/プライベートのアプリケーションストアおよびモバイルデバイス向けにソフトウェ アを提供するその他の公的主体のセキュリティ保持 主要なモバイルOSのモバイルセキュリティ対策機能に関する分析 セキュリティ目標を達成するために必要なクラウドベースのモバイルデバイス管理、設定、 ポリシー、モバイルデバイスに係るデータ管理 モバイルデバイスセキュリティのフレームワーク、モバイルクラウドアーキテクチャに関する ガイドライン モバイルデバイスから複数の異なるクラウドプロバイダー/企業への拡張性のある認証. セキュアなモバイルアプリケーションの開発手法や、既存アプリケーションをモバイルプラッ トフォーム上でセキュアに実行するためのベストプラクティス 個人所有デバイスの企業システムへのアクセス(いわゆるBYOD:Bring Your Own Device) に関連する基本的なリスクの特定 BYODに関わる複数の用途/役割を解決するためのソリューション(例.同一デバイスの個 人/業務利用) 18
  • ビッグデータワーキンググループのご紹介 • CSA Big Data Working Group (https://cloudsecurityalliance.org/research/big-data/)(1) • Chair:    Sreeranga Rajan, Fujitsu • Co-Chairs: Neel Sundaresan, eBay         Wilco van Ginkel, Verizon • 活動領域: • Lead to crystallization of best practices for security and privacy in big data. • Help industry and government on adoption of best practices. • Establish liaisons with other organizations in order to coordinate the development of big data security and privacy standards. • Accelerate the adoption of novel research aimed to address security and privacy issues. • Put together research proposals for joint funding by government and industry initiatives. 19
  • ビッグデータワーキンググループのご紹介 • CSA Big Data Working Group (https://cloudsecurityalliance.org/research/big-data/)(2) • 過去の主な活動実績: • • • • 2012年11月:ビッグデータのセキュリティ/プライバシーにおける技術的/組織 年 月 的問題10項目をまとめた「Top 10 Big Data Security and Privacy Challenges」を 公表 2013年6月:サイバー攻撃、データ漏えいのシナリオなどを包含する脅威モデル 年 月 を形式化する「モデリング」、脅威モデルに基づいて扱いやすいソリューションを 見つける「分析」、既存のインフラにソリューションを埋め込む「導入」の視点から 拡張/整理した 「Expanded Top Ten Big Data Security & Privacy Challenges」 を公表 2013年9月:大量の構造化/非構造化データを活用した新しいツール/機会の 年 月 導入/利用拡大によって変化するセキュリティ分析の動向を整理した「Big Data Analytics For Security Intelligence」を公表 2013年12月:図表、動画など、多岐にわたるビッグデータを、前述の十大脅威の 年 月 視点毎にマッピングすることを目的として「Big Data Security Taxonomy and Framework」を公表する予定 20
  • ビッグデータワーキンググループのご紹介 • 日本クラウドセキュリティアライアンス ビッグデータワーキンググループ • 代表幹事: 笹原英司( CSA本部 Big Data WGメンバー、              特定非営利活動法人ヘルスケアクラウド研究会・理事) • 活動領域(Google Groupsなどのツールを利用): • LOB(Line-of-Business)部門のクラウドユーザーの視点に立った ビッグデータセキュリティの啓発推進活動 • • • • • • • • ビッグデータのフレームワークと定義 セキュリティインテリジェンスのためのビッグデータ分析 ビッグデータのプライバシー保護/強化技術 ビッグデータスケールの暗号化技術 ビッグデータインフラの攻撃面分析と対応 ビッグデータのポリシーとガバナンス ビッグデータの法務対策 参加資格:日本クラウドセキュリティアライアンスのインディビジュアル/コー ポレート/アフィリエートメンバーからのボランティア (まずはLinkedInグループに御登録下さい) 21