1. はじめに: バイオ領域のセキュリティ脆弱性・インシデント事例 2. 大統領令を起点とする米国防総省の バイオ技術／製造戦略 3. バイオ技術／製造を支える米国防総省のサイバーセキュリティ基準 4. バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準 5. バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管理 6. Q&A／ディスカッション

1. ゲノムデータのサイバーセキュリティ
と
アクセス制御
(2023年7月25日)
Cloud Security Alliance
Health Information Management WG

2. AGENDA
1. はじめに: バイオ領域のセキュリティ脆弱性・インシデント
事例
2. 大統領令を起点とする米国防総省の
バイオ技術／製造戦略
3. バイオ技術／製造を支える米国防総省の
サイバーセキュリティ基準
4. バイオ技術／製造を支える米国防総省の
クラウドセキュリティ基準
5. バイオ技術／製造を支える米国防総省の
アイデンティティ／アクセス管理
6. Q&A／ディスカッション

3. 3
1.はじめに: バイオ領域のセキュリティ脆弱性・インシデント事例(1)
米国立標準技術研究所(NIST)国家サイバーセキュリティ・センター・オ
ブ・エクセレンス(NCCoE) 「現代のコンテキストにおけるデジタルバイ
オセキュリティ」
(2022年1月26日)
(https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-virtual-workshop-cybersecurity-genomic-data/post-workshop-materials)
• COVID-19緊急対応下の
バイオインフラストラクチャの
パブリックドメインへの攻撃
出典：NIST NCCoE「NCCoE Virtual Workshop on the Cybersecurity of Genomic Data」(2022年1月26日)
(https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-virtual-workshop-cybersecurity-genomic-data/post-workshop-materials)

4. 4
1.はじめに: バイオ領域のセキュリティ脆弱性・インシデント事例(2)
国土安全保障省(DHS)サイバーセキュリティ・インフラストラクチャセ
キュリティ庁(CISA) 「ICS アドバイザリ(ICSA-22-153-02): イルミナ
Local Run Manager(LRM)」(2022年6月2日)
(https://www.cisa.gov/uscert/ics/advisories/icsa-22-153-02)
• 英国のセキュリティ企業の研究者が米国イルミナ製遺伝情報解析用次世代シーケン
サーに使用されたLocal Run Manager(LRM)ソフトウェア(バージョン 1.3～3.1)の
脆弱性を確認
• 体外診断用医療機器製品（NextSeq 550Dx、MiSeq Dx）
• 研究使用限定製品（NextSeq 500、NextSeq 550、
MiSeq、iSeq 100、MiniSeq）
• 英国企業からの報告を受けたイルミナがCISAに報告
• CISAと同時に、米国食品医薬品局(FDA)も注意
喚起を発出
出典：Cybersecurity & Infrastructure Security Agency (CISA)「ICS Advisory (ICSA-22-153-02) Illumina Local Run
Manager」（2022年6月2日）(https://www.cisa.gov/uscert/ics/advisories/icsa-22-153-02)

5. 5
1.はじめに: バイオ領域のセキュリティ脆弱性・インシデント事例(3)
国土安全保障省(DHS)サイバーセキュリティ・インフラストラクチャセ
キュリティ庁(CISA) 「ICS アドバイザリ(ICSA-23-117-01): イルミナ
Universal Copy Service」(2023年4月27日)
(https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-117-01)
• 米国イルミナ製遺伝情報解析用次世代シーケンサーに使用されたUniversal Copy
Service(UCS)に脆弱性があることを同社が確認し、CISAおよびFDAに報告
(＊ソフトウェアのセキュリティパッチを開発・配布済）
• 脆弱性の影響を受ける製品：「MiSeqDx」、「NextSeq 550Dx」、「iScan」、「iSeq 100」、
「MiniSeq」、「MiSeq」、「NextSeq 500」、「NextSeq 550」、「NextSeq
1000/2000」、「NovaSeq 6000」 (＊体外診断用医療機器製品および研究使用限定製品の
双方を含む)
• 権限のないユーザーによるサイバーセキュリティ脆弱性の悪用が可能
• 遠隔で機器をコントロールする
• 機器または顧客のネットワーク上で設定、構成、ソフトウェア、データを変更する
• 臨床診断を意図した機器における遺伝子データ検査結果に影響を及ぼす
(機器に結果を出さない、不正確な結果、変更された結果、潜在的なデータ侵害など)
出典：Cybersecurity & Infrastructure Security Agency (CISA)「Cybersecurity
and Infrastructure Security Agency (CISA)「ICSMA-23-117-01: Illumina
Universal Copy Service」
(2023年4月27日) (https://www.cisa.gov/news-events/ics-medical-
advisories/icsma-23-117-01)

6. 6
1.はじめに: バイオ領域のセキュリティ脆弱性・インシデント事例(4)
・保健福祉省(HHS)公民権室(OCR)「臨床検査機関が潜在的なHIPAAセ
キュリティ規則違反に関する和解のために250万米ドルを支払」(2021年5
月25日)
(https://public3.pagefreezer.com/browse/HHS.gov/30-12-2021T15:27/https://www.hhs.gov/about/news/2021/05/25/clinical-laboratory-pays-25000-settle-potential-
hipaa-security-rule-violations.html)
・ピーチステート(ジョージア州): HIPAA規則の適用対象主体(CE)である医療機関
からの委託を受けて、保護対象保健情報(PHI)を利用した臨床／遺伝子検査サービ
ス業務を行う事業提携者(BA)
・OCRは、2017年12月より、ピーチステートのHIPAAプライバシー／セキュリ
ティ規則の遵守状況に関する調査を実施し、以下のようなHIPAA違反を確認
A. ピーチステートが保有する電子PHIの機密性、完全性、可用性に対する潜在的リスクや脆弱性
に関する正確で完全な評価の実施を怠っていた。
B. リスク分析または評価で特定された合理的で適切なレベルまで、リスクや脆弱性を低減する
のに十分な
セキュリティ対策の導入を怠っていた。
C. 電子PHIを含むまたは利用する情報システムにおける活動を記録・検証するハードウェアやソ
フトウェア
および／または手順のメカニズムの導入を怠っていた。
D. 書式（電子形態を含む）による細則C遵守のためのポリシーや手順の保持や、細則Cまたはこ
れらの
ポリシーや手順が要求する行動や活動、評価の書面（電子形態を含む）による記録の保持を怠っ
ていた。

7. 7
1.はじめに: バイオ領域のセキュリティ脆弱性・インシデント事例(5)
・エンゾ・バイオケム・インク「FORM 8-K 臨時報告書」(2023年5月30
日)
(https://ir.enzo.com/sec-filings/all-sec-filings/content/0001213900-23-044007/0001213900-23-044007.pdf)
・エンゾ・バイオケム・インク(ニューヨーク州):新型コロナウイルス感染症
(COVID-19)向け
検査キットなどの開発・提供を行う臨床検査企業(ニューヨーク証券取引所(NYSE)
上場)
・2023年5月30日、米国証券取引委員会(SEC)に提出したFORM 8-K臨時報告書の
中で、同社の情報システムに対するランサムウェア攻撃に関する情報を公表
・2023年4月6日、同社の特定の情報システムに影響を及ぼすようなランサム
ウェア攻撃を経験したことを確認し、インシデント対応策として、該当するシス
テムのインターネットからの分離などの封じ込め策を実行し、サードパーティの
サイバーセキュリティ専門家からの支援を受けて調査を開始するとともに、法執
行措置を通知した
・2023年4月11日、エンゾは、名前、試験情報、社会保障番号など、特定のデータ
へのアクセスがあったこと、また場合によっては、今回のインシデントの一部とし
て、同社の情報システムからデータが抽出されたことを公表した
・約247万人分の不正なアクセスまたは臨床試験情報の収集があったことを確認
(このうち約60万人については、社会保障番号が含まれていた)
・臨時報告書の中で、今回の件への対応、救済、調査の費用など、特定の経費が発

8. AGENDA
1. はじめに: バイオ領域のセキュリティ脆弱性・インシデント
事例
2. 大統領令を起点とする米国防総省の
バイオ技術／製造戦略
3. バイオ技術／製造を支える米国防総省の
サイバーセキュリティ基準
4. バイオ技術／製造を支える米国防総省の
クラウドセキュリティ基準
5. バイオ技術／製造を支える米国防総省の
アイデンティティ／アクセス管理
6. Q&A／ディスカッション

9. 9
2. 大統領令を起点とする米国防総省のバイオ技術／製造戦略(1)
• 米合衆国大統領行政府 「持続可能な安全でセキュアな米国のバイオエコ
ノミーのために進化するバイオ技術／バイオ製造に関する大統領令」
(2022年9月12日)
（https://www.whitehouse.gov/briefing-room/presidential-actions/2022/09/12/executive-order-on-advancing-biotechnology-and-
biomanufacturing-innovation-for-a-sustainable-safe-and-secure-american-bioeconomy/）
• 全体の調整役＝国家安全保障問題担当大統領補佐官(APNSA)
• サイバーセキュリティの調整役＝国土安全保障省(DHS)
• 国家サイバーセキュリティの向上に関する大統領令第14028号に準拠
• 関係省庁＝国防総省、農務省、商務省／NIST、保健福祉省、
エネルギー省、行政管理予算局（OMB）など
目的：保健医療、気候変動、エネルギー、食品安全、農業、サプライ
チェーンの
レジリエンス、国家・経済安全保障における革新的なソリューションに
向けて、
政府全体のアプローチを調整しながら、バイオ技術／バイオ製造業を進
化させる

10. 10
2. 大統領令を起点とする米国防総省のバイオ技術／製造戦略(2)
• 大統領令の構成
第1条． 政策
第2条． 調整
第3条． さらなる社会的目標に向けたバイオ技術／バイオ製造R&Dの利用
第4条． バイオエコノミーのためのデータ
第5条． 活気のある国内バイオ製造エコシステムの構築
第6条． バイオベース製品の調達
第7条． バイオ技術／バイオ製造の労働力
第8条． バイオ技術規制の明確性と効率性
第9条． バイオセーフティとバイオセキュリティの進化によるリスクの低減
第10条．バイオエコノミーの評価
第11条．米国のバイオエコノミーに対する脅威の評価
第12条．国際的な関与
第13条．定義
第14条．一般規定

11. 11
2. 大統領令を起点とする米国防総省のバイオ技術／製造戦略(3)
• 米国防総省 「新たなバイオ技術大統領令は、米国の経済・国家安全保障
のために国防総省のバイオ技術を進化させる」(2022年9月14日)
(https://www.defense.gov/News/Releases/Release/Article/3157504/new-biotechnology-executive-order-will-advance-dod-
biotechnology-initiatives-fo/)
• バイオ製造向けに総額12億米ドルの新規投資を行うことを発表
• バイオ技術におけるプロトタイピングや運用の実証、迅速な生産を加速
させる
・脆弱なサプライチェーンに依存することなく、重要な材料を国内で供給する
・極超音速機から潜水艦まで、新たな特性を有する材料を開発する
・材料やエネルギー製品の開発のために、必要なポイントで製造することにより、
物流や再供給のタイムラインを大幅に削減する
・バイオ技術ソリューションをミッションのニーズに結びつけて提供する
・データ共有、標準的なワークフロー、自動化能力を実現する共有基盤により、迅
速なプロトタイプのパイプラインを構築する
・バイオ倫理、バイオセーフティ、バイオセキュリティにおいてリードする
・将来に向けて、多様で学際的な労働力を育成する
・産業やアカデミック、国際的なパートナーと効果的に連携する

12. 12
2. 大統領令を起点とする米国防総省のバイオ技術／製造戦略(4)
• 米合衆国大統領行政府 「対米外国投資委員会による国家安全保障リスク
の
進展に対する堅牢性の考慮の確保に関する大統領令」
(2022年9月15日)
（https://www.whitehouse.gov/briefing-room/presidential-actions/2022/09/15/executive-order-on-ensuring-robust-
consideration-of-evolving-national-security-risks-by-the-committee-on-foreign-investment-in-the-united-states/）
• 対米外国投資委員会(CFIUS)は、適切な場合、大統領令の適用対象となる取引が、
製造施設、サービス、重要な鉱物資源、または国家安全保障の基盤となる技術にお
いて、防衛
第1条．政策
第2条．既存の法令ファクターに関する精緻化
第3条．考慮すべき追加的なファクター
第4条．定期的な見直し
第5条．定義
第6条．一般規定

13. 13
2. 大統領令を起点とする米国防総省のバイオ技術／製造戦略(5)
• 米国の国家安全保障に影響を及ぼす領域＝マイクロエレクトロニクス、
AI、
バイオ技術／バイオ製造、量子コンピュータ、先進的クリーンエネル
ギー(蓄電池、水素など)、気候適応技術、重要な素材(リチウム、レア
アース希土類元素など)、食品安全保障に影響を与える農業産業基盤の要
素および米国のサプライチェーンに関する大統領令第14017号(2021年
2月24日)で指定されたその他の
セクター
• 米国の国家安全保障に関する適用対象取引の効果をレビューする際に、
国家
安全保障を損なう脅威を有する適用対象取引からもたらされるサイバー
セキュリティリスクに関連したファクターを考慮すべきである
• 適用対象取引に、米国の個人の機微データにアクセスする米国企業が関
与しているか、外国の投資家またはその投資家と関係のある第三者が、

14. 14
2. 大統領令を起点とする米国防総省のバイオ技術／製造戦略(6)
• 国防総省「国防総省バイオ製造戦略」(2023年3月22日)
（https://www.defense.gov/News/Releases/Release/Article/3337235/dod-releases-biomanufacturing-strategy/）
• 国防総省「モジュール型バイオ産業＆再利用可能資産により実現される
分散型製造向け国内産業ケーパビリティ」(2023年3月22日)
(https://sam.gov/opp/8fec24f77b6046c9ae28dc99b2417e42/view)
• 情報提供依頼(RFI):
国防生産法(DPA)第3章の規定の下で実行された投資により取り組ま
れる可能性がある米国の国家安全保障産業基盤の弱点、リスク、機会
に関する情報を収集する
・早期段階のイノベーションのために移行パートナーを確立する
・イノベーションの実践と適用を通して、バイオ製造を構築する
・バイオ製造エコシステムをマッピングし、将来の国防総省によるバイ
オ製造R&Dの取組を支援するようなメトリクスを追跡する

15. AGENDA
1. はじめに: バイオ領域のセキュリティ脆弱性・インシデント
事例
2. 大統領令を起点とする米国防総省の
バイオ技術／製造戦略
3. バイオ技術／製造を支える米国防総省の
サイバーセキュリティ基準
4. バイオ技術／製造を支える米国防総省の
クラウドセキュリティ基準
5. バイオ技術／製造を支える米国防総省の
アイデンティティ／アクセス管理
6. Q&A／ディスカッション

16. 16
3.バイオ技術／製造を支える米国防総省のサイバーセキュリティ基準(1)
・サイバーセキュリティを取り巻く国防総省の様々な戦略
出典: U.S. Department of Defense 「DoD Zero Trust Strategy」(2022年11月22日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf)

17. 17
3.バイオ技術／製造を支える米国防総省のサイバーセキュリティ基準(2)
• 国防総省の契約企業・再委託先企業に対する「国防総省調達規則附則
(DFARS)」のサイバーセキュリティ関連要求事項
・DFARS 252.204-7012
適用対象国防情報の保護とサイバーインシデント報告
(https://www.acquisition.gov/dfars/252.204-7012-safeguarding-covered-defense-information-and-cyber-incident-reporting.)
・DFARS 252.204-7019
NIST SP 800-171 国防総省評価要求事項の通知
(https://www.acquisition.gov/dfars/252.204-7019-notice-nistsp-800-171-dod-assessment-requirements.)
・DFARS 252.204-7020
NIST SP 800-171 国防総省評価要求事項(https://www.acquisition.gov/dfars/252.204-
7020-nist-sp-800-171dod-assessment-requirements.)
・DFARS 252.204-7021
サイバーセキュリティ成熟度モデル認証要求事項
(https://www.acquisition.gov/dfars/252.204-7021-cybersecuritymaturity-model-certification-requirements.)

18. 18
3.バイオ技術／製造を支える米国防総省のサイバーセキュリティ基準(3)
・DFARS 252.204-7012
適用対象国防情報の保護とサイバーインシデント報告
(https://www.acquisition.gov/dfars/252.204-7012-safeguarding-covered-defense-information-and-cyber-incident-reporting.)
・国防総省の契約企業が、適用対象契約企業の情報システムまたはその
中に
ある適用対象国防情報に影響を及ぼすような、または、業務上重要なサ
ポートとして指定され、契約上特定された契約の要求事項を遂行する契
約企業の能力に影響を及ぼすようなサイバーインシデントを発見した場
合の要求事項
(1) 適用対象国防情報の侵害のエビデンスに関するレビューを実施する
(2) 国防総省に対して、迅速に報告する(インシデント発見後72時間以
内)
サイバーインシデント報告提出先：
防衛産業基盤(DIB)
サイバーセキュリティポータル
(https://dibnet.dod.mil/portal/intranet/)

19. 19
3.バイオ技術／製造を支える米国防総省のサイバーセキュリティ基準(4)
・国立標準技術研究所「NIST SP 800-171 非連邦政府組織およびシステ
ムにおけるCUI(管理対象非機密情報)の保護改訂第3版草案」(2023年5月
10日)
(https://csrc.nist.gov/publications/detail/sp/800-171/rev-3/draft)
改訂第3版草案の特徴
・NIST SP 800-53改訂第5版(2020年12月10日)およびNIST SP
800-53Bモデレート制御ベースライン(2020年10月29日)のアップ
デートを反映させるために、セキュリティ要求事項群をアップデート
・アップデートされたテーラリング基準
・曖昧さをなくし、実装の有効性を向上させ、評価のスコープを明確化
するために、セキュリティ要求事項向けの特殊性を拡張
・柔軟性を拡大し、組織のリスク管理向上を支援するために、選択され
たセキュリティ要求事項に、組織が定義したパラメータ(ODP)を導入
・プロトタイプCUIのオーバーレイ

20. 20
3.バイオ技術／製造を支える米国防総省のサイバーセキュリティ基準(5)
・(例)特権ユーザ管理に係る要求事項案
項目 内容
3.1.5. 最小特権 a. 割当てられた組織のタスクを遂行するために必要なユーザ(またはユーザの代わりに活
動するプロセス)向けに認可されたシステムアクセスのみを許容する
b. [割当：組織が定義した人員またはロール]の [割当: 組織が定義したセキュリティ機能
およびセキュリティ関連情報]に対するアクセスを認可する
c. このような特権に対するニーズを検証するために、[割当: 組織が定義した頻度]で、[割
当: 組織が定義したロールまたはユーザのクラス]に対して割当てられた特権をレビューす
る
d. 必要に応じて、特権を再割当てまたは削除する
3.1.6. 最小特権
- 特権アカウン
ト
a. [割当: 組織が定義した人員またはロール]に対するシステム上の特権アカウントを制限
する
b. [割当: 組織が定義したセキュリティ機能およびセキュリティ関連情報]にアクセスする
システムアカウント(またはロール)のユーザに対して、非セキュリティ機能にアクセスす
る場合、非特権アカウントまたはロールを利用するよう求める
3.1.7. 最小特権
- 特権機能
a. 非特権ユーザが特権機能を実行することを防止する
b. 特権機能の実行をログ付けする

21. 21
3.バイオ技術／製造を支える米国防総省のサイバーセキュリティ基準(6)
・DFARS 252.204-7021
サイバーセキュリティ成熟度モデル認証要求事項
(https://www.acquisition.gov/dfars/252.204-7021-cybersecuritymaturity-model-certification-requirements.)
・サイバーセキュリティ成熟度モデル(CMMC): サイバーセキュリティ
プラクティスの実装とプロセスの制度化を包含するために、契約企業の
サイバーセキュリティ
成熟度を評価するフレームワーク
・契約企業は、本契約で要求されるCMMCレベルで、現行(例.3年未満)
のCMMC認証を保有し、契約期間中、要求されるレベルのCMMC認証を
維持
する必要がある
・再委託先に対して契約企業は：
• すべての再委託契約およびその他の契約文書(商業利用可能な汎用製品を除く
商業製品または商用サービスの購入向けの再委託契約書など)に、本条項の項
目を挿入
する
• 再委託先の選定前に、その再委託先に流れる情報に関して、適切なCMMCレ

22. AGENDA
1. はじめに: バイオ領域のセキュリティ脆弱性・インシデント
事例
2. 大統領令を起点とする米国防総省の
バイオ技術／製造戦略
3. バイオ技術／製造を支える米国防総省の
サイバーセキュリティ基準
4. バイオ技術／製造を支える米国防総省の
クラウドセキュリティ基準
5. バイオ技術／製造を支える米国防総省の
アイデンティティ／アクセス管理
6. Q&A／ディスカッション

23. 23
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(1)
・国防総省国防情報システム局(DISA)「クラウドコンピューティング
(CC)セキュリティ要求事項ガイド(SRG) Version 1, Release 4」(2022
年1月14日)
(https://public.cyber.mil/dccs/)
出典: U.S. Department of Defense 「Cloud Computing (CC) Security Requirements Guide (SRG)
Version 1, Release 4」(2022年1月14日) (https://public.cyber.mil/dccs/)

24. 24
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(2)
・CC SRGのインパクトレベル
I
L
情報の機微性 セキュリティコント
ロール
ロケーション オフプレミスの
コネクティビ
ティ
分離 CSP要員要求事項
&調査の同等性
2 管理対象外
非機密情報
FedRAMPモデレート
ベースライン(MBL)認
証
米国／米国領有
地域またはDoD
オンプレミス
インターネット 仮想的／論理的パブリックコミュニティ Tier 1(T1)
4 管理対象非機密
情報または管理
対象外要機密
情報
インパクトレベル2認
証＋管理対象非機密情
報固有のテーラーメイ
ド設定による認証、ま
たはFedRAMPハイ
ベースライン(HBL)認
証
米国／米国領有
地域またはDoD
オンプレミス
CAP(クラウド
アクセスポイン
ト)経由の
NIPRNet
仮想的／論理的
制限付きパブリックコミュニティ
テナントシステム＆情報間の強力な仮想
的
分離
米国市民
ADP(自動データ処
理)-1(IT-1)
Tier 5(T5)
ADP-2(IT-2)
Tier 3(T3)
秘密保持契約書
(NDA)
5 管理対象非機密
情報および非機
密国家安全保障
情報(U-NSI)／
国家安全保障シ
ステム(NSS)
インパクトレベル4認
証＋国家安全保障シス
テム(NSS)固有のテー
ラーメイド設定により
認証する
米国／米国領有
地域またはDoD
オンプレミス
CAP経由の
NIPRNet
仮想的／論理的連邦政府コミュニティ
専用マルチテナントインフラストラク
チャ
連邦政府以外のシステムからの物理的分
離
テナントシステム＆情報間の強力な仮想
的
分離
6 機密情報で
SECRET扱いの
国家安全保障
インパクトレベル5認
証＋機密情報のオー
バーレイにより認証す
米国／米国領有
地域またはDoD
オンプレミス
SIPRNet
DIRECT
(DoD SIPRNetエ
ンクレイブのコネ
仮想的／論理的連邦政府コミュニティ
専用マルチテナントインフラストラク
チャ
望ましいと判定さ
れたT5とSECRET
クリアランスを有
出典: U.S. Department of Defense 「Cloud Computing (CC) Security Requirements Guide (SRG)
Version 1, Release 4」(2022年1月14日) (https://public.cyber.mil/dccs/)を基にヘルスケアクラウド研究会作成

25. 25
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(3)
・CC SRGインパクトレベル4／5: CAP経由のNIPRNetを利用したオフプ
レミス、非プライベート、DoD以外のクラウドサービスオファリング
(CSO)のコネクティビティ
出典: U.S. Department of Defense 「Cloud Computing (CC) Security Requirements Guide (SRG)
Version 1, Release 4」(2022年1月14日) (https://public.cyber.mil/dccs/)

26. 26
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(4)
・CC SRGインパクトレベル4／5: CAP経由のNIPRNetを利用したオンプ
レミス、DoDプライベートのクラウドサービスオファリング(CSO)とICAP
を必要とする
オフプレミス管理の
コネクティビティ
出典: U.S. Department of Defense 「Cloud Computing (CC) Security Requirements Guide (SRG)
Version 1, Release 4」(2022年1月14日) (https://public.cyber.mil/dccs/)

27. 27
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(5)
・CC SRGインパクトレベル4／5: CAP経由のNIPRNetを利用した仮想的
オンプレミス、DoDプライベート型クラウドサービスオファリング(CSO)
＆管理の
コネクティビティ
出典: U.S. Department of Defense 「Cloud Computing (CC) Security Requirements Guide (SRG)
Version 1, Release 4」(2022年1月14日) (https://public.cyber.mil/dccs/)

28. 28
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(6)
・CC SRGインパクトレベル6: SIPRNetを利用したオンプレミス、DoDの
プライベート型クラウドサービスオファリング(CSO)とオン／オフプレミ
ス管理の
コネクティビティ
出典: U.S. Department of Defense 「Cloud Computing (CC) Security Requirements Guide (SRG)
Version 1, Release 4」(2022年1月14日) (https://public.cyber.mil/dccs/)

29. 29
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(7)
・CC SRGのセキュリティ要求事項
5.1 国防総省のセキュリティ制御関連ポリシー
5.2 法的考慮事項
5.3 継続的評価
5.4 CSPの国防総省公開鍵インフラストラク
チャ（PKI）利用
5.5 ポリシー、ガイダンス、運用上の制約
5.6 物理的施設と人員の要求事項
5.7 データ漏えい
5.8クラウドサービスオファリングからの終了
のためのデータ検索と破壊
5.9ストレージメディアとハードウェアの再利
用と廃棄
5.10 アーキテクチャ
5.11 商用クラウドストレージにおける保存
データの暗号化
5.12 バックアップ
5.13 国防総省の契約企業／国防総省コンポーネ
ントのミッションオーナーのパートナーによるク
ラウドサービスオファリング利用
5.14 クラウドにおける国防総省ミッションオー
ナーの
テストと開発
5.15 ポート、プロトコル、サービス、管理とク
ラウドベースのシステム／アプリケーション
5.16 モバイルコード
5.17 クラウドベースのシステム／アプリケー
ション向けのレジストリとコネクション
5.18 サプライチェーンリスク管理評価
5.19 電子メールの保護

30. 30
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(8)
・CC SRGのサイバー空間防衛とインシデント対応
6.1 サイバー空間防衛の概要
6.2 クラウドコンピューティング向け情報インパクトレベルの概念
変更
6.3 サイバー空間防衛活動
6.4 サイバー空間防衛の役割と責任
6.5 サイバーインシデント報告と対応
6.6 警告、戦術指令と命令
6.7 継続的モニタリング／行動計画とマイルストーン（POA＆Ms）
6.8 計画的停止の通知
6.9 サイバー空間防衛目的のPKI
6.10 脆弱性・脅威情報の共有

31. 31
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(9)
・国防総省「DoDゼロトラスト戦略」(2022年11月22日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf)
• ゼロトラスト=「ユーザ、資産、リソースに焦点を当てるために、静的
なネットワークベースの境界から防御を移動させるような、一連の進化
するサイバーセキュリティのパラダイム」
出典: U.S. Department of Defense 「DoD Zero Trust Strategy」(2022年11月22日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf)
ビジョン: 完全に実装された、省全体のゼロ
トラストサイバーセキュリティフレームワー
クで守られたDoD情報エンタープライズ
目的:
・ゼロトラストの文化的導入
・安全で保護されたDoD情報システム
・技術の加速
・ゼロトラストの有効化

32. 32
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(10)
・国防総省におけるゼロトラストの7つの柱(Pillar)
出典: U.S. Department of Defense 「DoD Zero Trust Strategy」(2022年11月22日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf)

33. 33
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(11)
・国防総省におけるゼロトラストのケーパビリティ(Capabilities)
(https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf)
出典: U.S. Department of Defense 「DoD Zero Trust Strategy」(2022年11月22日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf)

34. 34
4.バイオ技術／製造を支える米国防総省のクラウドセキュリティ基準(12)
・国防総省におけるゼロトラストのロードマップ
出典: U.S. Department of Defense 「DoD Zero Trust Strategy」(2022年11月22日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf)

35. AGENDA
1. はじめに
2. 大統領令を起点とする米国防総省の
バイオ技術／製造戦略
3. バイオ技術／製造を支える米国防総省の
サイバーセキュリティ基準
4. バイオ技術／製造を支える米国防総省の
クラウドセキュリティ基準
5. バイオ技術／製造を支える米国防総省の
アイデンティティ／アクセス管理
6. Q&A／ディスカッション

36. 36
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(1)
・国防総省「アイデンティティ・資格情報・アクセス管理(ICAM)戦略」
(2020年3月20日)(https://dodcio.defense.gov/Portals/0/Documents/Cyber/ICAM_Strategy.pdf)
• 目的:
• アイデンティティ・資格情報・アクセス管理(ICAM):
・人間および人間以外の主体がミッションのニーズに基づいて、すべて
の認可
されたリソースに安全にアクセスでき、そのネットワーク上に誰がいる
か何時でも
知ることができるような、安全で信頼された環境に対するICAMビジョ
ンを達成
するための目標を提示する
・デジタルアイデンティティの生成および関連する属性の維持に関連す
る幅広い範囲の活動であり、人間／人間以外の主体向けの資格情報の発
行、資格情報を利用した認証、認証されたアイデンティティおよび関連
する属性に基づくアクセス管理制御に係る意思決定である

37. 37
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(2)
・ICAM戦略の目標(1)
大項目 小項目
目標1: データ中心のアプ
ローチを実装して、アイデン
ティティおよびその他の属性
を収集、検証、維持、共有す
る
・目標1.1: 収集時の属性データを検証するための標準規格を設定して、属性データの正確
性を維持し、すべてのローカルデータレポジトリの改ざんに対して属性値を保護する
・目標1.2: 属性データの共有に関する意思決定をする際に、データレポジトリを利用する
ためのプロセスやサービスレベルアグリーメント(SLAs)の言語を設定する
・目標1.3: 信頼されるレポジトリへの書込みアクセス向けの標準規格を設定する
目標2: 共通の標準規格、共
有サービス、連携を通して、
DoDネットワークおよびリ
ソースへの認証を向上し、可
能なものにする
・目標2.1: アプリケーションオーナーが、DoDおよび外部の資格情報を活用して、DoD
ネットワークやリソースにアクセスするためのリスクベースのガイドラインを開発・維持
する
・目標2.2: DoD従業員、外部委託先、退職者、扶養家族など、すべてのタイプのユーザお
よびすべての環境向けに資格情報を提供するケーパビリティを実装する
・目標2.3: クラウドサービスをサポートするためのICMケーパビリティを実装する
・目標2.4: DoDネットワークの境界で、連携した外部信用情報を介して、米国政府、米国
以外の
政府、商用パートナーなど、認証されたミッションパートナー向けの共有サービスを実装
する
目標3: 共有サービスを実装
して、エンタープライズ
ICAMの導入を促進する
・目標3.1: 法律、規制、ポリシー、ミッション、リソースへのアクセスを統治するローカ
ルの要求事項を統合するデジタルポリシーフレームワークを設定する
・目標3.2: DoDリソースへのアクセスのためのコアのデジタルポリシールールを実装する
ために必要な属性および値を設定する
・目標3.3: DoD内部およびミッションパートナーとの間双方で属性を交換するためのシン

38. 38
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(3)
・ICAM戦略の目標(2)
大項目 小項目
目標4:インサイダー脅
威および外部攻撃を検
知するために、一貫し
たモニタリングとロギ
ングを可能にする
・目標4.1: 情報リソース、ミッション、データに対するアクセス、特権、リスクの評価および考慮
をサポートするために、DoDマスタユーザレコードを設定し、進化させる
・目標4.2: 認可データを提供して、特別なインシデント、不適切な認可、行動異常の周りで協働す
るための
監査体制を認める
・目標4.3: 現代化した監査のケーパビリティに対するICAMインフラストラクチャのサポートを進化
させる
・目標4.4: ミッションパートナーとともに、協働型監査をサポートする
目標5:エンタープライ
ズICAMソリューショ
ンの開発・採用を促進
するために、ガバナン
ス構造を強化する
・目標5.1: エンタープライズICAMソリューションの定義・実装に関するDoD CIOやUSCCと、
サービスおよび
政府機関の責任を定義する
・目標5.2: サービスおよび政府機関のステークホルダー間のコミュニケーションや協力関係を促進
するために、
統合プログラムチーム(IPT)を構築する
・目標5.3: コアのジョブ機能としてICAMを促進するために、トレーニングおよびパフォーマンス管
理を特定する
・目標5.4: 現行のICAM関連活動の実装・維持への支出に関するエンタープライズ全体の見積を策定
する

39. 39
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(4)
・ICAM戦略の目標(3)
大項目 小項目
目標6:アイデンティフィ
ケーション、資格証明、
認証、
認可のライフサイクル管
理向けの要求事項を明確
に定義するために、DoD
ポリシーおよび標準規格
を構築する
・目標6.1: 外部発行の資格情報との相互運用性など、リスクのレベルおよび環境的な制約上、適切
な資格
証明技術の利用をサポートするために、既存のDoDポリシーをアップデートする
・目標6.2: 情報システムが 資格証明、認証、認可向けのDoDエンタープライズソリューションの
利用をサポートすることを実現するために必要なDoDポリシーを構築する
・目標6.3: 連携、相互運用性、資格証明、認証、認可、予期せぬユーザ向けサポートに関する国防
総省全体の技術標準規格を定義し、維持する
・目標6.4: データへのアクセスを許可するために、属性やデジタルポリシールールを活用する際に、
リスク管理
および責任のためのDoDポリシーを構築する
・目標6.5: すべての情報システム向けの調達プロセスへのICAM標準規格の強制を取り入れる
・目標6.6: エンタープライズICAMの達成に向けて、進歩を実証・追跡するメトリクスを特定し、収
集する
目標7: ミッションの目
標を実行するというDoD
コンポーネントのニーズ
と、DoDリソースを確保
するというDoDエンター
プライズのニーズをサ
ポートするために、
ICAM活動の実行と進化
・目標7.1: ミッションの目標をサポートするICAMケーパビリティの統合を保証するために、DoD
エンタープライズICAMサービスの実装を調整する
・目標7.2: ミッションの目標を達成し、特定された要求事項を優先順位付けし、適切な実装向けエ
ンタープライズサービスと要求事項を調整するために、DoDコンポーネントが必要とするICAM関連
要求事項を収集し、関係づけるようなプロセスを設定し、維持する
・目標7.3: 継続的な改善手法をICAMエンタープライズサービスに取り入れることによって、技術進
歩を取り入れるとともに、進化するDoDコンポーネントのミッションの要求事項に取組むために、
維持モードにおけるサービスを評価して改善できるようにする

40. 40
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(5)
・国防総省CIO室(DoD CIO)「DoDエンタープライズのアイデンティ
ティ・資格
情報・アクセス管理(ICAM)参照設計」(2020年6月)
(https://dodcio.defense.gov/Portals/0/Documents/Cyber/DoD_Enterprise_ICAM_Reference_Design.pdf)
• ビジョン:
出典: U.S. Department of Defense Office of the Chief Information Officer (DoD CIO) 「DoD Enterprise Identity,
Credential, and Access Management (ICAM) Reference Design」(2020年6月)
(https://dodcio.defense.gov/Portals/0/Documents/Cyber/DoD_Enterprise_ICAM_Reference_Design.pdf)

41. 41
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(6)
• 目的:
・人間および人間以外の主体がミッションのニーズに基づいて、すべての認可さ
れたリソースに安全にアクセスでき、そのネットワーク上に誰がいるか何時でも
知ることができるような、
安全で信頼された環境に対するICAMビジョンを達成するための目標を提示する
・ミッションのオーナーが、ミッションパートナーによる認可されたアクセスの
実現など、ミッションのニーズを満たせるように、ICAM要求事項を理解し、現
状および計画におけるDoDエンタープライズICAMサービスを記述することに
よって、ICAM実装に関する意思決定を可能にするよう支援する
・DoDエンタープライズICAMサービスのオーナーやオペレーターが、これらの
サービスを有効に相互作用させてICAMケーパビリティをサポートできるよう支
援する
・DoDエンタープライズサービスがミッションのニーズを満たさない場合、DoD
コンポーネントが、DoDエンタープライズICAMサービスを利用する方法や、
DoDコンポーネント、COIまたはローカルレベルのICAMサービスを運用する方
法を理解する際にサポートする

42. 42
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(7)
• コアICAMケーパビリティのハイレベル概念全体像:
出典: U.S. Department of Defense Office of the Chief Information Officer (DoD CIO) 「DoD Enterprise Identity,
Credential, and Access Management (ICAM) Reference Design」(2020年6月)
(https://dodcio.defense.gov/Portals/0/Documents/Cyber/DoD_Enterprise_ICAM_Reference_Design.pdf)

43. 43
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(8)
・(ICAM)参照設計の構成(1)
大項目 小項目
1.イントロダクション 1.1目的
1.2適用
1.3 DoDコミュニティ
1.3.1. DoD内部コミュニティ
1.3.2. 外部ミッションパートナー・コミュニティ
1.3.3. 受益者
1.3.4. 他の主体
1.4 DoDの計算処理環境
1.5参考文献
2. ICAMケーパビリティの概
要
2.1 トランスフォーメーションの目標
2.2 ICAMケーパビリティ分類の概要(DoDAF CV-2)
2.2.1. コアICAMケーパビリティ
2.2.1.1 アイデンティティ管理
2.2.1.2 資格情報管理
2.2.1.3 アクセス管理
2.2.2. アクセス説明責任ケーパビリティ
2.2.2.1 ログ収集と集約
2.2.2.2 アクセスのレビュー
2.2.2.3 アイデンティティの解決

44. 44
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(9)
・(ICAM)参照設計の構成(2)
大項目 小項目
2. ICAMケーパビリティの概
要
(続き)
2.2.3. コンタクトデータ・ケーパビリティ
2.2.3.1 コンタクトデータの収集
2.2.3.2 コンタクトデータ・ロックアップ
2.3 DoDエンタープライズICAMサービスの利用
2.3.1. DoDエンタープライズICAMサービスの利用からのDoDエンタープライズの
ベネフィット
2.3.2 DoDエンタープライズICAMサービスの利用からの情報システムのベネフィッ
ト
2.3.3 DoDエンタープライズICAMサービスの利用に対する課題の低減
3. ICAMデータフロー 3.1 コアICAMケーパビリティ
3.1.1. アイデンティティ管理
3.1.1.1 人間主体
3.1.1.2 人間以外の主体(NPE)
3.1.1.3 連携主体
3.1.2. 資格情報管理
3.1.2.1 内部資格情報管理
3.1.2.2 外部資格情報登録
3.1.3. アクセス管理
3.1.3.1 リソースアクセス管理
3.1.3.2 プロビジョニング
3.1.3.3 認証

45. 45
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(10)
・(ICAM)参照設計の構成(3)
大項目 小項目
3. ICAMデータフロー 3.2 アクセス説明責任ケーパビリティ
3.2.1. ログの収集と集約
3.2.2. アクセスのレビュー
3.2.3. アイデンティティの解決
3.3 コンタクトデータ・ケーパビリティ
4. ICAMパターンと関連する
ユースケース
4.1 アイデンティティと資格情報のパターン
4.1.1. 非機密エンタープライズDoDの内部初期登録
4.1.2. 非機密エンタープライズミッションパートナー主体の登録
4.1.3. 利害関係ユーザコミュニティの登録
4.1.4. 利害関係人間主体アイデンティティプロバイダの登録
4.1.5. DoDおよび連邦政府機関向け機密エンタープライズ登録
4.1.6. 連邦政府機関以外のミッションパートナー主体向けの機密エンタープライズ
登録
4.1.7. 短期の人間以外の主体(NPE)の登録
4.1.8. DoD受益者の登録
4.1.9. DoD応募者の登録
4.2 アクセス管理のパターン
4.2.1. DoD管理下のリソースへのアクセス
4.2.2. 予期せぬ主体向けのアクセス
4.2.3. 特権ユーザアクセス
4.2.4. ゼロトラスト

46. 46
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(11)
・(ICAM)参照設計の構成(4)
大項目 小項目
4. ICAMパターンと関連する
ユースケース
4.3 アクセス説明責任のパターン
4.3.1. ロギングとモニタリング
4.3.2. アクセスのレビュー
4.3.3. アイデンティティの解決
4.4 コンタクトデータ・ルックアップ
5. DoDエンタープライズ
ICAMサービス
5.1 DoD ICAMエンタープライズサービスの概要
5.2 プロダクションDoD ICAMエンタープライズサービス
5.2.1. 個人データレポジトリ(PDR) (*DMDCが運用)
5.2.2. アイデンティティ解決サービス(*DMDCが運用)
5.2.3. トラステッド・アソシエイト・スポンサー・プログラム(TASS) (*DMDCが運
用)
5.2.4. DoD公開鍵インフラストラクチャ(PKI)(*DISAとNSAが運用)
5.2.5 リアルタイムの自動本人確認システム(RAPIDS) (*DMDCが運用)
5.2.6. 非機密インターネットプロトコルルータ(NIPRNet)エンタープライズ代替トー
クンシステム(NEATS)／代替トークン発行管理システム(ATIMS) (*DMDCが運用)
5.2.7. Purebred (*DISAが運用)
5.2.8. DoDセルフサービス(DS)ログオン(*DMDCが運用)
5.2.9. エンタープライズアイデンティティ属性サービス(EIAS) (*DMDCが運用)
5.2.10. アイデンティティ同期サービス(IdSS)(*DMDCが運用)
5.2.11. milConnect(*DMDCが運用)
5.2.12. エンタープライズディレクトリサービス(EDS)(*DISAとDMDCが運用)

47. 47
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(12)
・(ICAM)参照設計の構成(5)
大項目 小項目
5. DoDエンタープライズ
ICAMサービス
5.3 計画されたDoD ICAMエンタープライズサービス
5.3.1. ミッションパートナー登録(MPR)(*DMDCが開発中)
5.3.2. アイデンティティプロバイダ(IdP)(*DISAが開発中)
5.3.3. 多要素認証(MFA)登録サービス(*DMDCが開発中)
5.3.4. EIAS(強化型)
5.3.5. バックエンド属性交換(BAE) (*DMDCが運用)
5.3.6. DSログイン(強化型)
5.3.7. 自動アカウントプロビジョニング(AAP) (*DISAが開発中)
5.3.8. マスタユーザレコード(MUR) (*DISAが開発中)
6. ICAM実装責任 6.1 DoD ICAM共同プログラム統合室(JPIO)の責任
6.2 DoD ICAMサービスプロバイダの責任
6.3 DoDコンポーネントの責任
6.3.1. DoDコンポーネントレベルのICAMガバナンス
6.3.2. DoDエンタープライズICAMサービスのサポート
6.3.3. DoDエンタープライズICAMサービスの利用
6.3.4. COIとローカルICAMサービスの運用
6.4 外部連携ICAMサービスプロバイダに関連する責任
7. ICAMサービスギャップの
概要

48. 48
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(13)
・国防総省CIO室(DoD CIO)「国防総省(DoD)クラウドネイティブ・アク
セス
ポイント(CNAP)参照設計(RD)第1.0版」(2021年7月29日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/CNAP_RefDesign_v1.0.pdf)
• CNAPの目的:
ゼロトラストアーキテクチャ(ZTA)を活用して、どこでも、いつでも、
どのデバイス
からも、認可されたDoDユーザやエンドポイントによる、商用クラウド
環境内のDoDリソースへの安全な認可されたアクセスを提供する
• 参照設計書の目的：
CNAP内部における一連のケーパビリティ、基盤コンポーネント、デー
タフローを
記述し、定義する

49. 49
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(14)
・参照設計書の構成
内容
1.1. 目的
1.2. スコープ
1.3. 対象読者
1.4. ハイレベルのユーザストーリー
2. 想定と原則
2.1 想定
2.2 原則
3. ケーパビリティの概要
3.1. CNAPケーパビリティ分類の概要(DoDAF CV-
2)
3.2. コアCNAPケーパビリティ
C.1 – 認証・認可された主体
C.2 – 認可されたIngress (=受信)
C.3 – 認可されたEgress (=送信)
C.4 – セキュリティのモニタリングとコンプラ
イアンスの
強制
3.2.4.1 モニタリングと救済策
3.2.4.2 コンプライアンス監査と強制
4. データフロー
4.1. CSPポータルアクセス
4.2. SaaSアクセス
4.3. 認可されたIngress
4.4. 認可されたEgress
4.5. セキュリティのモニタリングとコンプライア
ンスの強制
5. 論理的設計パターン
5.1. ミッションオーナー(MO)のクラウドエンクレ
イブへの
アクセス
5.2. SaaSサービスへのアクセス
6. 実装責任
6.1. DoDエンタープライズの責任
6.2. ミッションオーナー(MO)の責任
6.3. ミッションパートナー
6.4. クラウドサービスプロバイダ(CSP)の責任
7. 参考文献

50. 50
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(15)
・CNAPのビジョン：DoDが認証・認可した主体に対して、いつでも、ど
こでも、どの
デバイスを使っても、ミッションオーナーのクラウドエンクレイブへのセ
キュアなアクセスを提供する
出典: U.S. Department of Defense Office of the Chief Information Officer (DoD CIO) 「Department of Defense (DoD)
Cloud Native Access Point (CNAP) Reference Design (RD) Version 1.0」(2021年7月29日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/CNAP_RefDesign_v1.0.pdf)
認証・認可された主体
認可されたIngress
認可されたEgress
セキュリティモニタリン
グと
コンプライアンスの強制
ミッションのニーズに基づ
く
DoDリソースへのアクセス
提供
アップデートやパッチへ
の
アクセス提供
サイバーセキュリティの
可視化の提供
ソフトウェアの
アジリティ実現

51. 51
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(16)
・CNAPのデータフロー:
出典: U.S. Department of Defense Office of the Chief Information Officer (DoD CIO) 「Department of Defense (DoD)
Cloud Native Access Point (CNAP) Reference Design (RD) Version 1.0」(2021年7月29日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/CNAP_RefDesign_v1.0.pdf)
認可された
Ingress
認可された
Egress

52. 52
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(17)
・ハイレベルのモニタリングとコンプライアンスのデータフロー:
出典: U.S. Department of Defense Office of the Chief Information Officer (DoD CIO) 「Department of Defense (DoD)
Cloud Native Access Point (CNAP) Reference Design (RD) Version 1.0」(2021年7月29日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/CNAP_RefDesign_v1.0.pdf)

53. 53
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(18)
・ミッションオーナー(MO)のエンクレイブに対するCNAPのアクセス:
出典: U.S. Department of Defense Office of the Chief Information Officer (DoD CIO) 「Department of Defense (DoD)
Cloud Native Access Point (CNAP) Reference Design (RD) Version 1.0」(2021年7月29日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/CNAP_RefDesign_v1.0.pdf)

54. 54
5.バイオ技術／製造を支える米国防総省のアイデンティティ／アクセス管
理(19)
・SaaSサービスへのアクセス:
出典: U.S. Department of Defense Office of the Chief Information Officer (DoD CIO) 「Department of Defense (DoD)
Cloud Native Access Point (CNAP) Reference Design (RD) Version 1.0」(2021年7月29日)
(https://dodcio.defense.gov/Portals/0/Documents/Library/CNAP_RefDesign_v1.0.pdf)

55. AGENDA
6. Q&A／ディスカッション
6-1. (参考)CSA「アイデンティティ／アクセス管理(IAM)向けゼロトラ
スト原則と
ガイダンス V1.0」(2023年7月13日発行)
6-2. CSA関西支部／健康医療情報管理WGの2023-2024年活動計画

56. 56
6-1. (参考)CSA「アイデンティティ／アクセス管理(IAM)向けゼロトラス
ト原則と
ガイダンス V1.0」(2023年7月13日)
(https://cloudsecurityalliance.org/artifacts/zero-trust-principles-and-guidance-for-iam/)
• 背景とドライバー
• 本文書のスコープ
• イントロダクション
• 主体と属性の特定
• アイデンティティの
プルーフィングと
バリデーション
• 意思決定向けのシグナル
• ポリシーベースの認可
• ポリシー決定ミスの処理
• ビジネス価値
• 結論
出典: Cloud Security Alliance 「Zero Trust Principles and Guidance for Identity and Access
Management (IAM)」(2023年7月13日) (https://cloudsecurityalliance.org/artifacts/zero-trust-
principles-and-guidance-for-iam/)

57. 57
6-2. CSA関西支部／健康医療情報管理WGの2023-2024年活動計画
2023年6月 ブログ 1. ゲノムデータのサイバーセキュリティとアクセス制御
2023年7月 勉強会 1. ゲノムデータのサイバーセキュリティとアクセス制御
2023年8月 ブログ 2. ロボット支援手術(RAS)システムの脅威モデリング
2023年9月 勉強会 2. ロボット支援手術(RAS)システムの脅威モデリング
2023年10月 ブログ 3. ゼロトラストアーキテクチャにおける医療機器開発とSBOM
2023年11月 勉強会 3. ゼロトラストアーキテクチャにおける医療機器開発とSBOM
2023年12月 ブログ 4. 医療／ライフサイエンスにおけるデータ損失防止(DLP)
2024年1月 勉強会 4. 医療／ライフサイエンスにおけるデータ損失防止(DLP)
2024年2月 ブログ 5. 医療／ライフサイエンスにおけるハードウェア対応型セキュリティ
2024年3月 勉強会 5. 医療／ライフサイエンスにおけるハードウェア対応型セキュリティ
2024年4月 ブログ 6. 医療／ライフサイエンスにおけるDevSecOps
2024年5月 勉強会 6. 医療／ライフサイエンスにおけるDevSecOps