Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

個人情報を守るための アプリケーション設計(概要)

284 views

Published on

6月27日 ヘルスケアISV向けセミナーで使用した資料です

Published in: Technology
  • Be the first to comment

  • Be the first to like this

個人情報を守るための アプリケーション設計(概要)

  1. 1. リスク
  2. 2. 開始 Security as an after thought(結果論) 計画 設計 開発 テスト 展開
  3. 3. なぜシステムが必要なのか? 利用者は目的をもってデバイスを使用する。 それはネットワークに接続され、ソリューションを使用する。 ソリューションはサービスによって構成され、 インフラストラクチャ上で実行される。 Personas have objectives and use devices that connect via networks and consume solutions composed of services running on infrastructure. こちら側に重きを置いて設計 しようとするから
  4. 4. なぜシステムが必要なのか? 利用者は目的をもってデバイスを使用する。 それはネットワークに接続され、ソリューションを使用する。 ソリューションはサービスによって構成され、 インフラストラクチャ上で実行される。 Personas have objectives and use devices that connect via networks and consume solutions composed of services running on infrastructure. 人を中心に設計する
  5. 5. Sec 安全性
  6. 6. A B C
  7. 7. • 組織の ID に影響する潜在的な脆弱性を検出 • 組織の ID に関連する検出された疑わしいアクションに対する自動応答を 構成する • 疑わしいインシデントを調査し、適切なアクションを実行して解決する 通常状態 リスク顕在化 脆弱性を低減
  8. 8. データ漏洩の実態
  9. 9. データの漏洩はだれの責任?
  10. 10. データ漏洩の原因は
  11. 11. セキュリティ
  12. 12. Azure AD Join パスワード連携 OMA-DM オンプレミス SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 Azure Active Directory ~ Identity is Control Plane ID 管理 認証 Active Directory ID Sync SSO 業界標準プロトコルの サポート 他社 SaaS との ID 連携 Microsoft Passport Windows Hello Windows 10 Browser セキュリティ ポリシー アプリ配布/利用制限 暗号化, 権限管理,追跡 BYOD/CYOD 社内業務 SAML 2.0 WS-Fed. 監査 ログ解析 シャドウIT検出 Azure Machine Learning Intune Subscription RBAC … Proxy Connector KCD ID 同期 アクセス制御 特権 ID 管理 RBAC 多要素認証必須 アクセスOK アクセス不可 ID 連携 Information Protection MDM/ MAM/ MCM B2B Azure IaaS Domain Services VPN Kerberos ldap NTLM Group Policy SPNego IWA アクセス パネルBusiness Store SCIM 2.0
  13. 13. SSO
  14. 14. 確実に“本人であること”を 保証する仕組みを実装する 認証された ユーザーの 権限を明確に する
  15. 15. ROLE1 アクション アクション アクション User ROLE1 ROLE2 ROLE3 権限
  16. 16. アプリケーション改修を回避できる設計
  17. 17. premium
  18. 18. • 生産性を高める アクセスコントロールはクラウドプラット フォームに任せてしまう まとめ
  19. 19. HIPPA と HITECH Acthttps://www.microsoft.com/ja-jp/TrustCenter/Compliance/HIPAA HIPPA Health Insurance Portability and Accountability Act (医療保険の携行性と責任に関す る法律) 個人を特定できる医療情報の使用、開示、および保護に関する要件を 策定する米国の医療に関する法律。 保護医療情報 (PHI) へのアクセス権を持つ医院、病院、医療保険会社、および 他の医療関連会社だけでなく、PHI を処理するクラウド サービス プロバイ ダーや IT プロバイダー(ビジネス アソシエート)にも適用される • プライバシー : 患者の機密性 • セキュリティ : 物理的、技術的、および管理上の情報の保護 • 識別情報 : 個人を識別する情報 • 資格、保険金請求、支払いなどの、医療関連のトランザクションにおける データの電子送信のコード
  20. 20. HITECH Act HIPPA の拡張項目を定義している Health Information Technology for Economic and Clinical Health Act • HIPAA Privacy Rule: 個人が自分の個人情報の使用を制御する権利に焦点を当ててい て、PHI の機密性を対象とし、PHI の使用と開示を制限 • HIPAA Security Rule: 未承認のアクセス、使用、および開示から電子 PHI を保護す るための、管理上、技術的、および物理的な保護の基準を制定している。組織 上の要件も Business Associate Agreements (BAA) として含まれています。 • HITECH Breach Notification Final Rule: 保護されていない PHI の違反が発生した場合 には個人と政府に通知することを要求
  21. 21. HIPPA/HITECH Act に準拠するには Microsoft Azure HIPAA/HITECH Act Implementation Guidance https://gallery.technet.microsoft.com/Azure-HIPAAHITECH-Act-1d27efb0 プロダクト 運用プロセス

×