グローバル企業の間では、次世代デジタルトランスフォーメーション(DX)基盤として、アプリケーションコンテナやマイクロサービス、サーバーレスを導入する動きが本格化し、境界防御の枠を超えた「ゼロトラスト」に基づくアーキテクチャ構築や、「Docker」による開発フローの自動化、「Kubernetes」による運用管理の標準化、「FaaS(Function as a Service)」による運用負荷の軽減などが進んでいます。本講演では、海外事例を題材に、エンタープライズユーザーが最新のクラウドネイティブ基盤を利用する場合のリスク/セキュリティ管理について概説します。
グローバル企業の間では、次世代デジタルトランスフォーメーション(DX)基盤として、アプリケーションコンテナやマイクロサービス、サーバーレスを導入する動きが本格化し、境界防御の枠を超えた「ゼロトラスト」に基づくアーキテクチャ構築や、「Docker」による開発フローの自動化、「Kubernetes」による運用管理の標準化、「FaaS(Function as a Service)」による運用負荷の軽減などが進んでいます。本講演では、海外事例を題材に、エンタープライズユーザーが最新のクラウドネイティブ基盤を利用する場合のリスク/セキュリティ管理について概説します。
1. What Is “Metaverse”?
2. Use Cases of Metaverse in Healthcare: Robot-Assisted Surgery (RAS) Systems
3. What Is “Web3/NFTs”?
4. Use Cases of Web3/NFTs in Healthcare: Secure Health Information Exchange
5. Conclusion/Q&A
1. 米国立標準技術研究所(NIST) NIST SP 1800-30 遠隔医療の遠隔患者モニタリングエコシステムのセキュア化」草案第2版(2021年5月6日発行)
2. CSA Health Information Management WG 「クラウド上の遠隔医療データ」(2020年6月16日発行)
3. CSA Health Information Management WG 「遠隔医療のリスク管理」(2021年8月10日発行)
4. Q&A/ディスカッション
1. Use Case: Robot-Assisted Surgery (RAS) System on the Cloud
2. Worldwide IT Industry 2023 Predictions
3. Japan IT Spending Forecast by Region: 2021-2026
4. Japan Public Cloud Spending Forecast: 2021-2026
5. Japan Private Cloud Spending Forecast: 2021-2026
6. Japan Information Security Market Forecast: 2020-2026
7. Green Transformation (GX) in Healthcare
8. Conclusion/Q&A
1. Cybersecurity on Telehealth @NIST
2. Cybersecurity on Telehealth x Smart Home @NIST
3. Cloud-Native Privacy/Data Protection on Telehealth @CSA
4. Cloud-Native Security on Telehealth @CSA
5. Conclusions
3. Cloud Security Allianceのご紹介(1)
The Cloud Security Alliance (CSA) is a not-for-profit organization with a
mission to promote the use of best practices for providing security assurance
within Cloud Computing, and to provide education on the uses of Cloud
Computing to help secure all other forms of computing. The Cloud Security
Alliance is led by a broad coalition of industry practitioners, corporations,
associations and other key stakeholders.
(https://cloudsecurityalliance.org/)
• グローバルな非営利組織
• Individual Members(ソーシャルメディアLinkedInの
「Cloud Security Alliance」グループ登録者):42,000
• Corporate Members: 137
• Affiliate Members: 23(ASPIC、IPA含む)
• Chapters worldwide:60以上(日本含む)
3
4. Cloud Security Allianceのご紹介(2)
• 「Security Guidance for Critical Areas of Focus for Cloud
Computing 」(最新版:V3.0、2011年11月)
セキュアなクラウドコンピューティングのベストプラクティスを集積したガイ
ドラインを策定
• 「Cloud Controls Matrix(CCM)」(最新版:V1.3、2012年9月)
クラウド導入を検討している顧客がクラウドプロバイダーがもたらすセキュ
リティリスクを分析するのに役立つマトリクス
• 「CCSK(Certificate of Cloud Security Knowledge)」
(2010年9月開始):クラウドセキュリティ認定資格試験
• 「CSA STAR(Security, Trust & Assurance Registry)」:
クラウドプロバイダーのセキュリティプラクティスに関する登録制度(2011
年第4四半期開始)
(例)「AWS、クラウド業界のセキュリティ情報レジストリ「STAR」に自社IaaS
サービスを登録」(Computerworld、2012年7月24日)
(http://www.computerworld.jp/topics/601/204248) 4
5. Cloud Security Allianceのご紹介(3)
• ワーキンググループ/リサーチイニシアティブの活動
• クラウドソーシング(Crowdsourcing)で、クラウドセキュリ
ティ(Cloud Security)の標準化を推進する
• オープン、グローバルなオンラインコミュニティから、ボランティア
を幅広く募集し、プロジェクトコディネーターを中心として、クラウ
ドセキュリティの個別テーマに関する標準化活動を推進する
• 【主要なグループ/イニシアティブ】
Security Guidance for Critical Areas of Focus in Cloud Computing、
Cloud Controls Matrix (CCM)、Innovation Initiative、Open
Certification Framework、Mobile Working Group、Big Data Working
Group、Privacy Level Agreement Working Group、Consensus
Assessments Initiative、CloudTrust Protocol、Cloud Data Governance、
Trusted Cloud Initiative、Security as a Service、Telecom Working
Group、Health Information Management、Top Threats to Cloud
Computing、CloudAudit、CloudCERT、Cloud Metrics
5
7. (2)クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(1)
• 「Security Guidance for Critical Areas of Focus for Cloud
Computing 」(最新版:V3.0、2011年11月)
(https://cloudsecurityalliance.org/research/security-guidance/)
7
8. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(2)
• 「Security Guidance for Critical Areas of Focus for Cloud
Computing 」(最新版:V3.0、2011年11月)
• クラウドソーシングを利用したガイドライン策定
8
9. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(3)
• 「Security Guidance for Critical Areas of Focus for Cloud
Computing 」(最新版:V3.0、2011年11月)
• クラウドソーシングのためのツール
• ソーシャルネットワーキングサービス:LinkedIn
(http://www.linkedin.com/groups?gid=1864210)
~Working GroupやPeer Reviesに参加するボランティ
アの募集
• コラボレーションツール:Google Groups、Google Docs
(https://groups.google.com/forum/?fromgroups#!forum/cloudsecurityalliance)
~オンラインディスカッション、ピアレビューなど
• テレカンファレンス
• メーリングリスト など
9
10. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(4)
• Mobile Working Group
(https://cloudsecurityalliance.org/research/mobile/)
• The CSA Mobile working group will be responsible for
providing fundamental research to help secure
mobile endpoint computing from a cloud-centric
vantage point.
• 6つのイニシアティブ:①Mobile Threats、②Mobile
Maturity Questionnaire、③BYOD、 ④Authentication、
⑤Mobile App Stores、⑥Device Management
• 主なアウトプット:「Security Guidance for Critical Areas of
Mobile Computing」(最新版:V1.0、2012年11月) 他
(https://cloudsecurityalliance.org/research/mobile/#_resources)
10
11. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(5)
• Mobile Working Group
(https://cloudsecurityalliance.org/research/mobile/)
• クラウドソーシングのためのツール
・・・前述のものに加えて・・・
• コラボレーションツール:Basecamp
(https://basecamp.com/)
~オンラインディスカッション、ピアレビューなど
• オンラインミーティングツール:joinme
(https://join.me/)
~テレカンファレンス時に利用
11
12. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(6)
• Health Information Management Working Group
(https://cloudsecurityalliance.org/research/him/)
• Provide direct influence on how health information service
providers deliver secure cloud solutions (services,
transport, applications and storage) to their clients, and
foster cloud awareness within all aspects of healthcare and
related industries
• HIPAA/HITECH Health Initiative
• Define industry best practices for service providers to the
healthcare community, in coordination with the Health Insurance
Portability and Accountability Act (HIPAA), Health Information
Technology for Economic and Clinical Health (HITECH), and
CSA Cloud Control Matrix (CCM)
• In collaboration with Internet2 Net+ Initiative
12
13. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(7)
• Health Information Management Working Group
• CSA Cloud Control Matrix (CCM)の医療分野への適用
• 医療固有の法規制+サイバーセキュリティへの対応
医療分野のクラウドセキュリティの
医療分野のクラウドセキュリティの視点
(例.HIPAA/HITECH監査への対応 リスク評価など)
/ 監査への対応:リスク評価など
監査への対応 リスク評価など)
CSA Cloud Control Matrix (CCM)
(https://cloudsecurityalliance.org/research/ccm/)
パブリックセクターのクラウドセキュリティの視点
例.Federal Risk and Authorization Management Program (FedRAMP)
(http://www.fedramp.gov/)
ホームランドセキュリティの視点
例.Federal Information Security Management Act(FISMA)
(http://csrc.nist.gov/groups/SMA/fisma/index.html) 13