Standardization of Healthcare Cloud Security and Crowdsourcing

ヘルスケアの
クラウドセキュリティ標準化と
クラウドソーシング
～Cloud Security Allianceの事例～

1

AGENDA
• Cloud Security Allianceのご紹介
• クラウドソーシングを利用したクラウドセキュリティ
のグローバル標準化に向けた取り組み事例
• ヘルスケアのクラウドセキュリティ標準化における
課題

2

Cloud Security Allianceのご紹介（1）
The Cloud Security Alliance (CSA) is a not-for-profit organization with a
mission to promote the use of best practices for providing security assurance
within Cloud Computing, and to provide education on the uses of Cloud
Computing to help secure all other forms of computing. The Cloud Security
Alliance is led by a broad coalition of industry practitioners, corporations,
associations and other key stakeholders.
（https://cloudsecurityalliance.org/）

• グローバルな非営利組織
• Individual Members（ソーシャルメディアLinkedInの
「Cloud Security Alliance」グループ登録者）：42,000
• Corporate Members: 137
• Affiliate Members: 23（ASPIC、IPA含む）
• Chapters worldwide：60以上（日本含む）
3


• 「Security Guidance for Critical Areas of Focus for Cloud
Computing 」(最新版：V3.0、2011年11月)
セキュアなクラウドコンピューティングのベストプラクティスを集積したガイ
ドラインを策定
• 「Cloud Controls Matrix（CCM）」(最新版：V1.3、2012年9月)
クラウド導入を検討している顧客がクラウドプロバイダーがもたらすセキュ
リティリスクを分析するのに役立つマトリクス
• 「CCSK（Certificate of Cloud Security Knowledge）」
（2010年9月開始)：クラウドセキュリティ認定資格試験
• 「CSA STAR（Security, Trust & Assurance Registry）」：
クラウドプロバイダーのセキュリティプラクティスに関する登録制度（2011
年第4四半期開始）
（例）「AWS、クラウド業界のセキュリティ情報レジストリ「STAR」に自社IaaS
　　　サービスを登録」（Computerworld、2012年7月24日）　　　
　　　　（http://www.computerworld.jp/topics/601/204248） 4


• ワーキンググループ／リサーチイニシアティブの活動
• クラウドソーシング（Crowdsourcing）で、クラウドセキュリ
ティ（Cloud Security）の標準化を推進する
• オープン、グローバルなオンラインコミュニティから、ボランティア
を幅広く募集し、プロジェクトコディネーターを中心として、クラウ
ドセキュリティの個別テーマに関する標準化活動を推進する
• 【主要なグループ／イニシアティブ】
Security Guidance for Critical Areas of Focus in Cloud Computing、
Cloud Controls Matrix (CCM)、Innovation Initiative、Open
Certification Framework、Mobile Working Group、Big Data Working
Group、Privacy Level Agreement Working Group、Consensus
Assessments Initiative、CloudTrust Protocol、Cloud Data Governance、
Trusted Cloud Initiative、Security as a Service、Telecom Working
Group、Health Information Management、Top Threats to Cloud
Computing、CloudAudit、CloudCERT、Cloud Metrics
5


6

（2）クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例（1）
（https://cloudsecurityalliance.org/research/security-guidance/）

7

クラウドソーシングを利用したセキュリティの
• クラウドソーシングを利用したガイドライン策定

8

• クラウドソーシングのためのツール
• ソーシャルネットワーキングサービス：LinkedIn
(http://www.linkedin.com/groups?gid=1864210)
～Working GroupやPeer Reviesに参加するボランティ
アの募集
• コラボレーションツール：Google Groups、Google Docs
(https://groups.google.com/forum/?fromgroups#!forum/cloudsecurityalliance)
～オンラインディスカッション、ピアレビューなど
• テレカンファレンス
• メーリングリストなど

9

• Mobile Working Group
（https://cloudsecurityalliance.org/research/mobile/）
• The CSA Mobile working group will be responsible for
providing fundamental research to help secure
mobile endpoint computing from a cloud-centric
vantage point.
• ６つのイニシアティブ：①Mobile Threats、②Mobile
Maturity Questionnaire、③BYOD、 ④Authentication、
⑤Mobile App Stores、⑥Device Management
• 主なアウトプット：「Security Guidance for Critical Areas of
Mobile Computing」(最新版：V1.0、2012年11月) 他
（https://cloudsecurityalliance.org/research/mobile/#_resources）

10

• Mobile Working Group
（https://cloudsecurityalliance.org/research/mobile/）
• クラウドソーシングのためのツール
・・・前述のものに加えて・・・
• コラボレーションツール：Basecamp
（https://basecamp.com/）
～オンラインディスカッション、ピアレビューなど
• オンラインミーティングツール：joinme
(https://join.me/)
～テレカンファレンス時に利用

11

• Health Information Management Working Group
（https://cloudsecurityalliance.org/research/him/）
• Provide direct influence on how health information service
providers deliver secure cloud solutions (services,
transport, applications and storage) to their clients, and
foster cloud awareness within all aspects of healthcare and
related industries
• HIPAA/HITECH Health Initiative
• Define industry best practices for service providers to the
healthcare community, in coordination with the Health Insurance
Portability and Accountability Act (HIPAA), Health Information
Technology for Economic and Clinical Health (HITECH), and
CSA Cloud Control Matrix (CCM)
• In collaboration with Internet2 Net+ Initiative
12

• CSA Cloud Control Matrix (CCM)の医療分野への適用
• 医療固有の法規制＋サイバーセキュリティへの対応
医療分野のクラウドセキュリティの
医療分野のクラウドセキュリティの視点
（例．HIPAA／HITECH監査への対応リスク評価など）
／監査への対応:リスク評価など
監査への対応リスク評価など）

CSA Cloud Control Matrix (CCM)
（https://cloudsecurityalliance.org/research/ccm/）

パブリックセクターのクラウドセキュリティの視点
例．Federal Risk and Authorization Management Program (FedRAMP)
（http://www.fedramp.gov/）
ホームランドセキュリティの視点
例．Federal Information Security Management Act（FISMA）
（http://csrc.nist.gov/groups/SMA/fisma/index.html） 13

• 医薬品／医療機器バリューチェーンとクラウドセキュリティ
• 下流ほどプライバシー／セキュリティリスクは高い
• クラウドセキュリティの肝は外部委託管理

臨床開発製造・
製造・物流
研究所営業部門学術部門
部門部門

販売
探索研究臨床開発生産・
生産・物流市販後調査
マーケティング

【アウトソーシングサービスプロバイダー】
アウトソーシングサービスプロバイダー】
CRO CSO PMS
創薬ベンチャー
創薬ベンチャー受託臨床試験受託製造企業医薬品販売業務製品販売後調査
実施機関 3PL事業者
事業者受託機関受託機関
14

ヘルスケアのクラウドセキュリティ標準化における課題（1）
• 医薬品／医療機器バリューチェーンと外部委託管理
• “Time Is Money”　⇔　リスク管理
• 企業間連携、官民連携、グローバル連携へ

単一組織民民／
民民／産学官民連携グローバル
（In-House）
）連携（PPP）
）連携

プライベートパブリックコミュニティグローバル
クラウドクラウドクラウドクラウド

• BPO からKPO、クラウドソーシングへ
インフラビジネスナレッジ
ストラクチャプロセスプロセス
クラウド
アウトソーアウトソーアウトソー
ソーシング
シングシングシング
（BPO）
）（KPO）
）
15
共通基盤ノンコア業務
ノンコア業務コア業務
コア業務プロフェッショナルサービス

ヘルスケアのクラウドセキュリティ標準化における課題（2）

• クラウドのベネフィットとリスクのバランスをどう
とるか ⇒ 手段の1つがSLA（Service Level Agreement）
• 複数のクラウドサービスを組み合わせて利用する業
務プロセスの方が一般的
• クラウドを利用した時点で、情報／データがボーダ
レス化していることが多い
• バリューチェーンのフェーズによって、クラウドに求
められるセキュリティ要件は異なる
• 複数の法令を遵守しようとすると、コンフリクトが起
きる可能性がある
16

Standardization of Healthcare Cloud Security and Crowdsourcing

More Related Content

What's hot

Similar to Standardization of Healthcare Cloud Security and Crowdsourcing

More from Eiji Sasahara, Ph.D., MBA 笹原英司

Standardization of Healthcare Cloud Security and Crowdsourcing