医療機関が解いておきたい「AWSやAzureを使えばセキュリティ対策は不要」の誤解：医療機関のクラウド移行、リスク管理のヒント【第4回】

クラウドサービスを利用するあらゆる組織は、セキュリティをクラウドベンダー任せにしてはならない。セキュリティ対策を負担と捉えず、システムの品質を高める取り組みと捉えるために考えるべきことは。

[Nabil Hannan，TechTarget]

　医療機関がクラウドサービスに展開したシステムのデータを保護するには、以下の4つのテーマについて考察する必要がある。第1回「医療機関が『クラウド』を使うべきセキュリティ的理由と、考えるべき4大テーマ」、第2回「医療機関が初心に立ち返って見直すべき『データセキュリティ』の意義と対策」、第3回「医療機関がクラウド利用前に考えたい『脅威モデリング』と『セキュアコーディング』の意義」に続き、第4回となる本稿は4番目のテーマについて解説する。

1. 医療機関のセキュリティ対策強化は必須事項だ（第2回で紹介）
2. 「脅威モデリング」で脅威を特定する（第3回で紹介）
3. 「セキュアコードレビュー」を通じて設計とセキュリティを両立させる（第3回で紹介）
4. セキュリティ対策をクラウドベンダー任せにはできないことを理解する

併せて読みたいお薦め記事

進化する医療IT

• 医療機関を困らせる「データ品質の低下」はこうして起こる
• 300億円の「医療情報化支援基金」は電子カルテ普及と標準化の追い風になるか

4．セキュリティ対策をクラウドベンダー任せにはできないことを理解する

　セキュリティを当たり前だと思ってはいけない。クラウドサービスの利用に当たって、ベンダーに基本的なセキュリティ管理とデータ保護をしてもらっているからといっても、「ユーザー組織はセキュリティやデータ保護について考える必要はない」という理屈にはならない。例えばソフトウェアをIaaS（Infrastructure as a Service）に導入していて、そのソフトウェアに脆弱（ぜいじゃく）性があれば、現在の保護機能は意味を成さなくなる可能性がある。システムのクラウドサービス展開に先立って下す判断がリスクをはらむものであるかどうかを理解するには、第3回で紹介したセキュアコードレビュー（SCR）や脅威モデリングなどのような基本を重視することが重要だ。

　「Amazon Web Services」や「Microsoft Azure」などの主要なクラウドサービスは、セキュリティ対策を幅広く用意している。ただしクラウドサービスのセキュリティは、クラウドベンダーとユーザー組織の共同責任であることを理解することが重要だ。クラウドベンダーはITインフラに基本的なセキュリティを提供するが、それでもユーザー組織はクラウドサービスを安全に運用し、設定する必要がある。

　組織にとってクラウドサービスのペネトレーションテスト（侵入テスト）が重要になるのはこの点だ。ペネトレーションテストを実施して、クラウドインフラのセキュリティギャップを特定し、脆弱性を修正するための実行可能なガイダンスを提供する。そうすることで、セキュリティとコンプライアンスを改善できる。

　あいにく現在、課題の一つとなっているのは、組織がセキュリティ対策を負担だと考えてしまっていることだ。データをクラウドサービスに保存している場合、このような考えは悪影響を及ぼす可能性がある。とはいえクラウドサービス利用の全体的な目的が「必要に応じて拡張できる能力と弾力性を備えること」だという事実は、ポジティブに受け入れたい。

　実際のところセキュリティは、リスクを管理しながら、はるかに高品質なシステムの拡張性や再利用性を高めることにも貢献する。ITに熟達した医療機関（に限らず、できれば全ての医療機関）は、これからセキュリティ文化の構築に取り組む際に、アクセシビリティやユーザビリティ、可用性に関する基準を築き上げるだけでなく、リスク管理のためのセキュアなシステム設計の基準にもこだわってほしい。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。