前回、アプリケーションコンテナ、マイクロサービスなどを利用した医療API連携を取り上げたが、クラウド環境のアクセス制御も、従来のIaaS/PaaS/SaaS型階層モデルから、次世代プラットフォームとAPI連携をベースにしたモデルへと進化している。
2020年7月31日、米国立標準技術研究所(NIST)は、「SP 800-210:クラウドシステム向けの一般的アクセス制御ガイダンス」を公表した(関連情報)。同ガイダンスは、以下のような構成になっている。
図2は、クラウドシステムの一般的なアーキテクチャを示している。
クラウドシステム・アーキテクチャの構成要素は以下の通りである。
そして、図3は、アクセス制御におけるクラウドサービスプロバイダーとクラウドコンシューマーの関係を、IaaS/PaaS/SaaSのモデルごとに示したものである。
前述のHIPAAクラウドガイダンスでは、CSPと顧客、適用対象主体(CE)と事業提携者(BA)の関係が大きなテーマになっているが、図3をみると、PaaSやSaaSで、データの階層部分がプロバイダーとコンシューマーの責任共有モデルとなっている点が注目される。例えば、医療機器企業がIaaS型からPaaS/SaaS型モデルに移行する時など、データに関わる責任共有がリスク要因となるので、注意が必要だ。
次に、このガイダンスでは、クラウド・アクセス制御システムの設計における課題として、以下の5点を挙げている。
その上で、「NIST SP 800-53 Revision 4:連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策」(関連情報)のアクセス制御に関連する要素を、IaaS、PaaS、SaaSごとにマッピングしている。
Copyright © ITmedia, Inc. All Rights Reserved.