医療クラウド利用を支える責任共有型アクセス制御モデル海外医療技術トレンド(62)(4/4 ページ)

» 2020年08月14日 10時00分 公開
[笹原英司MONOist]
前のページへ 1|2|3|4       

IaaS、PaaS、SaaS、それぞれのAPI向けガイダンス

 さらにこのガイダンスで注目されるのは、以下の通り、IaaS、PaaS、SaaSのそれぞれについて、APIとアクセス制御に関する留意事項を整理している点だ。

IaaSのAPI向けガイダンス

 IaaSのデプロイ向けオープンソースプラットフォームには、いくつか普及したものがある。これらのソリューションプラットフォームによって、APIが、仮想マシンやハイパーバイザー、ネットワークのアクセス制御を管理することを可能にする(注:消費者は、プライベートクラウドでない限り、マルチテナント環境下で、ハイパーバイザーやネットワークを制御できない)。例えば、API、通信、ライフサイクル、ストレージ、容量、スケジューラー、ネットワーク、ハイパーバイザー向けのアクセス制御ポリシーを管理するAPIサーバ、アクセス制御が規定するネットワークブリッジやファイアウォールを構築するネットワークコントローラーなど、制御コンポーネントから構成される。これらAPI内部のアクセス制御のモニタリングが欠如すると、ハイパーバイザーや仮想マシン、ネットワークによって、アカウント制御ポリシーが強制されないまたは誤って強制される結果となる可能性がある。従って、クラウドプラットフォームにあるアクセス制御APIをモニタリングするサービスを検討する必要がある。

PaaSのAPI向けガイダンス

 PaaSシステムにより、クラウド開発者は、プラットフォームの上部でアプリケーションを構築することが可能になるので、APIは、異なるアプリケーション間でユーザーデータにアクセスできない状態を維持するよう、個々のユーザーにおけるアプリケーションのスコープを制御する必要がある。現実世界のビジネストランザクション(例:消費者からの注文処理・発送)をサポートするサービス構成のために、非常に多くのサービスが必要とされるため、全てのマイクロサービスへのアクセスを管理するアクセスポリシーを適用して強制する、中央集中型アーキテクチャが要求される。個々のマイクロサービスが異なる言語で展開される可能性があるので、ポリシーの適用およびアクセス決定に関わる計算処理が権限付与サーバの使用を要求する可能性がある。

SaaSのAPI向けガイダンス

 SaaSモデルにおいて、APIは、クラウドサーバとユーザーとの間でインタフェースとして機能する。APIは、いかなるアクセス制御ポリシーを回避するための偶発的および悪意的な試みに対して保護するよう、設計されるべきである。組織およびサードパーティー向けのアプリケーションは、API上に構築されることがあり、新たにレイヤー化されたAPIのアクセス制御の複雑化を招く。例えば、APIが、これらのタスクのために、メモリアクセスを要求しないのであれば、APIのアクセス制御ポリシーは、ノンメモリアクセスを強制すべきである。加えて、アクセス制御ポリシーは、Web APIの権限付与プロセスを管理するよう明示されるべきである。例えば、APIがSOAP(Simple Object Access Protocol)およびREST(Representational State Transfer)プロコル経由で接続する時、マイクロソフトまたはマイクロソフト以外のツール・技術との間のインタフェースとして機能するよう、エンドユーザーに許可するか否かを制御すべきである。SOAPおよびRESTプロトコル経由で権限付与されたAPI接続に対して、アクセス制御は、そのプロトコルにより要求された全ての関連アクセスを認めるべきである。これらのプロトコルを経由する権限のないAPI接続に対して、アクセス制御は、いかなるアクセスも、または部分的アクセスも認めるべきでない。



 本連載第40回で、電子保健医療情報の相互運用性に関わるオープンソースの標準規格「FHIR(Fast Healthcare Interoperability Resources)」に準拠した米国の医療APIセキュリティ対策を紹介したが、そこでもアクセス制御機能が重視されている。

 日本でも、2020年3月、厚生労働省がHL7 FHIRに関する調査研究報告書(関連情報を公表するなど、この領域の活動が本格化してきたが、クラウドネイティブなアプリケーションコンテナ/マイクロサービス基盤を前提としてアクセス制御機能を設計・実装するレベルには至っていない。その一方で、欧州連合(EU)の新型コロナウイルス感染症(COVID-19)接触追跡アプリケーション越境連携エコシステムのように、強固な個人情報保護規制(例:GDPR)をベースとする次世代クラウドプラットフォームのグローバル利用が急拡大している。アクセス制御はクラウドセキュリティの根幹を成すので、急速なキャッチアップが日本の医療機器企業にも求められる。

筆者プロフィール

笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook:https://www.facebook.com/esasahara


前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.