シンガポールに学ぶクラウド型SaMD／Non-SaMDのセキュリティ：海外医療技術トレンド（117）（2/4 ページ）

[笹原英司，MONOist]

クラウド責任共有モデルに着目したスタートアップ向けセキュリティガイド

　サイバーエッセンシャルズ版コンパニオンガイドは、SMBやスタートアップ企業を対象とした指針であり、責任共有モデルを使用しながら、ユーザー組織とプロバイダーがそれぞれクラウド環境を保護するために何を担当する必要があるかを理解するのに役立つ構成となっている。

　このサイバーエッセンシャルズ版ガイドでは、「サイバーエッセンシャルズマーク向けサイバーセキュリティ認証」（関連情報）のセキュリティ管理項目について、クラウド固有の管理策を設定している。

　図2は、SaaSユーザー向けのサイバーエッセンシャルズマーク責任共有モデルを整理したものである。

図2　サイバーエッセンシャルズマークの責任共有モデル（SaaSユーザー向け）［クリックで拡大］ 出所：Cyber Security Agency of Singapore 「Cloud Security for Organisations」（2025年1月20日更新）を基にヘルスケアクラウド研究会作成

　図1で、「クラウドユーザーは、クラウドプロバイダーが全てのことに責任を持つと誤解している」という課題を挙げているが、これに対して図2の「データ」では、SaaS内のデータに関してSaaSユーザーが責任を負い、クラウドがオンライン時のデータ保証に関してクラウドプロバイダーが責任を負うという関係を提示している。また「セキュアな構成」では、SaaSのユーザー設定やログ記録の管理に関してSaaSユーザーが責任を負い、アプリケーションレベルの構成やログ管理を実現する機能に関してSaaSプロバイダーが責任を負い、ホストインフラストラクチャの構成に関してクラウドインフラストラクチャプロバイダーが責任を負うとしている。さらに「不可欠なデータのバックアップ」では、SaaS内にある組織の不可欠なデータのバックアップに関してSaaSユーザーが責任を負い、SaaSアプリケーションレベルのバックアップに関してSaaSプロバイダーが責任を負い、ホストインフラストラクチャのバックアップに関してクラウドインフラストラクチャプロバイダーが責任を負うとしている。

　これをSaaS型モデルのSaMD／Non-SaMDに当てはめると以下のようになる

• SaaSユーザー＝医療機関／患者／消費者
• SaaSプロバイダー＝SaMD／Non-SaMDサービス事業者
• クラウドインフラストラクチャプロバイダー＝メガクラウドサービス事業者

　従って、3者が連携しながら、データセキュリティや構成管理、データバックアップに関わるリスクを評価／特定し、基本的なポリシー／手順、軽減策を策定するプロセスが重要になってくる。

　反面、「人々」「ハードウェアとソフトウェア」「アクセス制御」「インシデント対応」といった管理策の項目については、SaaSユーザーが単独で責任を負うとしており、クラウドプロバイダーの責任は記載されていない。SaMD／Non-SaMDを利用する医療機関／患者／消費者のデジタル成熟度を考慮すると、本来ユーザー側が責任を有するセキュリティトレーニングやデバイス管理、アクセス制御、インシデント対応計画などについても、医療安全の観点から、製品ライフサイクル管理を担うプロバイダー側が継続的にサポートする必要があろう。

　なお、サイバーエッセンシャルズ版コンパニオンガイドの一環として、「サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド」（関連情報、PDF）、「 サイバーエッセンシャルズ向けマイクロソフトクラウドセキュリティコンパニオンガイド」（関連情報、PDF）、「サイバーエッセンシャルズ向けアリババクラウドセキュリティコンパニオンガイド」（関連情報）も公開されている。