医療クラウド利用を支える責任共有型アクセス制御モデル:海外医療技術トレンド(62)(1/4 ページ)
前回はクラウドプラットフォームを利用した医療API連携を取り上げたが、今回は医療・ライフサイエンス関連業界のクラウド利用拡大に欠かせないアイデンティティー/アクセス管理動向を紹介する。
前回は、クラウドプラットフォームを利用した医療API連携を取り上げた。今回は、医療・ライフサイエンス関連業界のクラウド利用拡大に欠かせないアイデンティティー/アクセス管理動向を取り上げる。
アクセス管理はクラウド黎明期からのセキュリティ課題
ライフサイエンス業界では、2000年代後半、グローバル医薬品企業の研究開発部門を中心に、ハイパフォーマンスコンピューティング用途にクラウドサービスを導入していった。図1は、2009年6月、米国ウイスコンシン医科大学の研究チームが発表した「Amazonのクラウドコンピューティングサービスとオープンソースの検索アルゴリズムを利用した低コストで拡張性のあるプロテオミクスデータ解析」(関連情報)と題する論文より、解析システム(ViPDAC:Virtual Proteomics Data Analysis Cluster)の全体設計とワークフローを示したものである。
図1 解析システムの全体設計とフロー(クリックで拡大) 出典:Halligan BD, et al. J Proteome Res. 2009 Jun;8(6):3148-53. doi: 10.1021/pr800970z.
このシステムでは、コンポーネントとして、「Amazon Machine Images(AMI)」「Amazon Elastic Compute Cloud(EC2)」「Amazon Simple Storage Service(S3)」を採用しており、クラウドコンピューティング利用のメリットとして、以下のような点を挙げている。
- 計算処理インフラストラクチャの初期費用や投資が不要で、維持更新に関連する継続的費用も不要である
- ソフトウェアライセンスの初期費用およびインストールや維持に必要な時間と労力を回避できる
- ViPDACのAMIが、複数の研究室で検索結果を簡単に統合、比較するために利用できる標準化されたプラットフォームを提供する
- ユーザー自身のセキュアなアカウント資格情報を利用して全ての解析が実行され、ユーザー自身のS3検索スペースに結果が保存されることで、データセキュリティを提供する
- ユーザーが自身のS3ストレージスペースにViPDAC AMIのコピーを保存できるので、特別なニーズを満たすまたは付加的なプログラムを追加するために、ViPDAC AMIをカスタマイズすることができる
その一方で、クラウドコンピューティングの懸念事項として、データのセキュリティとセーフティを挙げている。業種・業界に関係なく、クラウドユーザーのアカウントに関わるアイデンティティー/アクセス管理(IAM)は、当初から重要なセキュリティ課題となってきた。
表1は、2009年12月当時、クラウドセキュリティアライアンスが公表した「クラウドコンピューティングのためのセキュリティガイダンス V2.1」(関連情報)より、クラウドサービス利用におけるアイデンティティー/アクセス管理の問題点および推奨事項を、「アイデンティティーのプロビジョニング/デプロビジョニング」「認証」「フェデレーション」「承認とユーザープロファイル管理」のそれぞれについて整理したものである。
表1 クラウドサービス利用におけるアイデンティティー/アクセス管理の推奨事項(2009年12月)(クリックで拡大) 出典:クラウドセキュリティアライアンス「クラウドコンピューティングのためのセキュリティ ガイダンス V2.1」(2009年12月)
その後2017年7月、クラウドセキュリティアライアンスが公表した「クラウドコンピューティングのためのセキュリティガイダンス V4.0(以下、ガイダンス4.0)」(関連情報)では、「アイデンティティー、権限付与、アクセス管理」について表2のような推奨事項を挙げている。
表2 クラウドサービス利用におけるアイデンティティー、権限付与、アクセス管理の推奨事項(2017年7月)(クリックで拡大) 出典:クラウドセキュリティアライアンス「クラウドコンピューティングのためのセキュリティ ガイダンス V4.0」(2017年7月)
加えて、ガイダンスV4.0では、クラウド環境の特権ユーザー管理について、以下のような推奨事項を挙げている。
- あらゆる特権ユーザーのために、強力な認証の要件を強く考慮すべきである
- 特権ユーザーの責任と可視性を押し上げるために、アカウントとセッションの記録を導入すべきである
- 特権ユーザーは、資格制御やデジタル認証が可能で、物理的、論理的に分離したアクセスポイントおよび/またはジャンプホストを目的とする高レベルの保証を利用しながら、別個の厳格に制御されたシステムを介して、サインインすると便利である
2000年代後半は、オンプレミス型システムを前提としたアイデンティティー/アクセス管理機能のクラウド環境への拡張が主要なテーマであったが、2010年代後半は、ハイブリッドクラウド/マルチプロバイダー型サービス利用を前提としたアイデンティティー/アクセス管理連携へとシフトしてきた。また、クラウド環境のためのアイデンティティー/アクセス管理から、クラウドを利用したアイデンティティー/アクセス管理(例:IDaaS:Identity as a Service)へと、クラウドサービス事業者のビジネスモデルが進化しているのも特徴である。医療機関、一般消費者/患者、規制当局、研究開発企業、保険者など、さまざまなステークホルダーが同一プラットフォーム上で協働する医療・ライフサイエンス分野では、前述の特権ユーザー管理などの強化が求められている。
Copyright © ITmedia, Inc. All Rights Reserved.