押さえておくべき!医療業界のデータ利活用事情とセキュリティ 〜DX時代におけるデータセキュリティの頼もしい味方とは?〜

REPORT,PR

03:医療業界における安心安全なデータの守り方とは?

 最後に登壇したのは、「医療業界における安心安全なデータの守り方とは?」と題して、マクニカネットワークスThales製品担当の前田弥紗世が登壇し、医療業界での事例を踏まえながら、安心安全なデータ保護の方法やThalesソリューションについて詳しく語った。

医療業界における安心安全なデータの守り方とは?

 まず医療分野におけるビジネスの変化について触れながら、個人情報をはじめ、病歴やワクチン接種の情報などを含めて今後はデータの連携や共有が加速されると予測。また、マイナンバーカードや保険証の連携などもあり、今後は氏名や住所、決済情報、医療情報、調剤情報などが自治体や病院間、研究機関のなかでデータ連携、共有が加速していくと説明する。その意味でも、機密データの取り扱いには十分注意する必要があり、改正個人情報保護法や3省2ガイドラインなども参考にしながら、個人情報に関するデータ保護は自社での責任において厳格に管理していくことが必要だと説明する。

 そんななか、個人情報などの機密データを安全に守っていくには、どのようなポイントに留意する必要があるのだろうか。一般的な機密データを守る場合、ファイアウォールなどを用いた侵入対策やログ監視などによる拡大対策、そしてWAFをはじめとした漏えい対策といった多層防御を行い、データにたどり着く前のそれぞれの壁で承認されないアクセスをブロックしていくのが一般的だ。このなかで、外部対策だけでなく、内部対策としても活用されるデータの暗号化に特化して話を進めていくと説明する。
暗号化は、データを安全に守るための技術として広く普及しており、データを送る側が暗号化し、受け取る側が復号することで、万一途中で盗聴したとしても簡単に解読できないような仕組みであることは知られているところだろう。ただし、暗号化を実施しただけで大丈夫かというと、決してそうは言いきれず、「暗号化したデータが流出しても絶対に解読できないことが最も重要になってくる」と前田は指摘する。

 暗号化したデータを守るためには、大きく3つのポイントがあると説明する。それがDESやAESといった「暗号アルゴリズムの強度」、何で暗号化しているのかという「暗号化モジュールの強度」、そして暗号鍵がしっかり保管されているかどうかという「強固な暗号鍵管理」だ。特に忘れられがちな暗号鍵管理については、暗号データと暗号鍵を分けて保管することが大切だと力説する。もちろん、暗号鍵の管理については、保管だけでなく、生成から保管、配布、利用、そして廃棄までのライフサイクルをしっかり管理する必要があるという。つまり、安全なデータ保護の方法は、データの暗号化とともに、必要な人だけが復号できるアクセス制御、そしてデータ保護のポリシーや鍵の一括管理など統合的な鍵管理が必要になってくる。「これらデータ暗号化やアクセス制御、そして鍵管理を実現するものが、HSMと呼ばれるハードウェア内部に鍵を保管するソリューションになってくる」という。

Thalesソリューション概要

 ここで、データ保護として有効なHSMの代表的なソリューションの1つであるThalesソリューションをベースにしたデータ保護の仕組みについて紹介した。具体的にはThales社が提供するCipherTrustManagerと呼ばれる製品を使ったソリューションで、顧客が保護したいデータの所在に応じてレイヤーごとにデータを保護できる。ここで、よく話題となる3つの想定課題に対して、どのように対策できるのかについて解説した。

 まずCase1では、ストレージのデータ暗号化機能を使っている場合だ。多くの企業で利用されてるストレージには暗号化機能が備わっており、その機能を使っていると回答するケースが多いが、暗号鍵自身は管理されていないことが多い。また、複数のストレージを利用している場合、暗号鍵をそれぞれ管理しなければならず、管理コストも負担が大きい。

 そこで役立つのが、HSMとものKMIP(KeyManagementInterop-erabilityProtocol)と呼ばれるソリューションを組み合わせたものだ。ストレージの暗号化機能で使用している暗号鍵をHSMであるCipher-TrustManagerにてセキュアに管理することができ、KMIPに対応している他社ストレージ製品の暗号鍵も一括管理が可能になる。「CipherTrustManagerによって鍵保管、鍵のライフサイクル・ポリシー管理を一括で行うことで、課題となっている管理コストの削減に大きく貢献する」と説明する。

 Case2では、クラウドサービス事業者にデータを預けている場合だ。業界に限らずクラウドサービスの利用が進んでおり、テレワーク環境でも場所を意識せずに利用できる点がクラウド利用をさらに加速されている現状があることはご存じの通りだろう。ただし、クラウドサービスを利用する場合でも、預けているデータの保護は利用者側の責任となるため、どんなデータをクラウド側に保管しているのか、そのデータが安全に保護されているかどうかをきちんと把握する必要があると説く。ここでも、多くの企業が機密データの暗号化を実施しているものの、暗号鍵の管理にまで意識が及んでいないケースが多い。HSMを利用することで、自分たちで暗号鍵を管理するBYOK(BringYourOwnKey)ソリューションが役立つものになる。CipherTrustManagerとCipherTrustCloudKeyManager(CCKM)を組み合わせることで、各クラウドサービスが提供しているBYOKサービスを活用しながら、HSMにて生成した独自の暗号鍵を用いてクラウドサービスにその独自の鍵を安全な形で転送、定期的な鍵の更新なども含めてライフサイクル管理が一括で可能になるわけだ。「AWSやAzureなどマルチクラウド環境であっても、1台のHSMを使うことで鍵管理が一括で実現できるため、管理コスト軽減につながってくる」。

 そのため、自分たちで鍵管理することでベンダロックインを回避し、各クラウドベンダが提供する鍵管理サービスを利用する際に発生するコストを減らしたいというグローバル企業で多く採用されているという。なお、CCKMにはダッシュボードやレポート機能が備わっており、暗号鍵の使用状況が管理できる点も製品の強みの1つだと説明する。

 Case3では、データベースに暗号化されてない生の機密データが保存されている場合だ。通常はファイアウォールやフィルタリングなどの侵入対策は実施しているものの、内部不正対策にまでは及んでおらず、暗号化によるデータ保護が実施されていないケースも少なくない。

 その場合に有効になるのが、透過暗号と鍵管理のソリューションだ。Thales社が提供する透過暗号エージェントを活用し、データベースやファイルサーバ内の機密データに対して透過的に暗号化することが可能になり、暗号鍵の保護はHSMであるCipherTrustManagerが実施することになる。この透過暗号エージェントでは、ユーザー単位で暗号/復号処理を制御することができるため、社内のメンバーであっても権限がなければ元のデータを閲覧することができない仕組みを構築することが可能だ。

 「悪意のあるデータベース管理者やシステム管理者がデータを搾取しようとしても、暗号化されたままの情報しか出てこないため、内部不正対策に役立つことになる」と前田は説明する。

医療業界での事例とマクニカネットワークスの取り組み

ここで、医療業界における事例について紹介した。1つ目は米国DeltaDental社の事例で、米国の個人情報保護が規定されているHIPPA準拠に向けて、データベースやファイルサーバに保存されている顧客情報の安全な保護を目指しており、既存システムに大きく手を加えずに運用に手間をかけない仕組みの導入だった。そこで選択したのが、Thales社の透過暗号ソリューションだった。導入期間は9か月ながら、手間なく導入でき、ユーザーに影響なく導入できたことが喜ばれた事例だ。

 次に紹介したのが、米国で数百店舗を展開するドラッグストアの事例。膨大な個人情報をファイルサーバに保持していたが、店舗ごとに個別の対策を実施していたことが大きな課題となっていた。セキュリティ対策を統一するにあたって、最小限のコストで顧客情報の保護を検討したという。

 この事例では、透過暗号およびストレージの鍵管理であるKMIPのソリューションで、センターにて鍵管理を一元管理できるようにあったことで、大幅なコスト削減につながっただけでなく、今後の拡張時にもエージェントの導入だけで拡張していくことができたことが大きな効果だったという。

 最後に、マクニカネットワークスでは、顧客ごとに抱えている課題のヒアリングや最適なソリューションの提案を行っている。POCにおける導入、技術支援や販売後の保守サポートも手掛けている。
医療業界においても、センシティブな情報となる個人情報がますます重要度が高まっていくなか、取り扱い次第ではビジネスに大きな影響を与えることになる。適切なデータ保護対策を行うことにより、対策された環境でデータの利活用や共有を行うことでビジネスの発展につなげていくことができると説いた。自社が管理する機密情報のデータ保護対策について課題がある方は、ぜひご相談いただきたいと最後に締めくくった。

関連記事

REPORT,PR

Posted by medit-tech-admin