AWSにおけるHIPAA：要件とベストプラクティス

HIPAAとは何か？

1996年のHIPAA（Health Insurance Portability and Accountability Act：医療保険の 相互運用性と説明責任に関する法律）は、電子的に保護された医療情報（ePHI）の機密性、完全性、および可用性を保護するための米国の規制です。HIPAAには一連の基準と要件が含まれています。このようなデータを扱う組織は、これを遵守しなければなりません。対象事業者と呼ばれる企業とその関連会社は、適切な管理的、物理的、技術的な保護措置が講じられていることを保証しなければなりません。

HIPAAには、プライバシー・ルールとセキュリティ・ルールの2つの主要な構成要素があります。Privacy Ruleは、個人の医療記録と個人健康情報の保護に関する国家基準を定めるものです。セキュリティ規則は、電子的に保存され送信される健康情報を保護するための基準を定めるものです。

AWSはHIPAAに準拠していますか？

アマゾン ウェブ サービス (AWS) は、HIPAAコンプライアンスを必要とするヘルスケアプロバイダーや業務提携先にセキュアなインフラを提供しています。

多くのAWSサービスがHIPAAに対応しており（最新のリストはこちら）、さらにAWSは、アクセス制御、監査、監視機能など、組織がHIPAA要件を満たすのに役立つツールやサービスを提供しています。

AWSのHIPAAへの準拠は、Business Associate Addendum (BAA)によって正式に規定されており、AWSの顧客は、AWS環境でePHIを保管または処理する前に、このBAAを締結する必要があります。BAAは、データの保護に関するAWSの義務を規定し、AWSがビジネスアソシエイトとしてHIPAA基準を遵守することを保証します。ただし、コンプライアンスに関する責任は、AWSとお客様の間で共有されます。

AWSにおけるHIPAAコンプライアンスの主要な側面と要件

業務提携契約（BAA）

ビジネス・アソシエート契約（BAA）は、ePHIを管理するすべての組織にとって、HIPAAコンプライアンスにおける重要な文書です。AWSのサービスを利用する場合、顧客はAWSとBAAを締結する必要があります。この契約は、ePHIの保護と管理に関する両当事者の責任を概説するものです。BAAは、AWSがHIPAA要件を遵守し、コンプライアンス基準を満たす安全なホスティング環境を維持することを保証します。

署名されたBAAがなければ、ePHIの保管や処理にAWSを使用することは合法ではありません。この契約は単なる形式的なものではなく、HIPAAコンプライアンスを確保するためのAWSの役割を定めた法的拘束力のある文書です。

アクセス・コントロール

HIPAAの文脈では、アクセス制御は、許可された担当者のみがePHIにアクセスできることを保証します。AWS Identity and Access Management（IAM）は、AWS環境内で誰がどのリソースにアクセスできるかをきめ細かく制御することを可能にします。ポリシーを適用することで、組織は最小権限の原則に基づいてアクセスを制限し、不正アクセスのリスクを大幅に低減することができます。

IAMでは、詳細なアクセス制御を設定し、ユーザーがそれぞれの役割に必要なアクションのみを実行できるようにすることができます。組織は、運用環境や人員の役割の変化に対応するために、これらのアクセス制御を定期的に見直し、調整する必要があります。

セキュリティ事故の手順

HIPAAは、セキュリティインシデントを効果的に処理する手順を義務付けており、ePHIに影響を与える侵害が迅速かつ適切に管理されることを保証しています。AWSは、組織がセキュリティインシデントを検出し、対応し、解決するのを支援するためのツールやサービスをいくつか提供しています。例えば、AWS CloudTrailとAWS Configは、AWSリソースの使用を監視および監査するのに役立つ詳細なロギングと構成追跡を提供します。

インシデント対応には、侵害への対処方法を規定する事前定義されたポリシーが含まれます。組織は、セキュリティ・インシデントが発生した場合の役割、責任、行動を明確にしたインシデント対応計画を確実に策定しなければなりません。

トランスミッション・セキュリティー

伝送セキュリティは、HIPAA のもう一つの要件であり、ネットワークを介した伝送中に ePHI が保護されることを保証します。AWSは、HTTPS、VPN、専用直接接続など、安全なデータ伝送のための複数のメカニズムをサポートしています。これらの手段は、転送中の傍受、改ざん、不正アクセスからデータを保護します。

転送中のデータを保護することは、中間者攻撃を防ぎ、システム間の通信中に機密情報が漏洩しないようにするために不可欠です。AWSの暗号化メカニズムは、業界標準のプロトコルを活用し、高レベルのセキュリティを保証します。組織は、エンドツーエンドのセキュリティを維持するために、AWSサービスとインフラの他のコンポーネント間のトラフィックを暗号化するためにこれらのツールを使用する必要があります。

データ暗号化

データの暗号化は、ePHIの機密性と完全性を維持するために不可欠です。AWSは、静止データと転送中のデータの両方に暗号化オプションを提供しています。AWS Key Management Service (KMS)のようなサービスにより、組織は暗号鍵を簡単に作成・管理することができ、AWSに保存されたデータの暗号化を容易にすることができます。

暗号化することで、許可された担当者のみがデータにアクセスできるようになります。暗号化されたデータが傍受されたり、許可なくアクセスされたとしても、正しい復号化キーがなければ役に立ちません。

データのバックアップとリカバリー

HIPAA規制では、ePHIをバックアップし、データ損失事故後に復旧できるようにすることが義務付けられています。AWSは、AWSサービス全体のデータバックアップを一元化して自動化するAWSバックアップなど、複数のバックアップソリューションを提供しています。これらのバックアップにより、不慮の削除、破損、ランサムウェア攻撃などが発生した場合でも、データを迅速に復元することができます。

データのバックアップとリカバリ戦略を持つことは、データ損失事故から保護し、医療業務の継続性を確保するために不可欠です。バックアップとリカバリの手順を定期的にテストすることは、これらのプロセスが必要なときに意図したとおりに機能することを確認するために必要です。AWSは、バックアップ保持ポリシーをカスタマイズし、バックアップライフサイクルを自動化するための様々なオプションを提供しています。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、AWSにおけるHIPAAコンプライアンスを向上させるためのヒントを紹介します：

ePHIの発見と分類にAmazon Macieを活用：Amazon Macieを使用して、S3バケット内のePHIのような機密データを自動的に発見、分類、保護します。これにより、ePHIがどこに保存されているかを把握できるだけでなく、適切な保護対策が講じられていることを確認できます。

アクセス認証情報の管理にAWS Secrets Managerを活用：AWS Secrets Managerを使用して、APIキーやデータベースパスワードなどのアクセス認証情報を安全に管理し、ローテーションします。これにより、認証情報がハードコードされたり、管理されないまま放置されたりすることがなくなり、ePHIへの不正アクセスのリスクが低減します。

プライベート接続のためのVPCエンドポイントの実装：VPCエンドポイントを使用して、Amazonネットワークを離れることなくAWSサービスに接続します。これにより、公衆インターネットへの露出が制限され、攻撃対象が減少し、転送中のePHIデータの安全性が向上します。

定期的な侵入テストと脆弱性評価の実施：特にAWS環境に焦点を当てた定期的な侵入テストと脆弱性評価を予定し、ePHIを不正アクセスにさらす可能性のある潜在的な弱点を特定し、緩和します。

AWS Service Catalogを使用して、コンプライアンスに準拠した構成を標準化：AWS Service Catalogを使用して、事前に承認されたHIPAA準拠の構成のカタログを作成します。これにより、コンプライアンスに沿った一貫したリソースのデプロイが可能になります。

AWSにおけるHIPAAコンプライアンスのベストプラクティス

AWSでHIPAA適格サービスを利用する

AWSは、特定のサービスをHIPAA適格サービスとして指定しています。これは、準拠した方法でePHIを保存、処理、送信するように構成できることを意味します。HIPAA適格サービスの例としては、Amazon S3、Amazon RDS、Amazon EC2などがあります。

アプリケーションを設計・展開する際には、ePHIの取り扱いにHIPAA適格サービスのみを使用することを確認することが不可欠です。AWSは、これらのサービスを安全に構成するためのドキュメントとガイダンスを提供し、必要なコンプライアンス基準を満たしていることを保証します。

AWS IAMを使用した厳密なアクセス制御の実装

AWS Identity and Access Management（IAM）を使用して厳格なアクセス制御を実装することは、HIPAAコンプライアンスに不可欠です。IAM ポリシーは、最小特権の原則を遵守し、役割と責任に基づいてユーザーのアクセスを制限する必要があります。このアプローチにより、ePHIへの不正アクセスのリスクを最小限に抑えることができます。

IAM ポリシーが現在の組織のニーズに合致していることを確認するためには、定期的な監査が必要です。不要な権限を取り消し、アクセス変更の詳細なログを維持することで、セキュリティとコンプライアンスが強化されます。AWSは、IAM Access Analyzerのようなツールを提供し、アクセス構成をアクティブに監視し、検証するのに役立ちます。

AWS Backupによる自動バックアップの実装

自動化されたバックアップソリューションは、データの回復力を確保し、HIPAAのデータバックアップ要件を遵守するために不可欠です。AWS Backupは、AWSサービス全体のバックアップを一元管理するサービスを提供し、バックアップのスケジューリング、保持、ライフサイクル管理を自動化します。

バックアップとリカバリの手順を定期的にテストすることで、障害時にデータを迅速に復元できることを確認します。AWSの自動化されたソリューションは、バックアップの一貫性と最新性を保証し、手動による介入を減らし、データの完全性とHIPAAコンプライアンスを損なう可能性のあるエラーの可能性を低減します。

AWS Config Rulesを使用してHIPAAポリシーへのコンプライアンスを強制する

AWS Config Rules は、AWS リソースの構成を継続的に監視および評価することで、HIPAA ポリシーへの準拠を自動的に実施することを可能にします。これらのルールは、構成が準拠状態から逸脱した場合にアラートや修正アクションをトリガーし、セキュリティとコンプライアンスの維持を支援します。

AWS Config Rules を使用することで、企業はコンプライアンス態勢をプロアクティブに管理できます。自動化されたコンプライアンスチェックと修正アクションにより、非準拠リソースの監査と修正に必要な時間と労力が削減され、HIPAA 標準の継続的な遵守が保証されます。

ログとモニタリングにAWS CloudTrailとCloudWatchを使う

ロギングとモニタリングは、HIPAAによって義務付けられているように、セキュリティインシデントを検出し、対応するために重要です。AWS CloudTrailとCloudWatchは、AWSアカウントのアクションとリソースの使用に関する詳細なアクティビティログを取得する、ロギングとモニタリングの機能を提供します。

これらのサービスを活用することで、組織はインシデントの調査やコンプライアンスの証明に不可欠な活動の監査可能な証跡を維持することができます。不審なアクティビティに対するアラートを設定し、定期的にログを確認することで、潜在的な侵害を特定し、迅速に対処することができ、ePHIを保護することができます。

ExabeamによるHIPAAコンプライアンス

HIPAA のコンプライアンス違反は、OCR による多額の罰金やその他の結果を招く可能性があります。パッチ管理、アクセス制御、および監視が適切なソリューション・スタックで完全に実装されていない場合、組織はランサムウェアや患者ケアに影響を与える可能性のあるその他の攻撃ベクトルに対して脆弱な状態になります。

Exabeam Fusion Enterprise Edition Incident Responderテレメトリーは、ログとコンテキスト、セキュリティ・インテリジェンス・フィード、AI分析を組み合わせて、潜在的な攻撃を示す異常な行動を特定します。あらかじめ構築されたダッシュボードにより、HIPAA コンプライアンスのレポートが容易になります。NISTやMITRE ATT&CK ^Ⓡのようなフレームワークを使用しているかどうかにかかわらず、Exabeamはコンプライアンスとガバナンスのニーズを追跡するための明確なパスを提供します。

Outcomes Navigatorは、検出範囲と改善点の継続的な可視化と洞察を提供し、ログの解析における改善の提案を行うだけでなく、どのソースと検出がATT&CKフレームワークのどの部分に対して最も効果的であるかを示し、ネットワーク侵入、永続性、および横方向の移動を最も示すユースケースを示します。