カテゴリー別アーカイブ: CSA関西

医療におけるAI利用とクラウド(前編)

コメントをどうぞ

医療は、人工知能(AI)の有望な利活用領域として期待されており、世界各国・地域が積極的な研究開発投資を行っている。クラウド環境を利用したAIアルゴリズムの開発や、臨床現場向け診断・治療支援ソリューションの提供・運用も拡大しつつあるが、バイアス、倫理、法務、セキュリティ、プライバシーといったリスク課題も抱えている。

米国政府が積極的に推進する医療AI

米国の医療分野では、2019年2月11日に制定された「人工知能(AI)分野における米国の優位性を維持し一層促進するための大統領令」に基づき、保健福祉省(HHS)が、2021年1月に「人工知能(AI)戦略」を発表し、チーフAIオフィサー室(OCAIO)を新設している。

同戦略では、AIについて、「日常的なタスクを自動化し、データに基づく洞察を引き出し、人間行動を拡張させることができるソリューションを提供するために、通常は人間のインテリジェンスを要求するようなタスクを遂行できるコンピュータシステムの理論および開発」と定義している。その上で、HHSは、アカデミアや産業界、政府機関のパートナーとともに、AIを活用して、米国の人々の健康・ウェルビーイングにおける進化を継続的に先導することによって、従来解決できなかった課題を解決し、保健福祉サービスのエコシステムにわたるAI利用に対応し、部門を越えた信頼できるAI採用をスケーリングすることを目標に掲げている。 続きを読む

医療クラウドにおけるランサムウェア攻撃予防対策(後編)

コメントをどうぞ

前編はこちら

NISTの「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.1版」(日本語訳:https://www.ipa.go.jp/files/000071204.pdf)では、フレームワーク・コアの機能(Function)として、「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」を定義している。以下では、CSAが各機能ごとに整理した、医療クラウドならではのマルウェア対策上の留意事項を紹介する。

特定(Identify):

  • 資産、ビジネス環境、ガバナンス、リスク管理、サプライチェーンの特定は、医療機関のサイバーセキュリティプログラム構築の基盤となる。医療機関がクラウド上にデータを保存する場合、ランサムウェア攻撃被害の復旧対策上、データがどこに保存され、その場所でどんな規制が適用されるかを把握しておかないと、データ損失の事態を招きかねない。そのためには、すべての文書や手順、プロセスを確実に文書化しておくことが求められる。

続きを読む

医療クラウドにおけるランサムウェア攻撃予防対策(前編)

コメントをどうぞ

医療機関を標的にしたランサムウェア攻撃対策に関連して、クラウドセキュリティアライアンスのヘルス・インフォメーション・マネジメント・ワーキンググループ(HIM-WG)は、2021年9月に「医療クラウドにおけるランサムウェア」(https://cloudsecurityalliance.org/artifacts/ransomware-in-the-healthcare-industry/)を公開している。この文書は、医療クラウド上で拡大するランサムウェア脅威に対して、医療機関が、NISTサイバーセキュリティフレームワークに準拠しながら取組むべきリスク低減策を紹介することを目的としている。

米国MITREが医療ランサムウェア対策支援ポータルを開設

医療機関を標的にしたランサムウェア被害が続出する米国では、2021年3月2日、連邦政府の支援を受けた非営利団体MITREが、ランサムウェア対策支援センター「Health Cyber」(https://healthcyber.mitre.org/)を公開Web上に開設したことを発表している。

Health Cyberは、医療機関の経営管理部門、臨床技術部門、IT/セキュリティ実務家の3つのカテゴリーに合わせたコンテンツ作成・発信を行っている点が特徴である。たとえば、経営管理部門向けには、以下のようなメニュー構成の情報発信を行っている。

  • ランサムウェアに関する学習
  • 感染回避のためのスタッフ向けトレーニング
  • サイバー対応計画の評価
  • サイバーセキュリティ業務の評価
  • 敵対者の理解

続きを読む

クラウドにおける遠隔医療のデータリスク管理

コメントをどうぞ

クラウドにおける遠隔医療のデータリスク管理

英語では、「遠隔医療」を意味する単語に、「Telemedicine」と「Telehealth」がある。前者は、ICTを活用した臨床診断やモニタリングなど、狭義の遠隔医療を指しているのに対して、後者は、臨床医療に限らず、健康増進や介護福祉など、幅広いサービスを包含するような広く定義を有しており、遠隔で医療提供者を患者につなげるために、キオスクや、webサイトモニタリングアプリケーション、モバイルフォン、ウェアラブル機器、ビデオ会議などの革新的な技術を利用する。

ここでは、「遠隔医療」について、情報通信技術を活用した健康増進、医療、介護に資する行為と定義する。遠隔医療を大別すると、専門医師が他の医師の診療を支援するDoctor-to-Doctor(D2D)分野と、医師が遠隔地の患者を診療するDoctor to Patient (D2P)分野が含まれる。

在宅医療の普及に伴い、D2P分野の研究開発が急展開してきたが、新型コロナウイルス感染症(COVID-19)緊急対応下における外来診療の代替手段として一気にニーズが高まり、米国政府の「コロナウイルス支援・救済・経済保障(CARES)法」に基づく遠隔医療推進目的の経済インセンティブ施策が追い風となっている。

サイバーセキュリティの領域では、米国立標準技術研究所(NIST)傘下の国立サイバーセキュリティセンターオブエクセレンス(NCCoE)が、遠隔患者モニタリング(RPM)など、遠隔医療機能を活用する医療提供組織(HDO:Healthcare Delivery Organization)が直面するセキュリティ/プライバシーリスクの研究に取り組んでいる。具体的な活動としては、2021年5月6日に「NIST SP 1800-30 遠隔医療の遠隔患者モニタリングエコシステムのセキュア化」草案第2版 (https://csrc.nist.gov/publications/detail/sp/1800-30/draft) などを公開している。 続きを読む

医療におけるブロックチェーン利用

コメントをどうぞ

2021年3月4日、米国のモデルナとIBMは、ブロックチェーン技術を利用して、新型コロナウイルス感染症(COVID-19)ワクチンのサプライチェーンおよび輸送データの共有における連携する計画を発表した。このような医療分野のブロックチェーン利活用に向けた動きは、医療機関や保健医療行政機関、医療保険者の間でも本格化している。

医療機関から見たブロックチェーン技術の機能と特徴

医療ブロックチェーンに関連して、クラウドセキュリティアライアンスのヘルス・インフォメーション・マネジメント・ワーキンググループ(HIM-WG)は、2021年7月、ブロックチェーン技術を利用する医療機関を対象として、「医療におけるブロックチェーン利用」(https://cloudsecurityalliance.org/artifacts/the-use-of-blockchain-in-healthcare/)を公開している。同文書は、以下のような構成となっている。

・イントロダクション
・ブロックチェーン
・全般
・研究
・サプライチェーン
・財務管理
・施設・エネルギー管理
・遠隔医療
・患者管理
・医療のケースにおけるブロックチェーン
・ディスカッション
・結論 続きを読む

クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理(後編)

コメントをどうぞ

(前編)はこちら

医療ビッグデータライフサイクルとGDPRに準拠したプライバシー保護

次に本文書では、以下の6つのステージから成るクラウド環境のデータライフサイクルを提示している。

  1. 生成(Create):データが生成、獲得、修正される
  2. 保存(Store):データがストレージレポジトリに委ねられる
  3. 利用(Use):データが他の種類の活動で処理、閲覧、利用される
  4. 共有(Share):データや情報が他にアクセス可能なようにする
  5. 保管(Archive):データが長期ストレージに置かれる
  6. 破壊(Destroy):データが必要でなくなった時、物理的に破壊される

その上で、プライバシーの定義について、情報の適正なアクセス、利用、変更に関する意思決定に関係したものであり、誰が適正に情報にアクセスし変更すべきかを決定するフレームワークを確立するものとしている。

患者のプライバシーに対する侵害は、情報システムに対する持続的標的型(APT)攻撃や標的型攻撃の出現とともに、医療ビッグデータ分析における重大な課題と認識されている。医療ビッグデータの価値は、個人情報の収集に関連していることが多く、その結果が個人によく理解されていない可能性がある。従って、ビッグデータのベネフィトを享受すると同時に、各個人のプライバシーを保護することが必須の課題となる。また、プライバシー保護に際しては、個人の選択権を認めると同時に、効果的なリスク低減策を提供する必要がある。

特に、欧州連合(EU)の一般データ保護規則(GDPR)は、EUのデータ主体の個人データが保護されていることを保証し、個人データに対するEUのデータ主体の権利が拡大することを目的としている。EUのデータ主体のデータを収集、処理、保存する企業は、企業のロケーションに関わらず、GDPRを遵守しなければならない。ライフサイクル全体を通したデータ管理は、GDPR遵守に必要なだけでなく、米国の「医療保険の相互運用性と説明責任に関する法律(HIPAA)」で規定された保護対象保健情報(PHI)の要求事項をクリアするためにも有効だとしている。

また、企業に対しては、ユーザーの情報を利用目的・方法などについて説明したプライバシーポリシーを設定することが求められる。本文書では、以下のような点に留意するよう推奨している。

  • 企業およびその代表者の連絡先詳細が含まれる
  • 企業がデータを収集する理由を記述する
  • どれだけの期間、情報がファイルに保持されるかを述べる
  • ユーザーが有する権利を説明する
  • 簡単な言語で文書化する
  • 個人データの受取人の名前を明記する(企業が他組織とデータを共有する場合)

NISTプライバシーフレームワークを活用したデータリスク管理

本文書では、前述のデータライフサイクルのうち「共有」に関連して、異なる組織との間でデータが共有される方法を記述した「データ処理エコシステム」を取り上げている。このエコシステムは、複雑で多方向的な関係性を持った主体や役割から構成されており、責任共有モデルのベースとなる医療機関・クラウドサービスプロバイダー間の正式な同意書/契約書の締結が不可欠だとしている。

その上で、米国立標準技術研究所(NIST)プライバシーフレームワーク1.0版を利用したリスク管理手法を紹介している。同フレームワークでは、共通のプライバシーリスク対策の「コア」、組織が行うプライバシーリスク対策の「As Is(Current)」と「To Be(Target)」をまとめた「プロファイル」、プライバシーリスクへの対策状況を数値化し、組織を評価する基準である「インプレメンテーション・ティア」が基本概念の柱となっている。

コア機能には、「特定(Identify-P)」、「統治(Govern-P)」、「制御(Control-P)」、「通知(Communicate-P)」、「防御(Protect-P)」があるが、ここでは、特定(Identify-P)機能のうち、「ID.DE-P:データ処理エコシステム・リスクマネジメント」に従って、エコシステム内のプライバシーリスクを特定、評価、管理するプロセスを導入している。

データ処理エコシステム・リスクマネジメントとは、組織の優先順位付け、制約、リスクの許容範囲、仮定で、データ処理エコシステム内におけるプライバシーリスクおよびサードパーティの管理に関連するリスク意思決定を支援するために設定・利用されるものであり、以下のようなサブカテゴリーから構成される。

  • ID.DE-P1: データ処理エコシステム・リスクマネジメントのポリシーやプロセス、手順が、組織のステークホルダーによって特定、確立、評価、管理、同意される
  • ID.DE-P2: プライバシー評価プロセスを利用して、データ処理エコシステムの主体(例.サービスプロバイダー、顧客、パートナー、製品メーカー、アプリケーション開発者)が特定、優先順位付け、評価される
  • ID.DE-P3: 組織のプライバシープログラムの目的を満たすように設計された適切な遺作を展開するために、データ処理エコシステム主体との契約が利用される
  • ID.DE-P4: データ処理エコシステムのプライバシーリスクを管理するために、相互運用性フレームワークまたは同様のマルチパーティ手法が利用される
  • ID.DE-P5: 契約、相互運用性フレームワークまたはその他の責務を満たしていることを確認するために、監査、テスト結果またはその他の評価形態を利用して、データ処理エコシステム主体が日常的に評価される

プライバシーには、誰が情報にアクセスし、利用し、変更できるかに関する意思決定が含まれており、それに従って、セキュリティの選択肢や条件が展開される。セキュリティは、情報とプライバシーの間のインタフェースとなり、プライバシー権を推進して実行に移す役割を果たす。

医療機関は、大容量のデータを保存、処理、共有しており、医療産業を支援するためにビッグデータ分析で利用されている。データは重要な資産であり、データのセキュリティを維持し、医療の責務を遵守するために、医療機関は、セキュリティソリューションを展開する必要がある。米国では、HIPAAに加えて、連邦取引委員会(FTC)が所管する個人識別情報(PII)に対するセキュリティ要件も満たす必要がある。

サーバーレス環境の医療ビッグデータ基盤のリスク管理

2018年7月24日、米国立衛生研究所(NIH)は、商用クラウドサービスプロバイダーと提携して、生体医学の進歩を加速させるために、大規模生体医学データセットにアクセスして計算処理を行う際の経済的・技術的障害を取り除くことを目的とする「発見・実験・持続可能性のための科学技術研究インフラストラクチャ(STRIDES)イニシアティブ」を発表し、第一弾としてGoogle Cloudとの戦略的提携をスタートさせた(NIHプレスリリース参照(https://www.nih.gov/news-events/news-releases/nih-makes-strides-accelerate-discoveries-cloud))。その後NIHは、同年10月23日、Amazon Web Service (AWS)との戦略的提携を発表し(NIHプレスリリース参照(https://www.nih.gov/news-events/news-releases/amazon-web-services-joins-nihs-strides-initiative-harness-latest-cloud-technologies-biomedical-researchers))、さらに2021年7月20日には、Microsoft Azureとの戦略的提携を発表している(NIHプレスリリース参照(https://www.nih.gov/news-events/news-releases/nih-expands-biomedical-research-cloud-microsoft-azure))。

これらの医療ビッグデータベースには、サーバーレスなど最新鋭のクラウドネイティブ技術が実装されており、実際にビッグデータ分析を利用する医療エコシステムにも、位相高度なプライバシー/セキュリティリスク管理策が要求されつつある。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司

クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理(前編)

コメントをどうぞ

医療ビッグデータセキュリティに関連して、クラウドセキュリティアライアンスのヘルス・インフォメーション・マネジメント・ワーキンググループ(HIM-WG)は、2020年7月に「クラウドにおける医療ビッグデータ」(https://cloudsecurityalliance.org/artifacts/healthcare-big-data-in-the-cloud/)を公開している。この文書では、新型コロナウイルス感染症(COVID-19)対応下の医療分野におけるビッグデータのユースケースを紹介した上で、クラウド環境におけるプライバシー保護/セキュリティ管理策を整理している。

ビッグデータの特徴と分析機能

本文書では、まずビッグデータについて、従来の手法を利用して処理することが難しい大規模なデータ容量と定義し、以下の通り、6つのビッグデータの特徴(6Vs)を挙げている。

容量(Volume):生成されたデータのサイズは通常膨大で、1ペタバイト以上の容量になる。医療においては、電子健康記録(EHR)だけで大容量のデータとなる。加えて、このデータは、新たなテストデータとして導入される度に変更することができ、国際疾病分類(ICD)コードのようなものが更新される。

  • 速度(Velocity):データユーザーが、データにアクセスし、分析することができる速度。医療においては、医療提供者がタイムリーな方法で、データを交換・利用できるようにするために、速度が必要である。
  • 多様性(Variety):構造化、半構造化、非構造化など、データの種類。医療は、マルチメディア、ソーシャルメディア、金融取引など、多様なデータソースを有している。
  • 正確性(Veracity):生成されたデータの品質。生死に関する意思決定は正確な情報に依存するため、医療データは、適切で、信頼性があり、エラーのないものでなければならない。
  • 価値(Value):既存データの分析から得られる価値であり、ビッグデータの最も重要な側面である。現段階では、医療データの価値は、大半が研究に限定されている。
  • 可変性(Variability):時を超えたデータの一貫性に関することとみなされる。

そして、医療ビッグデータの基本的な分析機能として以下の4つを挙げている。

  1. 記述的分析:医療に関する意思決定を理解し、新たな情報に基づく意思決定を行うために、データを検証する。そのモデルは、有益な情報を抽出するために、データをカテゴリー化、特定、結合、分類するのに利用することができる。
  2. 予測的分析:将来を予測するために推定可能な関係性のパターンを特定する目的で。古いまたは要約された医療データを検証する。医療データに隠れたパターンを特定して、医療リスクを予期し、患者に関するアウトカムを予測し、健康関連サービスを向上させるために、データマイニングを利用することができる。
  3. 処方的分析:多くの代替手段を含む課題を解決し、記述的/予測的分析を実行不可能にするために、情報や健康医療知識を利用する。
  4. 発見的分析:データから未知の事実を特定し、将来を向上させるために、知識に関する知識を利用する。新しい病気や病状、医薬品、治療法を発見するのに役立てることができる。

台湾に学ぶ医療ビッグデータにおける予測的分析の有効活用

医療ビッグデータの代表的なユースケースとして、電子健康記録(EHR)がある。電子健康記録には、病歴や検査画像結果、人口統計などの情報が含まれており、各患者の変更状態および医療記録を継続的に追跡して、検査の重複および関連する費用を削減する役割を果たす。

また、医療機関の電子健康記録は、クラウド上にある地域医療情報連携ネットワークに接続され、すべての医療機関が患者情報にアクセスできるようになっている。消費者中心の環境への医療の移行とともに、電子健康記録のデータを、継続的に患者データをクラウドに送信するウェアラブル機器と連携させて、院内の処置を削減し、費用のかかる入院を回避することも可能となっている。さらに、一般住民の健康状態を評価し、パターンを特定するために、ビッグデータを利用することも可能である。

このように、医療機関のIT化や地域医療情報連携ネットワークの整備が進んだところでは、医療ビッグデータ利活用のユースケースが生まれている。たとえば、台湾の新型コロナウイルス感染症(COVID-19)パンデミック対応時には、公衆衛生当局が、旅行歴や臨床症状に基づいたビッグデータ分析を利用し、迅速な対応に当たっている。加えて、フライト情報や旅行歴に基づいて感染症リスクを分類し、リスクの低い患者に対しては入国審査を許可する一方、リスクの高い患者に対しては、自宅で隔離し、潜伏期間中はモバイルフォン経由で追跡する措置をとるなど、データに基づく意思決定を行っている。

台湾のケースは、予測的分析をうまく活用しながら、早期認識や日々のブリーフィング、健康メッセージにより、迅速・正確で透明性のある疫学情報を提供することによって、社会が迅速な危機への対応を実現し、パンデミック期の市民の利益保護を確実なものにする方法を示している。

(後編は後日公開)

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司

クラウド接続した医療機器のサイバーセキュリティ対策

コメントをどうぞ

医療機器サイバーセキュリティに関連して、クラウドセキュリティアライアンスのヘルス・インフォメーション・マネジメント・ワーキンググループ(HIM-WG)は、2020年3月に「クラウドに接続した医療機器のためのリスク管理」(https://cloudsecurityalliance.org/artifacts/managing-the-risk-for-medical-devices-connected-to-the-cloud/)を公開している。この文書は、患者への近接性(Proximity)に基づいて、クラウドに接続した医療機器のリスク管理という考え方を提示し、医療機器向けのクラウドコンピューティング利用におけるセキュリティ強化のためのプラクティスを紹介することを目的としている。

医療機器と患者の近接性で異なるセキュリティ責任共有モデル

HIM-WGは、機器と患者の近接性を表す隔たりの程度について、機器が患者と相互作用する方法に基づいており、機器が埋め込まれているか、完全に分離しているかによって、以下の0~5の段階を設定している。

・段階0=機器が患者に埋め込まれている
(機器サポート責任:ベンダーおよび/または医師・医療スタッフ)

・段階1=機器が患者に接触する
(機器サポート責任:ベンダーまたは臨床工学)

・段階2=機器は患者に接触しないが、患者の生命兆候または体液、データを測定する
(機器サポート責任:ベンダーまたは臨床工学)

・段階3=機器は患者に接触しないが、適切な患者診断に重要なことを行う可能性がある
(機器サポート責任:ベンダーまたは臨床工学)

・段階4=機器は患者から離され、診断/臨床機器よりも運用ツールである
(機器サポート責任:ベンダーまたはIT)

このように、患者との近接性によって、医療機関側の機器サポート責任が異なる点が、医療機器サイバーセキュリティの特徴である。

早期段階からの文書化がセキュリティリスク管理の要

次に、本文書では、医療機器セキュリティライフサイクルの観点から、「調達前」、「調達後/展開前」、「展開/運用管理」、「使用停止/廃棄」の各ステージを挙げている。

このうち「調達前」ステージでは、以下の通り、医療機器サイバーセキュリティに関する文書化について、米国食品医薬品局(FDA)の医療提供組織向け推奨事項を挙げている。

1.機器に関連するサイバーセキュリティリスクについてのハザード分析、低減、設計上の考慮事項

2.考慮されたリスクに対するサイバーセキュリティコントロールに紐付いたトレーサビリティのマトリックス

3.機器ライフサイクルを通して、検証済の更新やパッチを提供するための計画

4.ソフトウェアの完全性を保証するのに適切なセキュリティコントロールの概要

5.サイバーセキュリティコントロールに関する仕様を含む指示

個々の文書は、医療提供組織が機器調達に関するリスクベースの意思決定を行うために必要な情報を提供するが、実際の機器調達に際しては、これらのセキュリティ要求事項を契約書に盛り込む必要がある。

次に、「調達後/展開前」ステージでは、医療提供組織のネットワークやクラウドに接続する前に要求される機器テストの手法として、以下のようなアプローチを推奨している。

1.構成のレビューや、調達前評価の間に収集した構成情報の検証:文書には、すべての相互接続とデータフローダイアグラムに関する一覧表が含まれる。

2.利用するすべての公開ポートおよびプロトコルを特定するための「Nmap」のスキャン:「Nmap」は、オープンソースのネットワーク探索・監査ツールである。

3.「Nessus」や「Qualys」のような製品を利用した脆弱性スキャン:

4.構成スキャン:

5.ペネトレーションテスト:発見した脆弱性を有効活用するために、セキュリティエンジニアは、侵害された機器からのインストール、マルウェア、検索、ダウンロードなどのデータや、機能無効化の試みについて調査すべきである。

アイデンティティ/アクセス管理と信頼性保証は共通の難題

さらに、「展開/運用管理」では、患者との近接性を表す0~5の段階に応じて、様々な医療機器を管理する手法を概説している。

「段階0」の埋め込み医療機器をインターネット/クラウドに接続する場合、埋め込み機器に加えて、インターネット/クラウドに接続するベースステーションおよびそれに接続する中間機器など、複数の機器が使用されるため、個々の機器ごとに、アップグレードやパッチ当てを実行する必要がある。

ただし、医療提供組織が、これらの全テストを完了し、すべての脆弱性を低減したとしても、以下のような課題が残る。

1.個々の機器は、どのようにして、アイデンティティ/アクセス管理を遂行するか?
2.医療提供組織は、どのようにして、発見された追加的な脆弱性が是正されたかを保証するか?

これらアイデンティティ/アクセス管理や信頼性保証は、他の1~5の段階に該当する機器にも共通する課題であるが、解決は容易でない。

最後に、本文書では、以下のような推奨事項を挙げている。

・リスク評価やセキュリティレビューを実施したら、認証に関する機器の機能を強化する
・証明書が機器の真正性を裏付ける場面では、PKI(公開鍵インフラストラクチャ)を利用する
・医療機器における信頼レベルを保証するデジタル証明書と、インフラストラクチャをモニタリングするアプリケーションを組み合わせて、資格のない機器へのアクセスを特定し、防止する
・ユーザーのスマートデバイス経由でインターネット/クラウドに接続する医療機器には、多要素認証(MFA)を導入する
・認証機能のない医療機器の場合、認証ゲートウェイを使用する
・継続的モニタリングにより、医療提供組織およびクラウドプロバイダーの双方が望ましいセキュリティ動態を維持していることを保証する
・医療提供組織は、CASBを活用して、どの機器がクラウドに接続しているか、どのデータがクラウドに送信されているか、データが送信されているのはどのクラウドプロバイダーかを把握する
・医療情報保護など、すべての規制上の要求事項を充足していることを保証する
・クラウドセキュリティアライアンスの「クラウドコンピューティングの重大脅威」を参照する

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司

FY21 CSA関西活動計画

コメントをどうぞ

今期のCSA関西の活動は、「ヘルスケア」をメインテーマとして活動をしてまいります。

皆さんご存じの通り、ウェルネスへの注目はますます高まり、また、デジタルを活用した「デジタルヘルスケア」も非常に進んできています。これらの状況も含めて、DX推進における、ウェルネス、ヘルスケアは、デジタルによって大きく変わる分野になるでしょう。

ヘルスケアのデジタル活用の課題
デジタルを活用する事により、ヘルスケアの分野が大きく進化する事は期待が持てますが、課題も多くあります。

・クラウド上の膨大なヘルスケアデータの管理
デジタル化に伴い膨大なバイタルデータ含む個人情報を扱う事になります。 それらの膨大なデータはおそらくクラウドを中心に管理される事になります。

・デバイスのインターネット接続によるサイバー攻撃のリスク
また、今まではインターネットに接続されていなかった、各種医療機器や医療情報を取り扱う端末が、インターネット接続される事による、サイバー攻撃のリスクも大きくなります。

・セキュリティ人材
別の側面として、人の課題もあります。従来クラウドセキュリティやサイバーセキュリティを専門としていなかった、医療システム開発エンジニアや医療機器開発エンジニアの方の、これらの分野の知識の向上が急務になります。

・参入ベンダーのヘルスケアガバナンス
加えて、ヘルスケア業界に参入される、システム開発、機器ベンダーの方々が、ヘルスケアにおけるガイドライン、ガバナンスを理解、習得する必要もあります。

CSA関西のヘルスケアにおける活動
上記の課題を、CSA関西の活動を通じて少しでも解決に向けてご支援ができればと考えて今期の活動を計画しています。

CSA関西のヘルスケア今期活動予定
今期の活動予定として、下記の6つのテーマに関する、ブログの発信と勉強会をセットで実施をいたします。また、勉強会については、下記のテーマに加えて毎回、関連の団体、企業、ベンダーの方にもお話いただけるセッションを合わせて実施する予定です。

デジタルヘルスケア全般およびセキュリティ対策にご興味のある方はどなたでも、是非今後の活動にご注目いただき、ブログをご覧いただき、勉強会にもご参加ください。
また、ご参加に限らず、是非ご一緒に情報の発信や上記課題解決に向けた活動を実施していきましょう。

お問い合わせ:
クラウドセキュリティアライアンス関西支部
運営チームリーダー
夏目道生

CSAジャパン関西支部、ついにキックオフ!(後編)

コメントをどうぞ

CSAジャパン関西支部、ついにキックオフ!(後編)

―働き方改革/CSA Japan Summit 2019:Recap/今後の展望―

CSAジャパン運営委員 有田 仁
2019年8月29日

  • 講演プログラム報告
  • 関西支部キックオフセミナープログラムは以下3名の講師による講演で構成された。
    1. 【基調講演】「今後のデータ政策の展開とクラウドサービスの安全性評価について」

    経済産業省 商務情報政策局 情報経済課 課長補佐 関根 悠介氏

    1. 「CSAジャパン関西支部の立ち上げにあたり」

    一般社団法人日本クラウドセキュリティアライアンス 業務執行理事 諸角 昌宏

    1. 「CSA Japan Summit 2019: Recap」

    一般社団法人日本クラウドセキュリティアライアンス 運営委員 有田 仁(※本レポート筆者)

    本稿後編では、上記講演プログラム2(CSAジャパン関西支部の立ち上げにあたり)、同3(CSA Japan Summit 2019: Recap)に関する所感報告、及び関西支部の標榜する今後の展望について以下に述べる。

    1. CSAジャパン関西支部の立ち上げにあたり」(一般社団法人日本クラウドセキュリティアライアンス 業務執行理事 諸角 昌宏)

     

  • 関西支部の立ち上げにあたり、CSAジャパン事務局長/業務執行理事である諸角氏より参加者(関西ユーザー)へあらためて、グローバル団体であるCloud Security Allianceとその日本支部であるCSAジャパンについて、事業内容や各WG活動に関する詳細説明が行われた。これらの具体的な内容は下記に付したURLから公開資料を参照願うものとし、本稿ではとりわけ、スライドの締めくくりで提言された「働き方改革とCSAジャパン」と題されたテーマを取り上げたい。フォーチュン500(S&P 500)企業に関して、半世紀前の1965年時点では「約75年」であった企業の平均寿命は、近年(2015年時点)ではわずか「15年」を切っているという(図1/参考:https://bizzine.jp/article/detail/2601)。我が国のビジネス環境においても終身雇用の崩壊が叫ばれて久しいが、「働ける年数」の側面からみて、「一つの会社」に閉じず、寄りかからず、オープンな「場」で第2、第3のキャリアを考えるべき時代に突入しているといえる。もう一つの側面に、デジタル・トランスフォーメーションの推進で浮き彫りとなる「働き方改革の本質」がある。デジタル・トランスフォーメーションの進行やAIの台頭によって今後仕事のあり方は二極化し、近視眼的に単純作業に埋没する人間は淘汰され、主体的に変化へ対応し大局的に新たな価値創造を主導できる人間が求められる。

 

  • 図1:S&P500企業の平均寿命     図2:CSAジャパンWG活動Webページ
  • (出典:図1・2とも諸角昌宏氏「CSAジャパン関西支部立ち上げにあたり」より引用)

 

  • 筆者もこれらの要所は「いかに自己へ投資して時価総額を向上できるか」ということに尽きると認識している。これに対して、CSAジャパンはその解決策としての「場の提供」機能を有するものである。具体的には、個人会員や企業会員、あるいは連携会員としての立場で、図2に示す様な各種WGや勉強会・セミナー等の機会を積極利用して、同じ興味・関心をもつメンバーで幅広く自由にテーマを設定し、オープンな調査研究やディスカッションが可能である。(クラウドセキュリティに関するテーマが基本であるが、近年、クラウドにつながらないICT関連サービスは少なくなり、その安全利用上、セキュリティ確保は避けて通れない。)さらにグローバル団体である利点を生かし、英語原文ドキュメントの日本語翻訳作業や、後述するCSA Japan Summit等のイベントでの海外ゲストとの交流機会なども活動参画いただく上でのベネフィットとなろう。こうした社外コミュニティにおける所属先(企業等)の異なる多様なメンバー間の交流を通じてこそ、例えば「自身の時価総額」や「キャリアの現在地」などが客観的に明確化されうるものと考える。(本講演の公開資料は以下URLをご参照)https://www.cloudsecurityalliance.jp/site/?p=6923
    1. CSA Japan Summit 2019: Recap」(一般社団法人日本クラウドセキュリティアライアンス 運営委員 有田 仁)

     

  • 筆者より、CSAジャパン最大の恒例イベントであるCSA Japan Summit(本稿前編で既述)を取り上げ、本年度の全プログラム講演を対象にした概要紹介を逐一行った。関西地域在住のクラウドユーザーにとっては、たとえ関心をお持ちでも、これまで実際に東京会場(本稿前編で既述)まで足を運ばれることは稀であられたと推察され、それがために投影スライドに多数の会場写真(Summit各講演者の講演時の様子)を盛り込んで、少しでも会場の雰囲気がダイレクトに伝わる様努めた。なお、CSA Japan Summitは今回で6回目となるが、過去5回の開催テーマと、グローバルCEOであるJim Reavisによる基調講演テーマの変遷をスライド冒頭で示した。(図3)

図3:CSA Japan Summit開催テーマ等の変遷

クラウドサービスはこれまで、実行環境上の技術進化や開発プロセスの変化の流れにおいても、アーキテクチャー上のインフラストラクチャーあるいはプラットフォーム的な意味合いで、第一義的な位置づけを保持してきたといえる。その一方でクラウドにおけるトラスト/セキュリティの流れを考えると、「ゼロトラスト」の概念モデルに行き着く。すなわち、機密データの保管先としてクラウド移行が一層進み、IoT環境下、これに対して各ユーザーのもつ複数のデバイスからデータにアクセスされる状況では、従来の「ネットワーク型」のセキュリティから「アイデンティティ型」のセキュリティへの変更が余儀なくされるというものである(これに関しては、前述の「働き方改革の本質」にもつながるかもしれない)。クラウドのトラストで(クラウド上の機密データを守る上で)考えるべき「ゼロトラスト」の概念モデルについては、今後CSAジャパンのWG活動、勉強会、イベント機会などでも、さらなる議論と検討が深まるものと考えられる。

筆者はさらにスライドの締めくくりにおいて、次回2020年春開催を目途としたCSA Japan Summitの大阪(関西)構想と、その「ねらいどころ」を参加者へ示した。(図4)

図4:CSA Japan Summit 2020 大阪(関西)開催のねらい

2020年Summitが大阪単独開催となるか、東京・大阪並行開催となるかは未定だが、いずれにせよ、これまでのCSA Japan Summitで蓄積された様式やノウハウを踏襲しつつも、それと同時にKANSAIのカラーとオリジナリティを適切に表現するものとしたい。現段階ではテーマ検討に向けたアプローチとして大きく5つ構想している。すなわち①クラウドユーザー企業の参画促進②SMEへの導入支援と情報発信③関西地域の魅力と多様性訴求④関西ユーザーの会員化と協賛ご依頼⑤大阪・関西万博(2025年)のフォローアップ、である。(筆者の私見で)とりわけ念頭にあるものとして、関西(近畿)地域が内包する大阪・神戸・京都をはじめとした、各エリアの「多様性」や「際立った特色・個性」といった部分を、多彩な講演プログラム構成に結び付けたい。また、2025年に控える「大阪・関西万博」(開催テーマ:いのち輝く未来社会へのデザイン)が社会にもたらす影響力は巨大であり、例えば「長寿・健康」等のコンセプトをクラウドセキュリティ分野の検討課題に重ね合わせ、一体的に方向性を定めていきたい。

(本講演の公開資料は以下URLをご参照 ※本公開版では肖像権を考慮し、上述のSummit講演者関係写真を適宜差し替えている。)

https://www.cloudsecurityalliance.jp/site/?p=6928

  • 今後の展望

今回、キックオフセミナーを盛況のうちに滞りなく開催することができ、ご来場いただいた参加者(CSAジャパン会員及び非会員)のみなさま、貴重なご講演をいただいた経済産業省 商務情報政策局の関根氏、それからCSAジャパン事務局及び関西支部運営スタッフ、さらには集客面でご協力いただいた連携・関連団体の関係各位に深く感謝の意を表したい。今後も関西支部は関西地域における定例勉強会やセミナーのコンスタントな開催、またWG活動への関西メンバーの積極的参画(東京会合開催の場合、適時リモート参加を促進していきたい)等を地道に継続し、関西ネットワーク基盤の裾野拡大に努めていきたいと考える。

その一方で関西地域では、クラウドサービスやセキュリティ関連のビジネス市場、またそこで活躍できる人材等の(実働的な)リソースについて、首都圏に比較して大きな規模の開きが存在するのは否めない。さらにグローバル動向を含む業界の最新トレンド、トピック、あるいはキーマンに、直接的に触れる機会や情報入手の即時性に差分が生じているのも事実である。そのためこれらを埋める対策として、本レポート投稿を皮切りに(CSAジャパン)Webページ上での情報発信に力を入れていきたい。当面のコンテンツとして具体的には、関西支部の活動方針、勉強会・セミナー等の開催告知・レポート、関西支部イベントの新着情報、また各種WG活動状況のアウトプット(成果物含む)などがある。その延長線上に、関西オリジナルコンテンツのアイデア創出につなげ、CSAジャパンの本年度取り組み目標の一つでもある「ブログの活性化」に寄与できればと願うところである。

※本キックオフセミナー概要と講演プログラム1(基調講演:今後のデータ政策の展開とクラウドサービスの安全性評価について)について、本稿前編をご参照。

以上