Azure Stack HCI と HIPAA

  • [アーティクル]

この記事では、Azure Stack HCI を使用して構築されたソリューションの HIPAA コンプライアンスを組織が最も効率的にナビゲートする方法に関するガイダンスを提供します。

医療コンプライアンス

1996年の医療保険の携行性と説明責任に関する法律(HIPAA)と医療基準(HITECH)や健康情報信頼アライアンス(HITRUST)は、患者の保護された健康情報(PHI)の機密性、完全性、および可用性を保護します。 これらの規制と基準により、医師のオフィス、病院、医療保険業者 ("対象エンティティ") などの医療機関は、PHI を適切に作成、受信、メイン、送信、またはアクセスできます。 さらに、その要件は、対象となるエンティティに PHI を含むサービスを提供するビジネス アソシエイトにも及びます。 Microsoft は、医療企業がより効率的かつ安全に PHI を格納および処理するのに役立つ、Azure Stack HCI などの情報テクノロジ サービスを提供するビジネス アソシエイトの例です。 次のセクションでは、Azure Stack HCI のプラットフォーム機能が組織がこれらの要件を満たすのにどのように役立つかについて説明します。

共同責任

Microsoft のお客様

HIPAA 法の対象となる対象エンティティとして、医療機関は独自のテクノロジ環境とユース ケースを個別に分析し、規制の要件に準拠したポリシーと手順を計画および実装します。 対象となるエンティティは、テクノロジ ソリューションのコンプライアンスを確保する責任を負います。 この記事のガイダンスおよび Microsoft が提供するその他のリソースは、参照として使用できます。

Microsoft

HIPAA 規制では、ビジネス アソシエイトは HIPAA コンプライアンスを保証するのではなく、対象となるエンティティとのビジネス アソシエイト契約 (BAA) を締結します。 Microsoft は、対象となるエンティティまたは HIPAA の下のビジネス アソシエイトであるすべての顧客に対し、範囲内の Azure サービスで使用するために、Microsoft 製品使用条件 (以前のオンライン サービス条件) の一部として HIPAA BAA を提供しています。

Azure Stack HCI コンプライアンス オファリング

Azure Stack HCI は、Azure クラウドとオンプレミス データセンターの両方で仮想化されたワークロードをホストして格納するハイブリッド ソリューションです。 つまり、HIPAA 要件は、クラウドとローカル データ センターの両方で満たす必要があります。

Azure Cloud Services

HIPAA の法律は医療企業向けに設計されているため、Microsoft Azure などのクラウド サービスを認定することはできません。 ただし、Azure と Azure Stack HCI の接続されたクラウド サービスは、HIPAA や HITECH と同等またはより厳格な他の確立されたセキュリティ フレームワークと標準に準拠しています。 Azure と HIPAA の医療業界向けの Azure コンプライアンス プログラムの詳細について説明します。

オンプレミスの環境

ハイブリッド ソリューションとして、Azure Stack HCI は、Azure クラウド サービスと、お客様の組織によってオンプレミスでホストされているオペレーティング システムとインフラストラクチャを組み合わせたものです。 Microsoft は、クラウド環境とオンプレミス環境の両方で、組織が HIPAA やその他の医療業界標準への準拠を満たすのに役立つさまざまな機能を提供しています。

HIPAA セキュリティ規則に関連する Azure Stack HCI 機能

このセクションでは、次の 5 つの制御で構成される HIPAA セキュリティ 規則のセキュリティ制御目標を達成するために、Azure Stack HCI の機能がどのように役立つかについて説明メイン。

重要

次のセクションでは、プラットフォーム レイヤーに重点を置いたガイダンスを提供します。 特定のワークロードとアプリケーション レイヤーに関する情報は範囲外です。

ID 管理とアクセス管理

Azure Stack HCI プラットフォームは、Azure Arc や Windows PowerShell などの複数のインターフェイスを介して、クラスター ノードで実行されている基になるシステムへの完全かつ直接的なアクセスを提供します。 ローカル環境の従来の Windows ツールまたは Microsoft Entra ID (旧称 Azure Active Directory) などのクラウドベースのソリューションを使用して、ID とプラットフォームへのアクセスを管理できます。 どちらの場合も、多要素認証 (MFA)、条件付きアクセス、ロールベースのアクセス制御 (RBAC)、特権 ID 管理 (PIM) などの組み込みのセキュリティ機能を利用して、環境がセキュリティで保護され、準拠していることを確認できます。

ローカル ID とアクセス管理の詳細については、Microsoft Identity ManagerActive Directory ドメイン Services の Privileged Access Management を参照してください。 クラウドベースの ID とアクセス管理 の詳細については、Microsoft Entra ID を参照してください

データ保護

BitLocker を使用したデータの暗号化

Azure Stack HCI クラスターでは、保存データはすべて BitLocker XTS-AES 256 ビット暗号化を使用して暗号化できます。 既定では、BitLocker を有効にして、Azure Stack HCI デプロイ内のすべてのオペレーティング システム (OS) ボリュームとクラスター共有ボリューム (CSV) を暗号化することをお勧めします。 展開後に追加された新しいストレージ ボリュームの場合は、BitLocker を手動で有効にして新しいストレージ ボリュームを暗号化する必要があります。 BitLocker を使用してデータを保護することで、組織は ISO/IEC 27001 に準拠し続けることができます。 詳細については、 クラスター共有ボリューム (CSV) での BitLocker の使用に関するページを参照してください。

TLS/DTLS を使用した外部ネットワーク トラフィックの保護

既定では、ローカルおよびリモート エンドポイントへのすべてのホスト通信は、TLS1.2、TLS1.3、および DTLS 1.2 を使用して暗号化されます。 プラットフォームでは、TLS/DTLS 1.1 S MB (メガバイト)1 などの古いプロトコル/ハッシュの使用が無効になります。 Azure Stack HCI では、SDL 準拠の楕円曲線のような強力な暗号スイートもサポートされています。NIST 曲線 P-256 と P-384 のみに限定されます。

サーバー メッセージ ブロック (S MB (メガバイト)) を使用した内部ネットワーク トラフィックの保護

S MB (メガバイト) 署名は、Azure Stack HCI クラスター ホストのクライアント接続に対して既定で有効になっています。 クラスター内トラフィックの場合、S MB (メガバイト) 暗号化は、デプロイ中またはデプロイ後に有効にして、クラスター間で転送中のデータを保護するオプションです。 AES-256-GCM および AES-256-CCM 暗号化スイートは、クライアント/サーバー ファイル トラフィックとクラスター内データ ファブリックで使用される S MB (メガバイト) 3.1.1 プロトコルでサポートされるようになりました。 このプロトコルでは、より広く互換性のある ES-128 スイートも引き続きサポートされます。 詳細については、S MB (メガバイト) のセキュリティ強化に関するページを参照してください

ログ記録と監視

ローカル システム ログ

既定では、Azure Stack HCI プラットフォーム内で実行されるすべての操作が記録されるため、プラットフォームで誰が何を、いつ、どこで実行したかを追跡できます。 Windows Defender によって作成されたログとアラートも含まれており、データ侵害の可能性と影響を防ぎ、検出し、最小限に抑えるのに役立ちます。 多くの場合、システム ログには大量の情報が含まれており、その多くは情報セキュリティの監視とは無関係であるため、セキュリティ監視の目的で収集および使用されるイベントを特定する必要があります。 Azure 監視機能は、これらのログの収集、保存、アラート、分析に役立ちます。 詳細については、 Azure Stack HCI のセキュリティ ベースラインを参照してください。

ローカル アクティビティ ログ

Azure Stack HCI ライフサイクル マネージャーは、実行されたすべてのアクション プランのアクティビティ ログを作成して格納します。 これらのログは、より詳細な調査とコンプライアンスの監視をサポートします。

クラウド アクティビティ ログ

Azure にクラスターを登録することで、Azure Monitor アクティビティ ログを使用して、サブスクリプション レイヤーの各リソースに対する操作を記録し、サブスクリプション内のリソースに対して行われた書き込み操作 (書き込み、投稿、削除) を決定できます。

クラウド ID ログ

Microsoft Entra ID を使用して ID とプラットフォームへのアクセスを管理している場合は、Azure AD レポートで ログを 表示したり、Azure Monitor、Microsoft Sentinel、またはその他の SIEM/監視ツールと統合して高度な監視と分析のユース ケースを実現したりできます。 オンプレミスの Active Directoryを使用している場合は、Microsoft Defender for Identity ソリューションを使用して、オンプレミスの Active Directoryシグナルを使用して、高度な脅威、侵害された ID、組織に向けられた悪意のあるインサイダー アクションを特定、検出、調査します。

SIEM 統合

Microsoft Defender for Cloud と Microsoft Sentinel は、Arc 対応の Azure Stack HCI ノードとネイティブに統合されています。 セキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション自動応答 (SOAR) 機能を提供する Microsoft Sentinel にログを有効にしてオンボードできます。 Microsoft Sentinel は、他の Azure クラウド サービスと同様に、HIPAA や HITRUST などの多くの確立されたセキュリティ標準に準拠しており、認定プロセスに役立ちます。 さらに、Azure Stack HCI には、システム イベントをサード パーティの SIEM ソリューションに送信するためのネイティブ Syslog イベント フォワーダーが用意されています。

Azure Stack HCI の分析情報

Azure Stack HCI インサイトを使用すると、Azure に接続され、監視に登録されているクラスターの正常性、パフォーマンス、使用状況の情報を監視できます。 インサイト構成中に、収集するデータを指定するデータ収集規則が作成されます。 このデータは Log Analytics ワークスペースに格納され、Azure ブックを使用して事前構築済みの監視ダッシュボードを提供するために集計、フィルター処理、分析されます。 Azure Stack HCI リソース ページまたは Azure Monitor から、1 つのクラスターまたは複数のクラスターの監視データを表示できます。 詳細については、インサイトを使用した Azure Stack HCI の監視に関するページを参照してください

Azure Stack HCI メトリック

メトリックは、監視対象リソースの数値データを時系列データベースに格納します。 Azure Monitor メトリックス エクスプローラーを使用して、メトリック データベース内のデータを対話形式で分析し、時間の経過に伴う複数のメトリックの値をグラフ化できます。 メトリックを使用すると、メトリック値からグラフを作成し、傾向を視覚的に関連付けることができます。

ログ アラート

リアルタイムで問題を示すために、平均サーバー CPU、使用可能なメモリ、使用可能なボリューム容量などの既存のサンプル ログ クエリを使用して、Azure Stack HCI システムのアラートを設定できます。 詳細については、「 Azure Stack HCI システムのアラートを設定する」を参照してください。

メトリック アラート

メトリック アラート ルールでは、リソース メトリックの条件を定期的に評価することで、リソースが監視されます。 条件が満たされると、アラートが発生します。 メトリック時系列は、一定期間にキャプチャされた一連のメトリック値です。 これらのメトリックを使用して、アラート ルールを作成できます。 メトリック アラートで メトリック アラートを作成する方法の詳細について説明します

サービスとデバイスのアラート

Azure Stack HCI では、接続、OS の更新、Azure 構成などのサービス ベースのアラートが提供されます。 クラスターの正常性エラーに対するデバイス ベースのアラートも使用できます。 また、PowerShell または ヘルス サービス を使用して、Azure Stack HCI クラスターとその基になるコンポーネントを監視することもできます。

マルウェアに対する保護

Windows Defender ウイルス対策

Windows Defender ウイルス対策は、リアルタイムのシステム スキャンと定期的なスキャンを適用して、ウイルス、マルウェア、スパイウェア、その他の脅威からプラットフォームとワークロードを保護するユーティリティ アプリケーションです。 既定では、Microsoft Defender ウイルス対策は Azure Stack HCI で有効になっています。 Microsoft では、サードパーティのウイルス対策ソフトウェアやマルウェア検出ソフトウェアやサービスではなく、Azure Stack HCI でMicrosoft Defender ウイルス対策を使用することをお勧めします。これは、オペレーティング システムが更新プログラムを受け取る機能に影響を与える可能性があるためです。 詳細については、Windows Server のMicrosoft Defender ウイルス対策を参照してください

Windows Defender アプリケーション制御

Windows Defender アプリケーション制御 (WDAC) は、各サーバーで直接実行できるドライバーとアプリケーションを制御するために、Azure Stack HCI で既定で有効になっており、マルウェアがシステムにアクセスするのを防ぎます。 Azure Stack HCI に含まれる基本ポリシーの詳細と、補足ポリシー を作成する方法については、Azure Stack HCI の Windows Defender アプリケーション制御の管理に関するページを参照してください。

Microsoft Defender for Cloud

Endpoint Protection を使用した Microsoft Defender for Cloud (サーバー プランを通じて有効) は、高度な脅威保護機能を備えたセキュリティ体制管理ソリューションを提供します。 インフラストラクチャのセキュリティ状態を評価し、ワークロードを保護し、セキュリティ アラートを生成し、特定の推奨事項に従って攻撃を修復し、将来の脅威に対処するためのツールが提供されます。 これらのサービスはすべてクラウドで高速に実行され、Azure サービスを使用した自動プロビジョニングと保護によるデプロイのオーバーヘッドはありません。 詳細については、 Microsoft Defender for Cloud を参照してください。

バックアップと回復

ストレッチ クラスター

Azure Stack HCI には、ストレッチ クラスタリングによる仮想化ワークロードのディザスター リカバリーに関する組み込みサポートが提供されています。 ストレッチ Azure Stack HCI クラスターをデプロイすることで、仮想化されたワークロードを 2 つの個別のオンプレミスの場所に同期的にレプリケートし、それらの間で自動的にフェールオーバーできます。 計画されたサイト フェールオーバーは、Hyper-V ライブ マイグレーションを使用してダウンタイムなしで発生する可能性があります。

Kubernetes クラスター ノード

Azure Stack HCI を使用してコンテナー ベースのデプロイをホストする場合、プラットフォームは、Azure Kubernetes デプロイに固有の機敏性と回復性を強化するのに役立ちます。 基になる物理コンポーネントのローカライズされた障害が発生した場合、Azure Stack HCI は Kubernetes クラスター ノードとして機能する VM の自動フェールオーバーを管理します。 この構成により、Kubernetes に組み込まれた高可用性が強化され、同じまたは別の VM で失敗したコンテナーが自動的に再起動されます。

Azure Site Recovery

このサービスを使用すると、オンプレミスの Azure Stack HCI VM で実行されているワークロードをクラウドにレプリケートできるため、ストレージ メディアのインシデント、障害、または損失が発生した場合に情報システムを復元できます。 他の Azure クラウド サービスと同様に、Azure Site Recovery には、認定プロセスをサポートするために使用できる HITRUST を含むセキュリティ証明書の長い実績があります。 詳細については、 Azure Site Recovery on Azure Stack HCI を使用した VM ワークロードの保護に関するページを参照してください。

Microsoft Azure Backup Server (MABS)

このサービスを使用すると、必要な頻度と保有期間を指定して、Azure Stack HCI 仮想マシンをバックアップできます。 MABS を使用して、次のような環境全体でほとんどのリソースをバックアップできます。

  • Azure Stack HCI ホストのシステム状態/ベア メタル復旧 (BMR)
  • ローカルストレージまたは直接接続ストレージを持つクラスター内のゲスト VM
  • CSV ストレージを使用する Azure Stack HCI クラスター上のゲスト VM
  • クラスター内での VM の移動

詳細については、 Azure Backup Server を使用した Azure Stack HCI 仮想マシンのバックアップに関するページを参照してください