HITRUST コントロールの Microsoft Entra 構成に関する推奨事項
この記事のガイダンスは、詳細情報をナビゲートするのに役立ち、HITRUST コントロールとの調整をサポートするために Microsoft Entra ID のサービスと機能に関する推奨事項を提供します。 この情報を使用して、HITRUST (Health Information Trust Alliance) フレームワークを理解し、組織が医療保険の携行性と責任に関する 1996 年の法律 (HIPAA) に準拠していることを確実にする責任をサポートします。 フレームワークに関する知識があり、プロセスの案内と要件の理解に必要な認定された HITRUST 評価担当者との連携が、評価に含まれます。
頭字語
次の表に、この記事内の頭字語とそのスペルを示します。
| 頭字語 | スペル チェック |
|---|---|
| CE | 対象となるエンティティ |
| CSF | Common Security Framework |
| HIPAA | 医療保険の携行性と責任に関する 1996 年の法律 |
| HSR | HIPAA セキュリティ規則 |
| HITRUST | Health Information Trust Alliance |
| IAM | ID 管理とアクセス管理 |
| IdP | ID プロバイダー |
| ISO | International Organization for Standardization |
| ISMS | 情報セキュリティ管理システム |
| JEA | Just Enough Access |
| JML | 参加、移動、脱退 |
| MFA | Microsoft Entra 多要素認証 |
| NIST | 米商務省国立標準技術研究所 |
| PHI | 保護された医療情報 |
| PIM | Privileged Identity Management |
| SSO | シングル サインオン |
| TAP | 一時アクセス パス |
Health Information Trust Alliance
HITRUST 組織は、医療業界内の組織のセキュリティとプライバシーの要件を標準化および合理化するために、Common Security Framework (CSF) を確立しました。 HITRUST CSF は、個人データおよび保護された医療情報 (PHI) データを取り扱う際に組織が直面する複雑な規制環境、セキュリティの課題、プライバシーに関する懸念に対処するために、2007年に設立されました。 CSF は、49 個のコントロール目標と 156 個のコントロール仕様から成る 14 個のコントロール カテゴリで構成されています。 これは、国際標準化機構 (ISO) 27001 および ISO 27002 の主要な原則に基づいて構築されました。
HITRUST MyCSF ツールは Azure Marketplace で入手できます。 これを使用して、情報セキュリティ リスク、データ ガバナンスを管理し、情報保護規則に従い、国内および国際的な標準とベスト プラクティスにも準拠します。
Note
ISO 27001 は、情報セキュリティ管理システム (ISMS) の要件を指定する管理標準です。 ISO 27002 は、ISO 27001 フレームワークでセキュリティ コントロールを選択して実装するための一連のベスト プラクティスです。
HIPAA セキュリティ規則
HIPAA セキュリティ規則 (HSR) は、医療保険、医療情報伝達機関、医療プロバイダーである対象となるエンティティ (CE) によって作成、受信、使用、または維持される個人の電子個人情報を保護するための基準を定めます。 米国保健福祉省 (HHS) が HSR を管理します。 HHS では、電子 PHI の機密性、整合性、およびセキュリティを確保するために、管理上、物理的、技術的なセーフガードが必要です。
HITRUST と HIPAA
HITRUST は、医療規制をサポートするためのセキュリティおよびプライバシーに関する基準を含む CSF を開発しました。 CSF のコントロールとベスト プラクティスにより、ソースを統合して連邦法、HIPAA セキュリティ規則、プライバシー規則への準拠を確保するタスクが簡略化されます。 HISTRUST CSF は、HIPAA へのコンプライアンスを実証するためのコントロールと要件を備えた、セキュリティとプライバシーの認定可能なフレームワークです。 医療機関は、このフレームワークを広く採用しました。 コントロールについて確認するには、以下の表を使用してください。
| コントロール カテゴリ | コントロール カテゴリの名前 |
|---|---|
| 0 | 情報セキュリティ管理プログラム |
| 1 | アクセス制御 |
| 2 | 人事管理のセキュリティ |
| 3 | リスク管理 |
| 4 | セキュリティ ポリシー |
| 5 | 情報セキュリティ組織 |
| 6 | コンプライアンス |
| 7 | |
| 8 | 物理セキュリティおよび環境セキュリティ |
| 9 | 通信と運用の管理 |
| 10 | 情報システムの取得、開発、メンテナンス |
| 11 | 情報セキュリティ インシデント管理 |
| 12 | ビジネス継続性管理 |
| 13 | プライバシーに関する取り扱い |
ID およびアクセス管理を含む「Microsoft Azure が HITRUST CSF 認定を取得」で詳細を確認してください。
- Microsoft Entra ID (旧称 Azure Active Directory トークン)
- Microsoft Purview を使用した権限管理
- Microsoft Entra 多要素認証 (MFA)
アクセス制御のカテゴリと推奨事項
次の表に、ID およびアクセス管理 (IAM) のアクセス制御カテゴリと、制御カテゴリの要件を満たすのに役立つ Microsoft Entra の推奨事項を示します。 詳細は、対応するコントロールに追加された、HIPAA セキュリティ規則を参照する HITRUST MyCSF v11 に由来します。
| HITRUST のコントロール、目標、および HSR | Microsoft Entra のガイダンスと推奨事項 |
|---|---|
| CSF Control V11 01.b ユーザー登録 コントロール カテゴリ アクセス制御 – ユーザーの登録と登録解除 コントロール仕様 組織は正式なユーザー登録および登録解除プロセスを使用して、アクセス権の割り当てを有効にします。 目標の名前 情報システムへの認可されたアクセス HIPAA セキュリティ規則 § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID は、ID がデバイス、アプリケーション、またはサーバーにサインインするときの検証、認証、および資格情報管理のための ID プラットフォームです。 セキュリティ攻撃から保護するためのシングル サインオン (SSO)、MFA、条件付きアクセスを使用する、クラウド ベースの ID およびアクセス管理サービスです。 認証により、承認された ID のみがリソースとデータにアクセスできることが確実になります。 ライフサイクル ワークフローは、就職者、異動者、退職者 (JML) ライフサイクルを自動化するための ID ガバナンスを有効にします。 組み込みのテンプレートを使用してワークフロー プロセスを一元化するか、カスタム ワークフローを作成します。 このプラクティスは、組織の JML 戦略要件の手動タスクを削減または削除するのに役立ちます。 Azure portal で、Microsoft Entra ID メニューの [ID ガバナンス] に移動して、組織の要件に合わせてタスクを確認または構成します。 Microsoft Entra Connect では、オンプレミスのディレクトリを Microsoft Entra ID と統合し、オンプレミスのアプリケーションや Microsoft 365 などのクラウド サービスにアクセスするための単一 ID の使用をサポートします。 Active Directory (AD) と Microsoft Entra ID の間の同期を調整します。 Microsoft Entra Connect の使用を開始するには、前提条件を確認してください。 サーバーの要件と、Microsoft Entra テナントを管理用に準備する方法に注意してください。 Microsoft Entra Connect 同期は、クラウド上で管理されるプロビジョニング エージェントであり、複数フォレストの切断された AD 環境からの Microsoft Entra ID への同期をサポートします。 Microsoft Entra Connect では軽量エージェントを使用します。 パスワードの数を減らし、漏洩した資格情報の検出を防ぐために、パスワード ハッシュの同期をお勧めします。 |
| CSF Control V11 01.c 特権管理 コントロール カテゴリ アクセス制御 – 特権アカウント コントロール仕様 組織は、情報システムへの不正アクセスを防ぐために、許可されているユーザー アカウントが登録、追跡、および定期的に検証されていることを確認します 目標の名前 情報システムへの認可されたアクセス HIPAA セキュリティ規則 § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) は Microsoft Entra ID のサービスであり、組織内の重要なリソースへのアクセスを管理、制御、監視します。 悪意のあるアクターがアクセスするのを防ぐために、セキュリティで保護された情報へのアクセス権を持つユーザーの数を最小限に抑えます。 PIM には、過剰、不要、または誤用されたアクセス許可のリスクを軽減するために時間ベースと承認ベースのアクセス権があります。 特権アカウントを特定して分析し、ユーザーが役割を果たすために必要なアクセス権のみ (JEA) を提供するのを確実にします。 アラートの監視と生成は、疑わしいアクティビティを防ぎ、アラートをトリガーするユーザーとロールを一覧表示すると同時に、不正アクセスのリスクを軽減します。 組織のセキュリティ戦略に合わせてアラートをカスタマイズします。 アクセス レビューは、組織がロールの割り当てとグループ メンバーシップを効率よく管理できるようにします。 どのアカウントにアクセス権があるかを評価することでセキュリティとコンプライアンスを維持し、必要に応じてアクセスが取り消されるようにすることで、過剰または古いアクセス許可によるリスクを最小限に抑えます。 |
| CSF Control V11 0.1d ユーザー パスワードの管理 コントロール カテゴリ アクセス制御 - 手順 コントロール仕様 情報システムへの不正アクセスを防ぐために、許可されているユーザー アカウントが登録、追跡、および定期的に検証されていることを確実にします。 目標の名前 情報システムへの認可されたアクセス HIPAA セキュリティ規則 §164.308(a)(5)(ii)(D) |
パスワード管理は、セキュリティ インフラストラクチャの重要な側面です。 Microsoft Entra ID は、堅牢なセキュリティ体制を作成するためのベスト プラクティスに従って、包括的な戦略サポートを支援します。SSO や MFA、FIDO2 セキュリティ キーや Windows Hello for Business (WHfB) などのパスワードレス認証も、ユーザー リスクを軽減し、ユーザー認証エクスペリエンスを合理化します。 Microsoft Entra のパスワード保護では、既知の脆弱なパスワードを検出し、ブロックします。 パスワード ポリシー が組み込まれており、カスタム パスワード リストを定義し、パスワードの使用を保護するためのパスワード管理戦略を構築する柔軟性があります。 HITRUST のパスワードの長さと強度の要件は、米国国立標準技術研究所 NIST 800-63B と一致します。これには、パスワードに 8 文字以上、最も高い特権アクセスのあるアカウントには 15 文字が含まれます。 複雑さの指標には、特権アカウントに少なくとも 1 つの数字および/または特殊文字、および少なくとも 1 つの大文字と小文字が含まれます。 |
| CSF Control V11 01.p 安全なログオン手順 コントロール カテゴリ アクセス制御 – セキュリティで保護されたログオン コントロール仕様 組織は、セキュリティで保護されたログオン手順を使用して情報資産へのアクセスを制御します。 目標の名前 オペレーティング システムのアクセスの制御 HIPAA セキュリティ規則 § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
セキュリティで保護されたサインインは、システムにアクセスしようとしたときに ID を安全に認証するプロセスです。 制御は、オペレーティング システムに焦点を当てています。Microsoft Entra サービスは、セキュリティで保護されたサインインを強化するのに役立ちます。 条件付きアクセス ポリシーは、承認されたアプリケーション、リソースへのアクセスを組織が制限するのに役立ち、デバイスが安全であることを保証します。 Microsoft Entra ID は、ID、場所、またはデバイスからの条件付きアクセス ポリシーのシグナルを分析して決定を自動化し、リソースとデータにアクセスするための組織のポリシーを適用します。 ロールベースのアクセス制御 (RBAC) は、組織内のアクセスと管理対象リソースの管理に役立ちます。 RBAC は、最小限の特権の原則を実装するのに役立ち、ユーザーがタスクを実行するために必要なアクセス許可を持っていることを確実にします。 このアクションにより、偶発的または意図的な誤った構成のリスクが最小限に抑えられます。 コントロール 0.1d ユーザー パスワードの管理で説明したように、パスワードレス認証では偽造が困難なため生体認証が使用され、より安全な認証が提供されます。 |
| CSF Control V11 01.q ユーザーの識別と認証 コントロール カテゴリ 該当なし コントロール仕様 すべてのユーザーは、個人使用のみの一意識別子 (ユーザー ID) を持つものとし、ユーザーの提示された ID を実証するための認証手法を実装する必要があります。 目標の名前 該当なし HIPAA セキュリティ規則 § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Microsoft Entra ID のアカウント プロビジョニングを使用して、ユーザー アカウントを作成、更新、管理します。 各ユーザーとオブジェクトには、オブジェクト ID と呼ばれる一意識別子 (UID) が割り当てられます。 UID は、ユーザーまたはオブジェクトの作成時に自動的に生成されるグローバル一意識別子です。 Microsoft Entra ID は、システムとアプリケーションの自動ユーザー プロビジョニングをサポートします。 自動プロビジョニングでは、ユーザーが組織内のチームに参加すると、適切なシステムに新しいアカウントが作成されます。 自動プロビジョニング解除では、ユーザーが脱退するとアカウントが非アクティブ化されます。 |
| CSF Control V11 01.u 接続時間の制限 コントロール カテゴリ アクセス制御 - セキュリティで保護されたログオン コントロール仕様 組織は、セキュリティで保護されたログオン手順を使用して情報資産へのアクセスを制御します。 目標の名前 オペレーティング システムのアクセスの制御 HIPAA セキュリティ規則 § 164.312(a)(2)(iii) |
制御は、オペレーティング システムに焦点を当てています。Microsoft Entra サービスは、セキュリティで保護されたサインインを強化するのに役立ちます。 セキュリティで保護されたサインインは、システムにアクセスしようとしたときに ID を安全に認証するプロセスです。 Microsoft Entra はユーザーを認証し、ユーザーとリソースに関する情報を含むセキュリティ機能を備えています。 情報には、アクセス トークン、更新トークン、ID トークンが含まれます。 アプリケーションへのアクセスに対する組織の要件に従って構成します。 このガイダンスは、主にモバイル クライアントとデスクトップ クライアントに使用してください。 条件付きアクセス ポリシーは、認証されたセッションの Web ブラウザー制限に対する構成設定をサポートします。 Microsoft Entra ID には、オペレーティング システムの統合があり、優れたユーザー エクスペリエンスが提供され、一覧のパスワードレス認証方法がサポートされます。 macOS のプラットフォーム SSO は、macOS の SSO 機能を拡張します。 ユーザーは、パスワードレスの資格情報、または Microsoft Entra ID によって検証されたパスワード管理を使用して Mac にサインインします。 Windows のパスワードレス エクスペリエンスは、Microsoft Entra 参加済みデバイスでパスワードのない認証エクスペリエンスを促進します。 パスワードレス認証を使用すると、フィッシング攻撃、パスワードの再利用、パスワードのキー ロガーの傍受など、従来のパスワードベースの認証に関連する脆弱性とリスクが軽減されます。 Windows 用の Web サインインは、Windows 11 での Web サインインの機能を拡張する資格情報プロバイダーであり、Windows Hello for Business、一時アクセス パス (TAP)、フェデレーション ID に対応します。 Azure Virtual Desktop では、SSO とパスワードレス認証がサポートされています。 SSO を使用すると、パスワードレス認証と、Microsoft Entra ID とフェデレーションするサード パーティの ID プロバイダー (IdP) を使って、Azure Virtual Desktop リソースにサインインできます。 セッション ホストに対する認証時の SSO エクスペリエンスがあります。 セッションで Microsoft Entra リソースへの SSO を実行するようにセッションを構成します。 |
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示