2. CSAのグローバル活動:
健康医療情報管理ワーキンググループの例
• CSA Health Information Management Working Group
(https://cloudsecurityalliance.org/research/him/)
• 代表幹事: Vincent Campitelli, McKesson Corp.
Chris Ledoux, athenahealth, Inc.
• 活動領域:
• Provide direct influence on how health information service
providers deliver secure cloud solutions (services, transport,
applications and storage) to their clients, and foster cloud
awareness within all aspects of healthcare and related industries.
• The efforts are jointly executed by CSA Global, health
information cloud communities (i.e. focus groups, associations,
vendors, providers, research institutes, forums, and academia),
Solution Providers and relevant working group responsible for
authoring CSA’s Guidance V.3.
2
7. CSAのグローバル活動:
健康医療情報管理ワーキンググループの例
• クラウドのサイバーセキュリティと健康医療
• 米国FDAの医療機器/医療ソフトウェア関連規制例
•
•
「Guidance to Industry: Cybersecurity for Networked Medical Devices
Containing Off-the-Shelf (OTS) Software」 (2005年1月14日)
(市販ソフトウェアを含むネットワークに接続された医療機器のサイバー
セキュリティに関するガイドライン)
「Content of Premarket Submissions for Management of Cybersecurity
in Medical Devices: Draft Guidance for Industry and Food and Drug
Administration Staff」(2013年6月14日)
(医療機器のサイバーセキュリティ管理のための市販前申請内容に関
するガイドライン草案)
• 欧州ENISAの重要情報インフラ保護(CIIP: Critical Information
Infrastructure Protection)対策:医療も対象
•
「Critical Cloud Computing: A CIIP perspective on cloud computing
services」(2012年12月)
(EUサイバーセキュリティ戦略に基づく重要情報インフラ保護のための
クラウドガバナンスの方向性を示す)
7
8. CSAのグローバル活動:
健康医療情報管理ワーキンググループの例
• モバイルのクラウドセキュリティと健康医療(1)
•
米国:NIST 「SP800-124 R1: Guidelines for Managing the Security of
Mobile Devices in the Enterprise」(2013年6月)
企業向けモバイル機器のセキュリティ管理指針
モバイル端末のうちスマートフォン/タブレットが適用対象で、ラップトップPC
やフューチャーフォンは対象外
法人支給および個人所有(BYOD)のモバイル端末のセキュリティ管理が適
用対象
•
米国:FDA「Mobile Medical Applications: Guidance for Industry and Food
and Drug Administration Staff」(2013年9月)
モバイル医療アプリケーションの品質に関する要求事項ガイドライン
モバイルアプリケーション:スマートフォンおよびその他のモバイル通信端末
で稼動するソフトウェアプログラム
モバイル医療アプリケーション:医療機器の定義を満たすモバイルアプリケー
ションで、規制対象の医療機器の付属品、若しくはモバイルプラットフォーム
を規制対象の医療機器に変換するもの
FDAが規制対象/対象外とするモバイル医療アプリケーションを例示
8
9. CSAのグローバル活動:
健康医療情報管理ワーキンググループの例
• モバイルのクラウドセキュリティと健康医療(2)
• CSAにおけるHealth Information Management WGとMobile WGと
の連携
• 「Cloud Controls Matrix v3.0」で新設されたモバイルセキュリティ
項目の健康医療分野への適用
• 「Security Guidance for Critical Areas of Mobile Computing
v1.0」(2012年11月)の健康医療分野への適用
• 認証、BYOD(Bring Your Own Device)、モバイルデバイス
管理(MDM)、App Storeセキュリティ(開発者含む) など
9
10. CSAのグローバル活動:
健康医療情報管理ワーキンググループの例
• ビッグデータのクラウドセキュリティと健康医療
• 米国NISTがBig Data Working Groupを設置
•
•
•
•
•
•
•
Big Data Definitions
Big Data Taxonomies
Big Data Requirements
Big Data Security and Privacy Requirements
Big Data Security and Privacy Reference Architectures
Big Data Reference Architectures
Big Data Technology Roadmap
• CSAにおけるHealth Information Management WGとBig Data WGと
の連携
•
「Expanded Top Ten Big Data Security and Privacy Challenges」(2013
年6月)などの健康医療分野への適用
• インフラストラクチャセキュリティ、データプライバシー、データ管理、
完全性/反応的なセキュリティ など
10
16. モバイルワーキンググループのご紹介
• CSA Mobile Working Group
(https://cloudsecurityalliance.org/research/mobile/)(1)
• 代表幹事: David Lingenfelter, Fiberlink
Cesare Garlati, Trend Micro
• 活動領域:
•
•
•
•
•
•
•
•
Securing application stores and other public entities deploying software to mobile devices
Analysis of mobile security capabilities and features of key mobile operating systems
Cloud-based management, provisioning, policy, and data management of mobile devices to
achieve security objectives
Guidelines for the mobile device security framework and mobile cloud architectures
Scalable authentication from mobile devices to multiple, heterogeneous cloud providers
Best practices for secure mobile application development and securely enabling existing
applications on mobile platforms
Identification of primary risks related to individually owned devices accessing
organizational systems (commonly known as BYOD – Bring Your Own Device)
Solutions for resolving multiple usage roles related to BYOD, e.g. personal and business
use of a common device
16
17. モバイルワーキンググループのご紹介
• CSA Mobile Working Group
(https://cloudsecurityalliance.org/research/mobile/)(2)
• 過去の主な活動実績
•
•
•
•
2012年9月:モバイルデバイスのライフサイクルセキュリティ管理における重要な構成
年 月
要素17項目をまとめた「Mobile Device Management: Key Components, V1.0」を公表
2012年10月:企業環境におけるモバイルデバイスセキュリティの脅威に関するアンケー
年 月
ト結果をまとめた報告書「Top Mobile Threats」を公表
2012年11月:モバイルの定義、モバイルコンピューティングの現状に加えて、、Bring
年 月
Your Own Device (BYOD)、認証、App Stores、モバイルデバイス管理(MDM)など、
モバイル利用上の留意点を整理した「Security Guidance for Critical Areas of Mobile
Computing V1.0」を公表
2013年12月:推奨される認証プロセスを決定する際の主な要素、信頼境界の定義方
年 月
法、企業/BYOD環境におけるモバイル認証の使い勝手を改善するガイドライン、認
証の脅威/リスクを定義して適正なリスク評価を行うための方法などを整理した
「Mobile Authentication」を公表予定
17
19. ビッグデータワーキンググループのご紹介
• CSA Big Data Working Group
(https://cloudsecurityalliance.org/research/big-data/)(1)
• Chair: Sreeranga Rajan, Fujitsu
• Co-Chairs: Neel Sundaresan, eBay
Wilco van Ginkel, Verizon
• 活動領域:
• Lead to crystallization of best practices for security and privacy in
big data.
• Help industry and government on adoption of best practices.
• Establish liaisons with other organizations in order to coordinate
the development of big data security and privacy standards.
• Accelerate the adoption of novel research aimed to address
security and privacy issues.
• Put together research proposals for joint funding by government
and industry initiatives.
19
20. ビッグデータワーキンググループのご紹介
• CSA Big Data Working Group
(https://cloudsecurityalliance.org/research/big-data/)(2)
• 過去の主な活動実績:
•
•
•
•
2012年11月:ビッグデータのセキュリティ/プライバシーにおける技術的/組織
年 月
的問題10項目をまとめた「Top 10 Big Data Security and Privacy Challenges」を
公表
2013年6月:サイバー攻撃、データ漏えいのシナリオなどを包含する脅威モデル
年 月
を形式化する「モデリング」、脅威モデルに基づいて扱いやすいソリューションを
見つける「分析」、既存のインフラにソリューションを埋め込む「導入」の視点から
拡張/整理した 「Expanded Top Ten Big Data Security & Privacy Challenges」
を公表
2013年9月:大量の構造化/非構造化データを活用した新しいツール/機会の
年 月
導入/利用拡大によって変化するセキュリティ分析の動向を整理した「Big Data
Analytics For Security Intelligence」を公表
2013年12月:図表、動画など、多岐にわたるビッグデータを、前述の十大脅威の
年 月
視点毎にマッピングすることを目的として「Big Data Security Taxonomy and
Framework」を公表する予定
20