次の方法で共有

Azure Local と HIPAA

  • [アーティクル]

この記事では、Azure Local で構築されたソリューションの HIPAA コンプライアンスを組織が最も効率的にナビゲートする方法に関するガイダンスを提供します。

医療コンプライアンス

1996年の医療保険の携行性と説明責任に関する法律(HIPAA)と医療基準(HITECH)、 ヘルス・インフォメーション・トラスト・アライアンス (HITRUST)は、患者の保護された医療情報(PHI)の機密性、完全性、および可用性を保護します。 これらの規制と基準により、医師のオフィス、病院、医療保険業者 ("対象エンティティ") などの医療機関が PHI を適切に作成、受信、維持、送信、またはアクセスすることが保証されます。 さらに、その要件は、対象となるエンティティに PHI を含むサービスを提供するビジネス アソシエイトにも及びます。 Microsoft は、医療企業がより効率的かつ安全に PHI を格納および処理するのに役立つ Azure Local などの情報テクノロジ サービスを提供するビジネス アソシエイトの例です。 次のセクションでは、Azure ローカル機能が組織がこれらの要件を満たすのにどのように役立つかについて説明します。

共同責任

Microsoft のお客様

HIPAA 法の対象となる対象エンティティとして、医療機関は独自のテクノロジ環境とユース ケースを個別に分析し、規制の要件に準拠したポリシーと手順を計画および実装します。 対象となるエンティティは、テクノロジ ソリューションのコンプライアンスを確保する責任を負います。 この記事のガイダンスおよび Microsoft が提供するその他のリソースは、参照として使用できます。

Microsoft

HIPAA 規制では、ビジネス アソシエイトは HIPAA コンプライアンスを保証するのではなく、対象となるエンティティとのビジネス アソシエイト契約 (BAA) を締結します。 Microsoft は、Microsoft Product Terms (旧称 Online Services Terms) の一部として、HIPAA BAA を、スコープ内の Azure サービスで使用するために HIPAA の対象となるエンティティまたはビジネス アソシエイトであるすべての顧客に提供します。

Azure ローカル コンプライアンスオファリング

Azure Local は、Azure クラウドとオンプレミスデータセンターの両方で仮想化されたワークロードをホストして格納するハイブリッド ソリューションです。 つまり、HIPAA 要件は、クラウドとローカル データ センターの両方で満たす必要があります。

Azure Cloud Services

HIPAA の法律は医療企業向けに設計されているため、Microsoft Azure などのクラウド サービスを認定することはできません。 ただし、Azure と Azure Local の接続されたクラウド サービスは、HIPAA や HITECH と同等またはより厳格な他の確立されたセキュリティ フレームワークと標準に準拠しています。 医療業界向けの Azure コンプライアンス プログラムの詳細については、 Azure と HIPAAを参照してください。

オンプレミスの環境

ハイブリッド ソリューションとして、Azure Local は、Azure クラウド サービスと、お客様の組織によってオンプレミスでホストされているオペレーティング システムとインフラストラクチャを組み合わせたものです。 Microsoft は、クラウド環境とオンプレミス環境の両方で、組織が HIPAA やその他の医療業界標準への準拠を満たすのに役立つさまざまな機能を提供しています。

HIPAA セキュリティ規則に関連する Azure ローカル機能

このセクションでは、次の 5 つの制御ドメインで構成される HIPAA セキュリティ 規則のセキュリティ制御目標を達成するために、Azure Local の機能がどのように役立つかについて説明します。

重要

次のセクションでは、プラットフォーム レイヤーに重点を置いたガイダンスを提供します。 特定のワークロードとアプリケーション レイヤーに関する情報は範囲外です。

ID 管理とアクセス管理

Azure Local では、Azure Arc や Windows PowerShell などの複数のインターフェイスを介して、基になるシステムに完全かつ直接アクセスできます。 ローカル環境の従来の Windows ツールまたは Microsoft Entra ID (旧称 Azure Active Directory) などのクラウドベースのソリューションを使用して、ID とプラットフォームへのアクセスを管理できます。 どちらの場合も、多要素認証 (MFA)、条件付きアクセス、ロールベースのアクセス制御 (RBAC)、特権 ID 管理 (PIM) などの組み込みのセキュリティ機能を利用して、環境がセキュリティで保護され、準拠していることを確認できます。

ローカル ID とアクセス管理の詳細については、Microsoft Identity Manager および Active Directory ドメイン Services の特権アクセス管理を参照してください。 クラウドベースの ID とアクセス管理の詳細については、 Microsoft Entra ID を参照してください。

データ保護

BitLocker を使用したデータの暗号化

Azure ローカル インスタンスでは、保存データはすべて BitLocker XTS-AES 256 ビット暗号化を使用して暗号化できます。 既定では、BitLocker を有効にして、Azure ローカル デプロイ内のすべてのオペレーティング システム (OS) ボリュームとクラスター共有ボリューム (CSV) を暗号化することをお勧めします。 展開後に追加された新しいストレージ ボリュームの場合は、BitLocker を手動で有効にして新しいストレージ ボリュームを暗号化する必要があります。 BitLocker を使用してデータを保護することで、組織は ISO/IEC 27001 に準拠し続けることができます。 詳細については、「 クラスター共有ボリューム (CSV) での BitLocker の使用」を参照してください。

TLS/DTLS を使用した外部ネットワーク トラフィックの保護

既定では、ローカルおよびリモート エンドポイントへのすべてのホスト通信は、TLS1.2、TLS1.3、および DTLS 1.2 を使用して暗号化されます。 プラットフォームでは、TLS/DTLS 1.1 SMB1 などの古いプロトコル/ハッシュの使用が無効になります。 Azure Local では、SDL 準拠の 楕円曲線などの強力な暗号スイートもサポートされています。NIST 曲線 P-256 と P-384 のみに限定されます。

サーバー メッセージ ブロック (SMB) を使用した内部ネットワーク トラフィックの保護

SMB 署名は、Azure ローカル インスタンスのクライアント接続に対して既定で有効になっています。 クラスター内トラフィックの場合、SMB 暗号化は、システム間で転送中のデータを保護するために、デプロイ中またはデプロイ後に有効にできるオプションです。 AES-256-GCM および AES-256-CCM 暗号化スイートは、クライアント サーバー ファイル トラフィックとクラスター内データ ファブリックで使用される SMB 3.1.1 プロトコルでサポートされるようになりました。 このプロトコルでは、より広く互換性のある ES-128 スイートも引き続きサポートされます。 詳細については、 SMB のセキュリティ強化を参照してください。

ログ記録と監視

ローカル システム ログ

既定では、Azure Local 内で実行されるすべての操作が記録されるため、プラットフォームで誰が何を、いつ、どこで実行したかを追跡できます。 Windows Defender によって作成されたログとアラートも含まれており、データ侵害の可能性と影響を防ぎ、検出し、最小限に抑えるのに役立ちます。 多くの場合、システム ログには大量の情報が含まれており、その多くは情報セキュリティの監視とは無関係であるため、セキュリティ監視の目的で収集および使用されるイベントを特定する必要があります。 Azure 監視機能は、これらのログの収集、保存、アラート、分析に役立ちます。 詳細については、Azure Local の セキュリティ ベースライン を参照してください。

ローカル アクティビティ ログ

Azure Local は、実行されたすべてのアクション プランのアクティビティ ログを作成して格納します。 これらのログは、より詳細な調査とコンプライアンスの監視をサポートします。

クラウド アクティビティ ログ

クラスターを Azure に登録することで、 Azure Monitor アクティビティ ログ を使用して、サブスクリプション レイヤーの各リソースに対する操作を記録し、サブスクリプション内のリソースに対して実行された書き込み操作 (配置、投稿、削除) を決定できます。

クラウド ID ログ

Microsoft Entra ID を使用して ID とプラットフォームへのアクセスを管理している場合は、 Azure AD レポートでログを表示したり Azure Monitor、Microsoft Sentinel、またはその他の SIEM/監視ツールと統合して高度な監視と分析のユース ケースを実現したりできます。 オンプレミスの Active Directoryを使用している場合は、Microsoft Defender for Identity ソリューションを使用して、オンプレミスの Active Directoryシグナルを使用して、高度な脅威、侵害された ID、組織に向けられた悪意のあるインサイダー アクションを特定、検出、調査します。

SIEM 統合

Microsoft Defender for Cloud と Microsoft Sentinel は、Arc 対応の Azure Local マシンとネイティブに統合されています。 セキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション自動応答 (SOAR) 機能を提供する Microsoft Sentinel にログを有効にしてオンボードできます。 Microsoft Sentinel は、他の Azure クラウド サービスと同様に、HIPAA や HITRUST などの多くの確立されたセキュリティ標準に準拠しており、認定プロセスに役立ちます。 さらに、Azure Local には、システム イベントをサード パーティの SIEM ソリューションに送信するためのネイティブ Syslog イベント フォワーダーが用意されています。

Azure Local Insights

Azure Local Insights を使用すると、Azure に接続され、監視に登録されているシステムの正常性、パフォーマンス、使用状況の情報を監視できます。 Insights の構成中に、収集するデータを指定するデータ収集ルールが作成されます。 このデータは Log Analytics ワークスペースに格納され、Azure ブックを使用して事前構築済みの監視ダッシュボードを提供するために集計、フィルター処理、分析されます。 Azure ローカル リソース ページまたは Azure Monitor から、単一ノードまたはマルチノード システムの監視データを表示できます。 詳細については、 Insights を使用した Azure Local の監視に関するページを参照してください。

Azure ローカル メトリック

メトリックは、監視対象リソースの数値データを時系列データベースに格納します。 Azure Monitor メトリック ス エクスプローラーを使用して、メトリック データベース内のデータを対話形式で分析し、時間の経過と同時に複数のメトリックの値をグラフ化できます。 メトリックを使用すると、メトリック値からグラフを作成し、傾向を視覚的に関連付けることができます。

ログ アラート

リアルタイムで問題を示すために、平均サーバー CPU、使用可能なメモリ、使用可能なボリューム容量などの既存のサンプル ログ クエリを使用して、Azure ローカル システムのアラートを設定できます。 詳細については、「 Azure ローカル システムのアラートを設定するを参照してください。

メトリック アラート

メトリック アラート ルールでは、リソース メトリックの条件を定期的に評価することで、リソースが監視されます。 条件が満たされると、アラートが発生します。 メトリック時系列は、一定期間にキャプチャされた一連のメトリック値です。 これらのメトリックを使用して、アラート ルールを作成できます。 メトリック アラートを作成する方法の詳細については、 Metric alerts を参照してください。

サービスとデバイスのアラート

Azure Local では、接続、OS の更新、Azure 構成などのサービス ベースのアラートが提供されます。 クラスターの正常性エラーに対するデバイス ベースのアラートも使用できます。 PowerShellまたはヘルス サービスを使用して、Azure Local インスタンスとその基になるコンポーネントを監視することもできます。

マルウェアに対する保護

Windows Defender ウイルス対策

Windows Defender ウイルス対策は、リアルタイムのシステム スキャンと定期的なスキャンを適用して、ウイルス、マルウェア、スパイウェア、その他の脅威からプラットフォームとワークロードを保護するユーティリティ アプリケーションです。 既定では、Microsoft Defender ウイルス対策は Azure Local で有効になっています。 Microsoft では、サード パーティのウイルス対策ソフトウェアやマルウェア検出ソフトウェアやサービスではなく、Azure Local でMicrosoft Defender ウイルス対策を使用することをお勧めします。これは、オペレーティング システムが更新プログラムを受信する機能に影響を与える可能性があるためです。 詳細については、Windows Server のMicrosoft Defender ウイルス対策を参照してください。

アプリケーション制御

アプリケーション制御は、各サーバーで直接実行できるドライバーとアプリケーションを制御するために Azure Local で既定で有効になっており、マルウェアがシステムにアクセスするのを防ぎます。 Azure Local に含まれる基本ポリシーの詳細と、Azure ローカルのアプリケーション制御の管理 で補足ポリシーを作成する方法について説明します。

Microsoft Defender for Cloud

Microsoft Defender for Cloud with Endpoint Protection ( Defender for Servers プランで有効) は、高度な脅威保護機能を備えたセキュリティ体制管理ソリューションを提供します。 インフラストラクチャのセキュリティ状態を評価し、ワークロードを保護し、セキュリティ アラートを生成し、特定の推奨事項に従って攻撃を修復し、将来の脅威に対処するためのツールが提供されます。 これらのサービスはすべてクラウドで高速に実行され、Azure サービスを使用した自動プロビジョニングと保護によるデプロイのオーバーヘッドはありません。 詳細については、 Microsoft Defender for Cloud を参照してください。

バックアップと回復

ストレッチ クラスター

Azure Local には、ストレッチ クラスタリング (Azure Local バージョン 22H2 で利用可能) を使用した仮想化ワークロードのディザスター リカバリーが組み込まれています。 ストレッチされた Azure Local インスタンスをデプロイすることで、仮想化されたワークロードを 2 つの個別のオンプレミスの場所に同期的にレプリケートし、それらの間で自動的にフェールオーバーできます。 計画されたサイト フェールオーバーは、Hyper-V ライブ マイグレーションを使用してダウンタイムなしで発生する可能性があります。

Kubernetes クラスター ノード

Azure Local を使用してコンテナー ベースのデプロイをホストする場合、プラットフォームは Azure Kubernetes デプロイに固有の機敏性と回復性を高めるのに役立ちます。 基になる物理コンポーネントのローカライズされた障害が発生した場合、Azure Local は Kubernetes クラスター ノードとして機能する VM の自動フェールオーバーを管理します。 この構成により、Kubernetes に組み込まれた高可用性が強化され、同じまたは別の VM で失敗したコンテナーが自動的に再起動されます。

Azure Site Recovery

このサービスを使用すると、オンプレミスの Azure ローカル VM で実行されているワークロードをクラウドにレプリケートできるため、ストレージ メディアのインシデント、障害、または損失が発生した場合に情報システムを復元できます。 他の Azure クラウド サービスと同様に、Azure Site Recovery には、認定プロセスをサポートするために使用できる HITRUST を含むセキュリティ証明書の長い実績があります。 詳細については、Azure Site Recovery on Azure Local を使用した VM ワークロードの保護に関するページを参照してください。

Microsoft Azure Backup Server (MABS)

このサービスを使用すると、必要な頻度と保有期間を指定して、Azure ローカル仮想マシンをバックアップできます。 MABS を使用して、次のような環境全体でほとんどのリソースをバックアップできます。

  • Azure ローカル ホストのシステム状態/ベア メタル復旧 (BMR)
  • ローカルストレージまたは直接接続ストレージを持つシステム内のゲスト VM
  • CSV ストレージを使用する Azure ローカル インスタンス上のゲスト VM
  • クラスター内での VM の移動

詳細については、 Azure Backup Server を使用した Azure ローカル仮想マシンのバックアップに関するページを参照してください。