監査制御のセーフガード ガイダンス
Microsoft Entra ID では、1996 年の医療保険の携行性と責任に関する法律 (HIPAA) のセーフガードを実装するための ID 関連のプラクティス要件を満たしています。 HIPAA に準拠するには、このガイダンスを使用して、他の必要な構成またはプロセスと共にセーフガードを実装します。
監査制御の場合:
個人データ ストレージのデータ ガバナンスを確立します。
機密データを識別してラベルを付けます。
監査コレクションとセキュリティで保護されたログ データを構成します。
データ損失防止を構成します。
情報保護を有効にします。
セーフガードの場合:
保護された正常性情報 (PHI) データが格納される場所を決定します。
格納されているデータのリスクを特定して軽減します。
この記事では、関連する HIPAA セーフガードの文言について説明し、その後に、HIPAA コンプライアンスの実現に役立つ Microsoft の推奨事項とガイダンスを示す表を示します。
監査制御
次の内容は、HIPAA からのセーフガード ガイダンスです。 セーフガードの実装要件を満たすための Microsoft の推奨事項をご覧ください。
HIPAA セーフガード - 監査制御
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
| 推奨 | アクション |
|---|---|
| Microsoft Purview を有効にする | Microsoft Purview では、データ ガバナンスを提供して、データの管理と監視に役立ちます。 Purview を使用すると、コンプライアンス リスクを最小限に抑え、規制要件を満たすことができます。 ガバナンス ポータルの Microsoft Purview には、オンプレミス、マルチクラウド、サービスとしてのソフトウェア (SaaS) データの管理に役立つ統合データ ガバナンス サービスが用意されています。 Microsoft Purview は、データの機密データ ライフサイクル保護とデータ損失防止を視覚化できるように連携する一連の製品であるフレームワークです。 |
| Microsoft Sentinel を有効にします | Microsoft Sentinel では、セキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション、自動化、対応 (SOAR) ソリューションです。 Microsoft Sentinel では、監査ログを収集し、組み込みの AI を使用して大量のデータを分析します。 SIEM を使用すると、検出されない可能性のあるインシデントを組織で検出できます。 |
| Azure Monitor を構成する | Azure Monitor ログを使用すると、ログが収集および整理され、クラウドとハイブリッド環境に拡張されます。 Azure トラスト センターと組み合わせてリソースを保護する方法に関する主要な領域に関する推奨事項が提供されます。 |
| OMS のログ記録と監視を有効にする | 環境をセキュリティで保護するには、 ログ記録と監視が不可欠です。 データは調査をサポートし、異常なパターンを特定して潜在的な脅威を検出するのに役立ちます。 サービスのログ記録と監視を有効にして、許可されていないアクセスのリスクを軽減します。 Microsoft Entra アクティビティ ログを監視することをお勧めします。 |
| 電子保護された正常性情報 (ePHI) データのスキャン環境 | Microsoft Purview を監査モードで有効にすると、データ資産内にある ePHI と、そのデータの格納に使用されているリソースをスキャンできます。 この機能は、データの機密性に基づいてデータ分類とラベル付けを確立するのに役立ちます。 |
| データ損失防止 (DLP) ポリシーを作成する | DLP ポリシーは、機密データが失われたり、不正使用されたり、許可されていないユーザーによってアクセスされたりしないようにするためのプロセスを確立するのに役立ちます。 これにより、データ侵害と流出が防止されます。 Microsoft Purview DLP では、メール メッセージを調べ、Microsoft Purview コンプライアンス ポータルに移動してポリシーを確認し、組織に合わせてカスタマイズします。 |
| Azure Policy による監視を有効にする | Azure Policy は、組織の標準を適用するのに役立ち、環境全体のコンプライアンスの状態を評価できます。 この方法により、一貫性、規制コンプライアンス、監視が保証され、Microsoft Defender for Cloud を通じてセキュリティに関する推奨事項が提供されます |
| デバイス管理の前提要件を評価する | Microsoft Intune では、モバイル デバイス管理 (MDM) とモバイル アプリケーション管理 (MAM) を行います。 Microsoft Intune では、会社と個人のデバイスを制御できます。 機能には、デバイスの使用方法の管理や、モバイル アプリケーションを直接制御できるポリシーの適用が含まれます。 |
| アプリケーション保護 | Microsoft Intune では、Microsoft 365 Office アプリケーションに対応するデータ保護フレームワークを確立し、それらを複数のデバイスに組み込むことができます。 アプリ保護ポリシーにより、個人 (BYOD) と企業所有の両方のデバイスのアプリに組織のデータを安全に確保できます。 |
| インサイダー リスク管理を構成する | Microsoft Purview インサイダー リスク管理 では、シグナルを関連付けて、IP 盗難、データ漏洩、セキュリティ違反など、悪意のある、または不注意なインサイダー リスクの可能性を特定します。 インサイダー リスク管理を使用すると、セキュリティとコンプライアンスを管理するためのポリシーを作成できます。 この機能は、プライバシーの原則に基づいて計画的に構築され、ユーザーは既定で匿名化され、ユーザー レベルのプライバシーを確保するためにロール ベースのアクセス制御と監査ログが用意されています。 |
| コミュニケーション コンプライアンスを構成する | Microsoft Purview コミュニケーション コンプライアンスには、組織が証券取引委員会 (SEC) や金融規制機構 (FINRA) 標準のコンプライアンスなどの規制コンプライアンスを検出するのに役立つツールが用意されています。 このツールでは、機密情報、嫌がらせや脅迫的な言葉、成人向けコンテンツの共有などのビジネス行為の違反を監視します。 この機能は、プライバシーを使用して計画的に構築され、ユーザー名は既定で匿名化され、ロールベースのアクセス制御が組み込まれています、調査担当者は管理者によってオプトインされ、監査ログはユーザー レベルのプライバシーを確保するのに役立ちます。 |
セーフガードの制御
次のコンテンツでは、HIPAA からのセーフガードの制御のガイダンスを提供します。 HIPAA コンプライアンスを満たすための Microsoft の推奨事項を確認します。
HIPAA - セーフガード
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
| 推奨 | アクション |
|---|---|
| ePHI データの環境をスキャンする | Microsoft Purview を監査モードで有効にすると、データ資産内にある ePHI と、そのデータの格納に使用されているリソースをスキャンできます。 この情報は、データ分類の確立とデータの秘密度のラベル付けに役立ちます。 さらに、コンテンツ エクスプローラーを使用すると、機密データが配置されている場所を可視化できます。 この情報は、ラベル付けの作業 (クライアント側の手動のラベル付けまたはラベル付けの推奨事項をサービス側の自動ラベル付けに適用) を開始するのに役立ちます。 |
| Priva を有効にして Microsoft 365 データを保護する | Microsoft Priva では、Microsoft 365 に格納されている ePHI データを評価し、機密情報をスキャンして評価します。 |
| Azure セキュリティ ベンチマークを有効にする | Microsoft クラウド セキュリティ ベンチマークでは、Azure サービス全体のデータ保護を制御し、ePHI を格納するサービスの実装のベースラインを提供します。 監査モードでは、環境をセキュリティで保護するための推奨事項と修復手順が提供されます。 |
| Defender 脆弱性の管理を有効にする | Microsoft の Defender 脆弱性の管理は、Microsoft Defender for Endpoint の組み込みモジュールです。 このモジュールは、脆弱性や構成の誤りをリアルタイムで特定して検出するのに役立ちます。 このモジュールは、ダッシュボードでの結果の提示に優先順位を付け、デバイス、VM、データベース間でレポートを作成するのにも役立ちます。 |