その他のセーフガード ガイダンス
Microsoft Entra ID は、1996 年の医療保険の移植性とアカウンタビリティに関する法律 (HIPAA) セーフガードを実装するための ID 関連のプラクティス要件を満たしています。 HIPAA に準拠するには、このガイダンスと必要な他の構成またはプロセスを使用してセーフガードを実装する必要があります。 この記事には、次の 3 つのコントロールに対する HIPAA コンプライアンスを実現するためのガイダンスが含まれています。
- 整合性セーフガード
- 個人またはエンティティの認証セーフガード
- 伝送セキュリティセーフガード
整合性セーフガードのガイダンス
Microsoft Entra ID は、HIPAA セーフガードを実装するための ID 関連のプラクティス要件を満たしています。 HIPAA に準拠するには、必要なその他の構成やプロセスと共に、このガイダンスを使用してセーフガードを実装します。
データ変更セーフガードの場合:
すべてのデバイスでファイルと電子メールを保護します。
機密データを検出して分類します。
機密データまたは個人データを含むドキュメントと電子メールを暗号化します。
次のコンテンツでは、HIPAA からのガイダンスの後に、Microsoft の推奨事項とガイダンスを含む表を示します。
HIPAA - 整合性
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| 勧告 | アクション |
|---|---|
| Microsoft Purview Information Protection (IP) を有効にする | 機密性の高いデータを検出、分類、保護、管理し、転送されるストレージとデータをカバーします。 |
| Exchange インプレース ホールドを構成する | Exchange Online には、電子情報開示をサポートするためのいくつかの設定が用意されています。 インプレース ホールド では、保持する項目に関する特定のパラメーターが使用されます。 決定マトリックスは、キーワード、送信者、領収書、日付に基づいて指定できます。 Microsoft Purview 電子情報開示ソリューション は、Microsoft Purview コンプライアンス ポータルの一部であり、すべての Microsoft 365 データ ソースを対象としています。 |
| Exchange Online で Secure/多目的インターネット メール拡張機能を構成する | S/MIME は、デジタル署名および暗号化されたメッセージを送信するために使用されるプロトコルです。 これは、非対称キーのペアリング、公開キーと秘密キーに基づいています。 Exchange Online は、電子メールの内容と送信者の身元を確認する署名の暗号化と保護を提供します。 |
| 監視とログ記録を有効にします。 | ログ記録と監視 は、環境をセキュリティで保護するために不可欠です。 この情報は、調査をサポートするために使用され、異常なパターンを特定することで潜在的な脅威を検出するのに役立ちます。 サービスのログ記録と監視を有効にして、不正アクセスのリスクを軽減します。microsoft Purview 監査 |
個人またはエンティティ認証のセーフガード ガイダンス
Microsoft Entra ID は、HIPAA セーフガードを実装するための ID 関連のプラクティス要件を満たしています。 HIPAA に準拠するには、必要なその他の構成やプロセスと共に、このガイダンスを使用してセーフガードを実装します。
監査と個人およびエンティティのセーフガードの場合:
エンド ユーザー要求がデータ アクセスに対して有効であることを確認します。
格納されているデータのリスクを特定して軽減します。
次のコンテンツでは、HIPAA からのガイダンスの後に、Microsoft の推奨事項とガイダンスを含む表を示します。
HIPAA - 個人またはエンティティの認証
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
ePHI データにアクセスするユーザーとデバイスが承認されていることを確認します。 デバイスが準拠していることを確認し、データ所有者にリスクにフラグを付けるためにアクションを監査する必要があります。
| 勧告 | アクション |
|---|---|
| 多要素認証を有効にする | Microsoft Entra 多要素認証 |
| 条件付きアクセス ポリシーを有効にする | 条件付きアクセス ポリシーは、承認されたアプリケーションのみにアクセスを制限するのに役立ちます。 Microsoft Entra は、ユーザー、デバイス、または場所からのシグナルを分析して決定を自動化し、リソースとデータにアクセスするための組織ポリシーを適用します。 |
| デバイス ベースの条件付きアクセス ポリシーを設定する | デバイス管理のための Microsoft Intune による条件付きアクセスと Microsoft Entra ポリシーにより、デバイスの状態を使用して、サービスとデータへのアクセスを許可または拒否できます。 デバイス コンプライアンス ポリシーを展開することで、リソースへのアクセスを許可するか拒否するかを決定するセキュリティ要件を満たしているかどうかを判断します。 |
| ロールベースのアクセス制御 (RBAC) を使用する | Microsoft Entra ID の Microsoft Entra ID は、組み込みロールのサポートを提供します。これは、変更できない固定のアクセス許可セットです。 プリセット リストを追加できる独自の カスタム ロール を作成することもできます。 |
伝送セキュリティセーフガードガイダンス
Microsoft Entra ID は、HIPAA セーフガードを実装するための ID 関連のプラクティス要件を満たしています。 HIPAA に準拠するには、必要なその他の構成やプロセスと共に、このガイダンスを使用してセーフガードを実装します。
暗号化の場合:
データの機密性を保護します。
データの盗難を防ぎます。
PHI への不正アクセスを防止します。
データの暗号化レベルを確認します。
PHI データの送信を保護するには:
PHI データの共有を保護します。
PHI データへのアクセスを保護します。
送信されるデータが暗号化されていることを確認します。
次のコンテンツでは、HIPAA ガイダンスからの監査および伝送セキュリティ 保護ガイダンスの一覧と、Microsoft Entra ID を使用してセーフガードの実装要件を満たすことを可能にする Microsoft の推奨事項を示します。
HIPAA - 暗号化
Implement a mechanism to encrypt and decrypt electronic protected health information.
ePHI データが暗号化され、準拠している暗号化キー/プロセスで暗号化解除されていることを確認します。
| 勧告 | アクション |
|---|---|
| Microsoft 365 暗号化ポイントを確認する | Microsoft 365 の Microsoft Purview を使用した 暗号化リストを確認し、さらに制御が必要な場合は修正します。 |
| データベースの暗号化を確認する | Transparent Data Encryption は、未承認またはオフライン アクセスから保存データを保護するためのセキュリティレイヤーを追加します。 AES 暗号化を使用してデータベースを暗号化します。 機密データのに対する動的データ マスクを使用すると、機密データの公開が制限されます。 これは、認証されていないユーザーにデータをマスクします。 マスクには、データベース スキーマ名、テーブル名、列名で定義する指定されたフィールドが含まれます。 新しいデータベースは既定で暗号化され、データベース暗号化キーは組み込みのサーバー証明書によって保護されます。 データベースを確認して、データ資産に暗号化が設定されていることを確認することをお勧めします。 |
| Azure Encryption ポイントを確認する | Azure 暗号化機能 は、保存データ、暗号化モデル、および Azure Key Vault を使用したキー管理の主要領域を対象とします。 さまざまな暗号化レベルと、それらが組織内のシナリオとどのように一致するかを確認します。 |
| データ収集と保持のガバナンスを評価する | Microsoft Purview データ ライフサイクル管理 は、 保持ポリシーを適用できます。 Microsoft Purview Records Management 重要:45 CFR 164.316で説明されているように: 時間制限 (必須)。 このセクションの 段落 (b)(1) で必要なドキュメントは、作成日から 6 年間、または最後に有効になった日付のいずれか後に保持してください。 |
HIPAA - PHI データ の伝送を保護する
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
PHI データを含むデータ交換を保護するためのポリシーと手順を確立します。
| 勧告 | アクション |
|---|---|
| オンプレミス アプリケーションの状態を評価する | Microsoft Entra アプリケーション プロキシ 実装 |
| 多要素認証を有効にする | Microsoft Entra 多要素認証 |
| アプリケーション アクセスの条件付きアクセス ポリシーを有効にする | 条件付きアクセス ポリシーは、承認されたアプリケーションへのアクセスを制限するのに役立ちます。 Microsoft Entra は、ユーザー、デバイス、または場所からのシグナルを分析して決定を自動化し、リソースとデータにアクセスするための組織ポリシーを適用します。 |
| Exchange Online Protection (EOP) ポリシーを確認する | Exchange Online のスパムとマルウェア保護 は、組み込みのマルウェアとスパム のフィルター処理を提供します。 EOP は受信メッセージと送信メッセージを保護し、既定で有効になっています。 EOP サービスでは、スプーフィング対策、検疫メッセージ、および Outlook でメッセージをレポートする機能も提供されます。 会社全体の設定に合わせてポリシーをカスタマイズできますが、これらは既定のポリシーよりも優先されます。 |
| 秘密度ラベルを構成する | Microsoft Purview から 200 種類の機密情報以外にも、名前エンティティ、トレーニング可能な分類子、カスタム機密型を保護する EDM などの高度な分類子があります。 |
| サービスに接続するためにプライベート接続が必要かどうかを評価する | Azure ExpressRoute サービスはレイヤー 3 接続を使用し、エッジ ルーターを接続し、動的なスケーラビリティを提供します。 |
| VPN の要件を評価する | VPN Gateway のドキュメント、サイト間、ポイント対サイト、VNet 対 VNet、マルチサイト VPN 接続を介してオンプレミス ネットワークを Azure に接続します。 サービスは、セキュリティで保護されたデータ転送を提供することで、ハイブリッド作業環境をサポートします。 |