その他のセーフガード ガイダンス
Microsoft Entra ID では、1996 年の医療保険の携行性と責任に関する法律 (HIPAA) のセーフガードを実装するための ID 関連のプラクティス要件を満たしています。 HIPAA に準拠するために、企業には、このガイダンスと必要な他の構成やプロセスを使用して、セーフガードを実装する責任があります。 この記事には、次の 3 つのコントロールに対する HIPAA コンプライアンスを実現するためのガイダンスが含まれています。
- 整合性セーフガード
- 個人またはエンティティの認証セーフガード
- 伝送セキュリティ セーフガード
整合性セーフガードのガイダンス
Microsoft Entra ID は、HIPAA セーフガードを実装するための ID 関連のプラクティス要件を満たしています。 HIPAA に準拠するために、このガイダンスと必要な他の構成やプロセスを使用して、セーフガードを実装します。
データ変更セーフガードの場合:
すべてのデバイス間でファイルとメールを保護します。
機密データを検出して分類します。
機密データまたは個人データを含むドキュメントと電子メールを暗号化します。
次のコンテンツでは、HIPAA からのガイダンスに続いて、Microsoft の推奨事項とガイダンスを記載した表を示します。
HIPAA - 整合性
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| 推奨 | アクション |
|---|---|
| Microsoft Purview Information Protection (IP) を有効にする | ストレージと伝送されるデータを対象にして、機密データを検出、分類、保護、管理します。 Microsoft Purview IP を使用してデータを保護すると、データのランドスケープを特定し、フレームワークを確認し、データを特定して保護するためのアクティブな手順を実行できます。 |
| Exchange インプレース ホールドを構成する | Exchange Online には、電子情報開示をサポートするためのいくつかの設定が用意されています。 インプレース ホールドでは、保持する必要がある項目に関する特定のパラメーターが使用されます。 意思決定マトリックスは、キーワード、送信者、受信、日付に基づきます。 Microsoft Purview eDiscovery ソリューションは、Microsoft Purview コンプライアンス ポータルの一部であり、すべての Microsoft 365 データ ソースを対象としています。 |
| Exchange Online で Secure/Multipurpose Internet Mail Extensions を構成する | S/MIME は、デジタル署名され、暗号化されたメッセージを送信する場合に使用されるプロトコルです。 これは、非対称キーのペアリング、公開キーと秘密キーに基づいています。 Exchange Online では、送信者の ID を検証するメールと署名のコンテンツの暗号化と保護を提供します。 |
| 監視とログ記録を有効にする。 | 環境をセキュリティで保護するには、ログ記録と監視が不可欠です。 この情報は、調査をサポートするために使用され、異常なパターンを特定することで潜在的な脅威を検出するのに役立ちます。 サービスのログ記録と監視を有効にして、不正アクセスのリスクを軽減します。 Microsoft Purview 監査によって、Microsoft 365 のサービス全体で監査されたアクティビティを可視化できます。 監査ログの保持期間を延ばすことで、調査に役立ちます。 |
個人またはエンティティの認証のセーフガード ガイダンス
Microsoft Entra ID は、HIPAA セーフガードを実装するための ID 関連のプラクティス要件を満たしています。 HIPAA に準拠するために、このガイダンスと必要な他の構成やプロセスを使用して、セーフガードを実装します。
監査と個人およびエンティティのセーフガードの場合:
エンド ユーザー要求がデータ アクセスに対して有効であることを確認します。
格納されているデータのリスクを特定して軽減します。
次のコンテンツでは、HIPAA からのガイダンスに続いて、Microsoft の推奨事項とガイダンスを記載した表を示します。
HIPAA - 個人またはエンティティの認証
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
ePHI データにアクセスするユーザーとデバイスが認可されていることを確認します。 デバイスが準拠しており、アクションが監査されて、データ所有者に対してリスクにフラグが設定されることを確認する必要があります。
| 推奨 | アクション |
|---|---|
| 多要素認証を有効にする | Microsoft Entra 多要素認証では、セキュリティのレイヤーを追加して ID が保護されます。 追加レイヤーでは、不正アクセスを防ぐための効果的な方法が提供されます。 MFA を使用すると、認証プロセス時にサインイン資格情報をより詳しく検証する要件が有効になります。 Authenticator アプリを設定すると、ワンクリック検証が提供されます。または Microsoft Entra パスワードレス構成を構成できます。 |
| 条件付きアクセス ポリシーを有効にする | 条件付きアクセス ポリシーは、承認されたアプリケーションのみにアクセスを制限するのに役立ちます。 Microsoft Entra では、ユーザー、デバイス、場所からのシグナルが分析されて決定が自動化され、リソースとデータへのアクセスに対して組織のポリシーが適用されます。 |
| デバイス ベースの条件付きアクセス ポリシーを設定する | デバイス管理の Microsoft Intune による条件付きアクセスと Microsoft Entra ポリシーにより、デバイスの状態を使用して、サービスとデータへのアクセスを許可または拒否できます。 デバイス コンプライアンス ポリシーを展開することで、セキュリティ要件を満たしているかどうかが判断され、リソースへのアクセスを許可するか拒否するかが決定されます。 |
| ロール ベースのアクセス制御 (RBAC) を使用する | Microsoft Entra ID の RBAC では、職務の分離を含むエンタープライズ レベルのセキュリティを提供します。 システムと共に、リソースと機密データに対する機密性、プライバシー、アクセス管理を保護するためのアクセス許可を調整および確認します。 Microsoft Entra ID では、組み込みロールのサポートが提供されます。これは、変更できない固定のアクセス許可のセットです。 独自のカスタム ロールを作成して、プリセット リストを追加することもできます。 |
伝送セキュリティ セーフガードのガイダンス
Microsoft Entra ID は、HIPAA セーフガードを実装するための ID 関連のプラクティス要件を満たしています。 HIPAA に準拠するために、このガイダンスと必要な他の構成やプロセスを使用して、セーフガードを実装します。
暗号化の場合:
データの機密性を保護します。
データの盗難を防ぎます。
PHI への不正アクセスを防ぎます。
データの暗号化レベルを確認します。
PHI データの伝送を保護するには:
PHI データの共有を保護します。
PHI データへのアクセスを保護します。
伝送されるデータが暗号化されていることを確認します。
次のコンテンツでは、HIPAA ガイダンスからの監査および伝送セキュリティ セーフガード ガイダンスの一覧と、Microsoft Entra ID でセーフガード実装要件を満たせるようにするための Microsoft の推奨事項を示します。
HIPAA - 暗号化
Implement a mechanism to encrypt and decrypt electronic protected health information.
準拠している暗号化キー/プロセスを使用して ePHI データが暗号化され、復号化されていることを確認します。
| 推奨 | アクション |
|---|---|
| Microsoft 365 暗号化ポイントを確認する | Microsoft 365 の Microsoft Purview を使用した暗号化は、物理データ センター、セキュリティ、ネットワーク、アクセス、アプリケーション、データ セキュリティなど、複数のレイヤーで広範な保護を提供する、高度に安全な環境です。 暗号化の一覧を確認し、追加の制御が必要な場合は修正します。 |
| データベースの暗号化を確認する | Transparent Data Encryption ではセキュリティ層が追加され、不正またはオフライン アクセスから保存データを保護するのに役立ちます。 AES 暗号化を使用してデータベースを暗号化します。 機密データの動的データ マスキング。これにより、機密データの公開が制限されます。 認証されていないユーザーに対してデータがマスクされます。 マスクには、データベース スキーマ名、テーブル名、列名に定義する指定されたフィールドが含まれます。 新しいデータベースが既定で暗号化され、データベース暗号化キーは組み込まれているサーバー証明書によって保護されます。 データベースを確認して、データ資産に暗号化が設定されていることを確認することをお勧めします。 |
| Azure 暗号化ポイントを確認する | Azure 暗号化機能では、保存データ、暗号化モデル、Azure Key Vault を使用したキー管理の主要な分野を対象としています。 さまざまな暗号化レベルと、それらが組織内のシナリオにどの程度一致しているかを確認します。 |
| データ収集と保持ガバナンスを評価する | Microsoft Purview データ ライフサイクル管理を使用すると、保持ポリシーを適用できます。 Microsoft Purview レコード管理を使用すると、保持ラベルを適用できます。 この戦略は、データ資産全体の資産を可視化するのに役立ちます。 この戦略は、クラウド、アプリ、エンドポイント間で機密データを保護し管理するのにも役立ちます。 重要: 45 CFR 164.316: 時間制限 (必須) に示されているとおりです。 このセクションの段落 (b)(1) で必要なドキュメントは、作成日から 6 年間、または最後に有効になった日付のいずれか遅い方の期間保持します。 |
HIPAA - PHI データの伝送を保護する
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
PHI データを含むデータ交換を保護するためのポリシーと手続きを確立します。
| 推奨 | アクション |
|---|---|
| オンプレミス アプリケーションの状態を評価する | Microsoft Entra アプリケーション プロキシ実装では、オンプレミスの Web アプリケーションを外部に安全な方法で公開します。 Microsoft Entra アプリケーション プロキシを使用すると、外部 URL エンドポイントを Azure に安全に公開できます。 |
| 多要素認証を有効にする | Microsoft Entra 多要素認証では、セキュリティのレイヤーを追加して ID が保護されます。 セキュリティ レイヤーを追加することは、不正アクセスを防ぐ効果的な方法です。 MFA を使用すると、認証プロセス時にサインイン資格情報をより詳しく検証する要件が有効になります。 ワンクリック検証またはパスワードレス認証を提供するように Authenticator アプリを構成できます。 |
| アプリケーション アクセスの条件付きアクセス ポリシーを有効にする | 条件付きアクセス ポリシーは、承認されたアプリケーションへのアクセスを制限するのに役立ちます。 Microsoft Entra では、ユーザー、デバイス、場所からのシグナルが分析されて決定が自動化され、リソースとデータへのアクセスに対して組織のポリシーが適用されます。 |
| Exchange Online Protection (EOP) ポリシーを確認する | Exchange Online のスパムとマルウェア保護により、組み込みのマルウェアとスパム フィルターが提供されます。 EOP は、受信メッセージと送信メッセージを保護し、既定で有効にされています。 EOP サービスには、スプーフィング対策、メッセージの検疫、および Outlook でメッセージを報告する機能もあります。 ポリシーは会社全体の設定に合うようにカスタマイズできます。これらは既定のポリシーよりも優先されます。 |
| 機密ラベルの構成 | Microsoft Purview の秘密度ラベルを使用すると、組織のデータを分類して保護できます。 ラベルにより、ドキュメント内の保護設定をコンテナーに提供します。 たとえば、このツールにより、Microsoft Teams および SharePoint サイトに保存されているドキュメントを保護して、プライバシー設定を設定し、適用します。 SQL、Azure SQL、Azure Synapse、Azure Cosmos DB、AWS RDS などのファイルとデータ資産にラベルを拡張します。 200 を超えるすぐに使用できる機密情報の種類以外にも、名前エンティティ、トレーニング可能な分類子、カスタムの機密の種類を保護するための EDM などの高度な分類子があります。 |
| サービスに接続するためにプライベート接続が必要かどうかを評価する | Azure ExpressRoute では、クラウドベースの Azure データセンターと、オンプレミスにあるインフラストラクチャとの間でプライベート接続が作成されます。 データはパブリック インターネット経由で転送されません。 このサービスでは、レイヤー 3 接続が使用され、エッジ ルーターが接続されて、動的なスケーラビリティが提供されます。 |
| VPN の要件を評価する | VPN Gateway ドキュメントでは、サイト間、ポイント対サイト、VNet 間、マルチサイト VPN 接続経由で、オンプレミス ネットワークを Azure に接続します。 このサービスでは、セキュリティで保護されたデータ転送を提供することで、ハイブリッド作業環境がサポートされます。 |