Apigee Edge での HIPAA コンプライアンスと構成

Apigee Edge での HIPAA コンプライアンス

お客様のデータを安全に保護し、いつでもご利用いただけるようにすることが、Google の最優先事項の 1 つです。Google のサービスが業界のセキュリティ基準に適合していることの証明として、ISO 27001 認証SOC 2 および SOC 3 Type II 監査などのセキュリティ認証を申請し、取得してきました。また、HIPAA(医療保険の相互運用性と説明責任に関する法律)の要件が適用されるお客様のために、Apigee Edge は HIPAA コンプライアンスにも対応しています。

HIPAA では、個人の健康または保険サービスに関する特定の情報は、保護対象保健情報(Protected Health Information、PHI)とみなされます。HIPAA の対象となる Apigee Edge のお客様で、Apigee Edge で PHI を扱うことを希望される場合は、Google と業務提携契約(Business Associate Agreement、BAA)を締結していただく必要があります。

HIPAA の対象であるかどうかや、PHI に関連する Google のサービスを利用するまたは利用する予定であるかどうかを判断する責任は、Apigee Edge をご利用のお客様が負うものとします。Google と BAA を締結していないお客様は、PHI に関連する Google のサービスを利用できません。

管理者は、Google サービスで PHI を取り扱う前に BAA を確認してこれに同意する必要があります。

このトピックの Apigee の HIPAA 構成ガイドでは、PHI を処理する際に Google サービスのデータを整理する方法を説明しています。このガイドは、HIPAA の実装と Apigee Edge のコンプライアンスを担当する、組織内の従業員を対象としています。

Edge Public Cloud の HIPAA 構成ガイド

このガイドは情報提供のみを目的としています。このガイドに記載された情報または推奨事項は、法的助言を与えることを意図したものではありません。お客様は、サービスの特定の使用方法を必要に応じて独自に評価し、ご自身の法令遵守義務を果たす責任を負います。

以下の項目は、HIPAA コンプライアンス パックを購入した、米国の医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act(HIPAA)、経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)などにより改正)の要件を遵守する必要のあるお客様が確認してください。これらの項目は、Edge 内のセルフサービスであり、お客様の組織(以下、組織)が HIPAA コンプライアンスの義務を果たすうえで助けになります。「Google がプラットフォームを保護し、お客様がデータを保護する」というのが全体の考え方となります。

HIPAA の要件 セクション
HIPAA コンプライアンス: セキュリティ - アクセス制御 使用 / 承認
HIPAA コンプライアンス: セキュリティ管理プロセス - 情報システム アクティビティのレビュー 監査証跡
HIPAA コンプライアンス: セキュリティ パスワード管理 複雑なパスワード要件または SAML
HIPAA コンプライアンス: セキュリティ - セキュリティ管理プロセス エンドポイントのスキャン
HIPAA コンプライアンス: セキュリティ - 伝送 TLS 構成

Trace / Debug

Trace / Debug というトラブルシューティング ツールを使用して、Apigee Message Processor で API 呼び出しが処理される際にそのステータスと内容を表示できます。Trace と Debug はどちらも同じサービスを指す名前ですが、サービスにアクセスするために使用するメカニズムが異なります。Trace は、Edge UI 内でのサービス名です。Debug は、API 呼び出しで使用するときのサービス名です。このドキュメントで使用する Trace という用語は、Trace と Debug の両方に適用されます。

お客様が「データのマスキング」を有効にして構成している場合、Trace セッション中はデータのマスキングが適用されます。このツールにより、トレース中にデータが表示されないようにできます。後述するデータ マスキングのセクションをご覧ください。

HIPAA を遵守する必要のあるお客様は、暗号化された Key-Value マップ(KVM)を利用できます。暗号化された KVM が使用されている場合でも Trace を使用できますが、一部の変数は Trace 画面に表示されません。追加の手順を踏むことで、これらの変数も Trace セッション中に表示できるようになります。

Trace を使用する方法について詳しくは、Trace ツールを使用するをご覧ください。

暗号化された KVM を含めて KVM の詳細については、Key-Value マップの操作をご覧ください。

使用 / 承認

Trace へのアクセスは、Edge 内のユーザー アカウント用 RBAC(ロールベースのアクセス制御)システムによって管理されます(HIPAA コンプライアンス: セキュリティ - アクセス制御)。RBAC システムを使用して Trace 権限を付与する方法と取り消す方法について詳しくは、ロールの割り当てUI でのカスタムのロールの作成をご覧ください。Trace 権限を割り当てられたユーザーは、Trace の起動、Trace の停止、Trace セッションの出力へのアクセスが許可されます。

Trace では API 呼び出しのペイロード(旧称「メッセージ本文」)にアクセスできるため、Trace の実行アクセス権限をどのユーザーに与えるかを検討することが重要です。ユーザー管理はお客様の責任であるため、Trace 権限の付与もお客様の責任となります。Apigee はプラットフォーム オーナーであるため、お客様の組織にユーザーを追加して、権限を割り当てることができます。ただし Apigee は、お客様のサービスが機能していないと思われ、その根本原因に関する情報を入手するのに Trace セッションを確認することが最善であると判断できる状況において、お客様のサポート リクエストを受けた場合に限ってこの操作を行います。

データ マスキング

データ マスキングは、Trace(Edge UI)と Debug(Edge API)によるバックエンドの両方で、Trace / Debug セッション中のみ機密データの表示を防止します。マスキングの設定方法については、データのマスキングと非表示をご覧ください。

データをマスキングしても、ログファイル、キャッシュ、分析などではデータが表示されます。ログファイル内でもデータがマスキングされるようにするには、logback.xml ファイルへの正規表現パターンの追加を検討してください。通常、キャッシュや分析への機密データの書き込みは、ビジネス上のやむを得ない理由があり、お客様のセキュリティ チームと法務チームで確認したうえでなければ、行うべきでありません。

L1 / L2 キャッシュ

L1 キャッシュを使用すると、自動的に L2 キャッシュも使用されます。L1 キャッシュは「メモリのみ」ですが、L2 キャッシュでは複数の L1 キャッシュを同期させるためにデータをディスクに書き込みます。L2 キャッシュは、リージョン内の複数の Message Processor を全体的に同期された状態に維持するためのものです。現在のところ、L2 キャッシュのサポートなしに L1 キャッシュを有効にすることはできません。L2 キャッシュは、お客様の組織の他の Message Processor にデータを同期させるために、データをディスクに書き込みます。キャッシュの使用方法については、キャッシュと永続性の追加をご覧ください。

監査証跡

お客様は、お客様の組織内で実施されたすべての管理アクティビティ(Trace の使用を含む)の監査証跡を確認できます(HIPAA コンプライアンス: セキュリティ管理プロセス - 情報セキュリティ アクティビティ レビュー)。詳細な手順については、こちらTrace ツールの使用をご覧ください。

複雑なパスワード要件または SAML

HIPAA のお客様については、長さ、複雑さ、ローテーション、ライフスパンなど、高度な要件を満たすようにユーザー パスワードが構成されます(HIPAA コンプライアンス: セキュリティ パスワード管理)。

Edge では多要素認証も使用できるようになっています。使用できる多要素認証については、Apigee アカウントで 2 要素認証を有効化するをご覧ください。また、認証制御の代替手段として SAML を使用することもできます。Edge の SAML 認証を有効化するをご覧ください。

エンドポイントのセキュリティ

エンドポイントのスキャン

Edge Cloud の場合、Edge 内で使用する API エンドポイント(「ランタイム コンポーネント」とも呼ばれます)をスキャンしてテストする責任は、お客様にあります(HIPAA コンプライアンス: セキュリティ - セキュリティ管理プロセス)。お客様によるテストでは、Edge 上でホストされている実際の API プロキシ サービスも対象にしてください。API トラフィックは処理される前に API プロキシ サービスから Edge に送信され、そこで処理された後にお客様のデータセンターに配信されます。管理ポータル UI などの共有リソースのテストは、個々のお客様には認可されていません(お客様からのリクエストに応じて、機密保持契約の下、共有サービスのテストに関するサードパーティのレポートをご用意します)。

お客様の API エンドポイトは、お客様自身がテストすべきであり、そうすることが推奨されています。Apigee との契約では、お客様がご自身の API ポイントをテストすることを禁止していませんが、共有管理 UI のテストについては許可していません。さらに明確な説明が必要である場合は、サポート チケットをオープンし、予定されているテストについて記載してください。テストについて事前に Apigee にご連絡していただけると、テスト トラフィックを認識できるため助かります。

お客様がエンドポイントをテストする際は、API 固有の問題や Apigee サービスに関連する問題の有無を調べるだけでなく、TLS とその他の構成可能な項目についても確認してください。Apigee サービス関連の問題が見つかった場合は、サポート チケットを介して Apigee にご連絡ください。

エンドポイント関連の問題のほとんどは、お客様のセルフサービスとなる項目であり、Edge ドキュメントを確認することで解決できます。解決方法が不明な場合は、サポート リクエストを開いてください。

TLS 構成

お客様は、独自の API プロキシ用 TLS エンドポイントを定義して構成する責任があります。これは、Edge ではセルフサービスとなります。暗号化、プロトコル、アルゴリズムの選択に関するお客様の要件はさまざまであり、個々のユースケースに固有なものです。Apigee ではすべてのお客様の API 設計やデータ ペイロードの詳細を把握していないため、転送中のデータに適切な暗号化を判断するのは、お客様の責任となります(HIPAA コンプライアンス: セキュリティ - 伝送)。

TLS 構成の詳細な手順については、TLS / SSL をご覧ください。

データ ストレージ

Edge 内にデータを保管することは、Edge を正常に機能させるための要件ではありません。ただし、Edge 内でのデータ ストレージとして利用できるサービスがいくつかあります。お客様は、データ ストレージにキャッシュまたは分析を使用することもできます。非準拠の方法での Edge でのデータ ストレージ サービスの偶発的または悪意のある使用を避けるために、構成、ポリシー、およびデプロイの確認をお客様の管理者が行うことが推奨されています。

ペイロード データの暗号化

お客様が Edge 内で使用するためのデータ暗号化ツールは提供されていません。ただし、お客様は Edge に送信する前のデータを自由に暗号化できます。ペイロード(つまり、メッセージ本文)に含まれるデータを暗号化しても、Edge が機能しなくなることはありません。一部の Edge ポリシーでは、お客様が暗号化したデータを受信した場合、そのデータを操作できない可能性があります。たとえば、変換操作の場合、Edge が変更対象のデータそのものを変更できなければ、変換は不可能です。しかし、それ以外のポリシーとお客様が作成したポリシーやバンドルは、データ ペイロードが暗号化されていても機能します。

URI 内の PII

Apigee の統合分析プラットフォーム(UAP)は、Apigee Edge への API 呼び出しの Uniform Resource Identifier(URI)に含まれている PHI やその他の機密データを含む分析データをキャプチャして、13 か月間保持します。URI 内の PHI は、Fast Healthcare Interoperability Resources(FHIR)標準によってサポートされているため、Apigee によってサポートされます。UAP 内の分析データは、デフォルトで保存時に暗号化されます。

Apigee は、現在、以下をサポートしていません。

  • UAP に対するデータ マスキング
  • 保持サイクルの変更
  • UAP からのオプトアウト
  • UAP データ コレクションからの URI のドロップ