Edge Public Cloud の HIPAA 構成ガイド

このガイドは情報提供のみを目的としています。このガイドに記載された情報または推奨事項は、法的助言を与えることを意図したものではありません。お客様は、サービスの特定の使用方法を必要に応じて独自に評価し、ご自身の法令遵守義務を果たす責任を負います。

以下の項目は、HIPAA コンプライアンス パックを購入した、米国の医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act(HIPAA)、経済的及び臨床的健全性のための医療情報技術に関する法律(HITECH)などにより改正)の要件を遵守する必要のあるお客様が確認してください。これらの項目は、Edge 内のセルフサービスであり、お客様の組織(以下、組織)が HIPAA コンプライアンスの義務を果たすうえで助けになります。「Google がプラットフォームを保護し、お客様がデータを保護する」というのが全体の考え方となります。

HIPAA の要件 セクション
HIPAA コンプライアンス: セキュリティ - アクセス制御 使用 / 承認
HIPAA コンプライアンス: セキュリティ管理プロセス - 情報システム アクティビティのレビュー 監査証跡
HIPAA コンプライアンス: セキュリティ パスワード管理 複雑なパスワードの要件または SAML
HIPAA コンプライアンス: セキュリティ - セキュリティ管理プロセス エンドポイントのスキャン
HIPAA コンプライアンス: セキュリティ - 伝送 TLS 構成

Trace / Debug

Trace / Debug というトラブルシューティング ツールを使用して、Apigee Message Processor で API 呼び出しが処理される際にそのステータスと内容を表示できます。Trace と Debug はどちらも同じサービスを指す名前ですが、サービスにアクセスするために使用するメカニズムが異なります。Trace は、Edge UI 内でのサービス名です。Debug は、API 呼び出しで使用するときのサービス名です。このドキュメントで使用する Trace という用語は、Trace と Debug の両方に適用されます。

お客様が「データのマスキング」を有効にして構成している場合、Trace セッション中はデータのマスキングが適用されます。このツールにより、トレース中にデータが表示されないようにできます。後述するデータ マスキングのセクションをご覧ください。

HIPAA を遵守する必要のあるお客様は、暗号化された Key-Value マップ(KVM)を利用できます。暗号化された KVM が使用されている場合でも Trace を使用できますが、一部の変数は Trace 画面に表示されません。追加の手順を踏むことで、これらの変数も Trace セッション中に表示できるようになります。

Trace を使用する方法について詳しくは、Trace ツールを使用するをご覧ください。

暗号化された KVM など、KVM の詳細については、Key-Value マップの使い方をご覧ください。

使用 / 承認

Trace へのアクセスは、Edge 内のユーザー アカウント用 RBAC(役割ベースのアクセス制御)システムによって管理されます(HIPAA コンプライアンス: セキュリティ - アクセス制御)。RBAC システムを使用して Trace 権限を付与する方法と取り消す方法については、役割の割り当てUI でのカスタムの役割の作成をご覧ください。Trace 権限を割り当てられたユーザーは、Trace の起動、Trace の停止、Trace セッションの出力へのアクセスが許可されます。

Trace では API 呼び出しのペイロード(旧称「メッセージ本文」)にアクセスできるため、Trace の実行アクセス権限をどのユーザーに与えるかを検討することが重要です。ユーザー管理はお客様の責任であるため、Trace 権限の付与もお客様の責任となります。Apigee はプラットフォーム オーナーであるため、お客様の組織にユーザーを追加して、権限を割り当てることができます。ただし Apigee は、お客様のサービスが機能していないと思われ、その根本原因に関する情報を入手するのに Trace セッションを確認することが最善であると判断できる状況において、お客様のサポート リクエストを受けた場合に限ってこの操作を行います。

データのマスキング

データ マスキングは、Trace(Edge UI)と Debug(Edge API)によるバックエンドの両方で、Trace / Debug セッション中のみ機密データの表示を防止します。マスキングの設定方法については、データのマスキングと非表示をご覧ください。

データをマスキングしても、ログファイル、キャッシュ、分析などではデータが表示されます。ログファイル内でもデータがマスキングされるようにするには、logback.xml ファイルへの正規表現パターンの追加を検討してください。通常、キャッシュや分析への機密データの書き込みは、ビジネス上のやむを得ない理由があり、お客様のセキュリティ チームと法務チームで確認したうえでなければ、行うべきでありません。

L1 / L2 キャッシュ

L1 キャッシュを使用すると、自動的に L2 キャッシュも使用されます。L1 キャッシュは「メモリのみ」ですが、L2 キャッシュでは複数の L1 キャッシュを同期させるためにデータをディスクに書き込みます。L2 キャッシュは、リージョン内の複数の Message Processor を全体的に同期された状態に維持するためのものです。現在のところ、L2 キャッシュのサポートなしに L1 キャッシュを有効にすることはできません。L2 キャッシュは、お客様の組織の他の Message Processor にデータを同期させるために、データをディスクに書き込みます。キャッシュの使用方法については、キャッシュと永続性の追加をご覧ください。

監査証跡

お客様は、お客様の組織内で実施されたすべての管理アクティビティ(Trace の使用を含む)の監査証跡を確認できます(HIPAA コンプライアンス: セキュリティ管理プロセス - 情報セキュリティ アクティビティ レビュー)。詳細な手順については、こちらTrace ツールの使用をご覧ください。

複雑なパスワードの要件または SAML

HIPAA のお客様については、長さ、複雑さ、ローテーション、ライフスパンなど、高度な要件を満たすようにユーザー パスワードが構成されます(HIPAA コンプライアンス: セキュリティ パスワードの管理)。

Edge では多要素認証も使用できるようになっています。使用できる多要素認証については、Apigee アカウントで 2 要素認証を有効化するをご覧ください。また、認証制御の代替手段として SAML を使用することもできます。Edge の SAML 認証を有効化するをご覧ください。

エンドポイントのセキュリティ

エンドポイントのスキャン

Edge Cloud の場合、Edge 内で使用する API エンドポイント(「ランタイム コンポーネント」とも呼ばれます)をスキャンしてテストする責任は、お客様にあります(HIPAA コンプライアンス: セキュリティ - セキュリティ管理プロセス)。お客様によるテストでは、Edge 上でホストされている実際の API プロキシ サービスも対象にしてください。API トラフィックは処理される前に API プロキシ サービスから Edge に送信され、そこで処理された後にお客様のデータセンターに配信されます。管理ポータル UI などの共有リソースのテストは、個々のお客様には認可されていません(お客様からのリクエストに応じて、機密保持契約の下、共有サービスのテストに関するサードパーティのレポートをご用意します)。

お客様の API エンドポイントは、お客様自身がテストする必要があり、そうすることが推奨されています。Apigee との契約では、お客様がご自身の API ポイントをテストすることを禁止していませんが、共有管理 UI のテストについては許可していません。さらに明確な説明が必要である場合は、サポート チケットをオープンし、予定されているテストについて記載してください。テストについて事前に Apigee にご連絡していただけると、テスト トラフィックを認識できるため助かります。

お客様がエンドポイントをテストする際は、API 固有の問題や Apigee サービスに関連する問題の有無を調べるだけでなく、TLS とその他の構成可能な項目についても確認してください。Apigee サービス関連の問題が見つかった場合は、サポート チケットを介して Apigee にご連絡ください。

エンドポイント関連の問題のほとんどは、お客様のセルフサービスとなる項目であり、Edge ドキュメントを確認することで解決できます。解決方法が不明な場合は、サポート リクエストを開いてください。

TLS 構成

お客様は、独自の API プロキシ用 TLS エンドポイントを定義して構成する責任があります。これは、Edge ではセルフサービスとなります。暗号化、プロトコル、アルゴリズムの選択に関するお客様の要件はさまざまであり、個々のユースケースに固有のものです。Apigee ではすべてのお客様の API 設計やデータ ペイロードの詳細を把握していないため、転送中のデータに適切な暗号化を判断するのは、お客様の責任となります(HIPAA コンプライアンス: セキュリティ - 伝送)。

TLS 構成の詳細な手順については、TLS / SSL をご覧ください。

データ ストレージ

Edge 内にデータを保管することは、Edge を正常に機能させるための要件ではありません。ただし、Edge 内でのデータ ストレージとして利用できるサービスがいくつかあります。お客様は、データ ストレージにキャッシュまたは分析を使用することもできます。非準拠の方法での Edge でのデータ ストレージ サービスの偶発的または悪意のある使用を避けるために、構成、ポリシー、およびデプロイの確認をお客様の管理者が行うことが推奨されています。

ペイロード データの暗号化

お客様が Edge 内で使用するためのデータ暗号化ツールは提供されていません。ただし、お客様は Edge に送信する前のデータを自由に暗号化できます。ペイロード(つまり、メッセージ本文)に含まれるデータを暗号化しても、Edge が機能しなくなることはありません。一部の Edge ポリシーでは、お客様が暗号化したデータを受信した場合、そのデータを操作できない可能性があります。たとえば、変換操作の場合、Edge が変更対象のデータそのものを変更できなければ、変換は不可能です。しかし、それ以外のポリシーとお客様が作成したポリシーやバンドルは、データ ペイロードが暗号化されていても機能します。

URI 内の PII

Apigee の統合分析プラットフォーム(UAP)は、Apigee Edge への API 呼び出しの Uniform Resource Identifier(URI)に含まれている PHI やその他の機密データを含む分析データをキャプチャして、13 か月間保持します。URI 内の PHI は、Fast Healthcare Interoperability Resources(FHIR)標準によってサポートされているため、Apigee によってサポートされます。UAP 内の分析データは、デフォルトで保存時に暗号化されます。

Apigee は、現在、以下をサポートしていません。

  • UAP に対するデータ マスキング
  • 保持サイクルの変更
  • UAP からのオプトアウト
  • UAP データ コレクションからの URI のドロップ