fbpx

AWSでのHIPAAセキュリティとコンプライアンスのための設計

好きな所から読む

顧客がAmazon Web Services(AWS)を使用して、米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)で規制されている機密性の高いワークロードを実行する方法を簡単に説明します。保護された医療情報(PHI)を保護するためのHIPAAプライバシーおよびセキュリティルール、AWSを使用して転送中および保存中のデータを暗号化する方法、およびAWS機能を使用してPHIを含むワークロードを実行する方法に焦点を当てます。

概観

1996年の医療保険の相互運用性と説明責任に関する法律(HIPAA)は、「対象となる事業体」と「取引先」に適用されます。HIPAAは、2009年に経済情報および臨床健康に関する医療情報技術(HITECH)法によって拡張されました。

HIPAAとHITECHは、PHIのセキュリティとプライバシーを保護することを目的とした一連の連邦規格を確立しています。HIPAAとHITECHは、PHIの使用と開示、PHIを保護するための適切な保護手段、個人の権利、および管理責任に関する要件を課しています。HIPAAおよびHITECHの詳細については、健康情報プライバシーのホームにアクセスしてください。

対象エンティティとそのビジネスアソシエイトは、Amazon Web Services(AWS)が提供する安全でスケーラブルな低コストのITコンポーネントを使用して、HIPAAおよびHITECHコンプライアンス要件に沿ってアプリケーションを設計できます。AWSは、ISO 27001、FedRAMP、サービス組織管理レポート(SOC1、SOC2、SOC3)などの業界で認められた認証と監査を備えた市販のインフラストラクチャプラットフォームを提供しています。AWSのサービスとデータセンターには、顧客データの完全性と安全性を確保するために、運用および物理的なセキュリティの複数のレイヤーがあります。最低料金や期間ベースの契約は必要なく、従量課金制のAWSは、成長するヘルスケア業界のアプリケーションにとって信頼できる効果的なソリューションです。

AWSは、HIPAAの対象となる対象エンティティとそのビジネスアソシエイトがPHIを安全に処理、保存、送信できるようにします。さらに、2013年7月の時点で、AWSはそのような顧客向けに標準化されたBusiness Associate Addendum(BAA)を提供しています。AWS BAAを実行するお客様は、HIPAAアカウントとして指定されたアカウントで任意のAWSサービスを使用できますが、PHIを処理、保存、送信できるのは、AWS BAAで定義されたHIPAA対応のサービスのみです。これらのサービスの完全なリストについては、HIPAA対象サービスのリファレンスページをご覧ください。

AWSは、標準ベースのリスク管理プログラムを維持して、HIPAAの対象サービスがHIPAAの管理上、技術上、および物理的な保護手段を確実にサポートするようにしています。これらのサービスを使用してPHIを保存、処理、および送信すると、お客様とAWSがAWSユーティリティベースの運用モデルに適用可能なHIPAA要件に対応できるようになります。

AWSのBAAは、保健社会福祉省(HHS)のガイダンスに従って、HIPAA対応サービスを使用して保存または送信されるPHIを暗号化することをお客様に要求します。保護されていない保護された健康情報を、権限のない個人が使用できない、判読できない、または解読できないようにするためのガイダンス(「ガイダンス」)。このサイトは更新される可能性があり、HHSが指定する後継者(または関連サイト)で提供される可能性があるため、参照してください。

AWSは、AWS Key Management Service(AWS KMS)を含む、PHIのキー管理と暗号化を管理しやすく、監査を簡単にする包括的な機能とサービスのセットを提供します。HIPAAコンプライアンス要件を持つお客様は、PHIの暗号化要件を満たす方法に大きな柔軟性があります。

暗号化の実装方法を決定するとき、お客様はHIPAAに適格なサービスに固有の暗号化機能を評価して利用できます。または、顧客はHHSからのガイダンスと一致する他の手段を通じて暗号化要件を満たすことができます。

AWS KMS

次のセクションでは、HIPAA対応の各サービスで利用可能な暗号化機能とPHIを暗号化するための他のパターンの使用に関する高レベルの詳細と、AWS KMSを使用してAWSでのPHIの暗号化に使用されるキーを暗号化する方法について説明します。

Amazon EC2

Amazon EC2は、保存可能なデータを暗号化するための複数の方法をサポートする、スケーラブルでユーザー設定可能なコンピューティングサービスです。たとえば、Amazon EC2インスタンスでホストされているアプリケーションまたはデータベースプラットフォーム内で処理されるPHIのアプリケーションレベルまたはフィールドレベルの暗号化を実行することを選択する場合があります。アプローチは、Javaや.NETなどのアプリケーションフレームワークで標準ライブラリを使用してデータを暗号化することから始まります。Microsoft SQLまたはOracleの透過的データ暗号化機能の活用。または、他のサードパーティおよびSoftware as a Service(SaaS)ベースのソリューションをアプリケーションに統合します。

お客様は、Amazon EC2で実行されているアプリケーションとAWS KMS SDKを統合して、キー管理とストレージのプロセスを簡素化することを選択できます。お客様は、AWS Marketplace Partnersのサードパーティソフトウェアまたはネイティブのファイルシステム暗号化ツール(dm-crypt、LUKSなど)を使用して、ファイルレベルまたはフルディスク暗号化(FDE)を使用して保存データの暗号化を実装することもできます。

PHIを含むネットワークトラフィックは、転送中のデータを暗号化する必要があります。外部ソース(インターネットや従来のIT環境など)とAmazon EC2の間のトラフィックの場合、顧客はガイダンスに一致するトランスポート層セキュリティ(TLS)やIPsec仮想プライベートネットワーク(VPN)などのオープンスタンダードのトランスポート暗号化メカニズムを使用する必要があります。Amazon EC2インスタンス間を移動するデータ用のAmazon Virtual Private Cloud(VPC)の内部では、PHIを含むネットワークトラフィックも暗号化する必要があります。ほとんどのアプリケーションは、ガイダンスと整合するように構成できる転送中の暗号化を提供するTLSまたはその他のプロトコルをサポートしています。暗号化をサポートしないアプリケーションとプロトコルの場合、PHIを送信するセッションは、IPsecまたはインスタンス間の同様の実装を使用して、暗号化されたトンネルを介して送信できます。

AWS Systems Manager

AWS Systems Managerコンソールとリソースグループは、HIPAA BAAの範囲外です。AWS Systems Manager(以前のAmazon EC2 Systems Manager)は、顧客が運用データを簡単に一元化し、AWSリソース全体でタスクを自動化し、インフラストラクチャの運用上の問題を検出して解決する時間を短縮できる統合インターフェースです。Systems Managerは、お客様のインフラストラクチャのパフォーマンスと構成の完全なビューを提供し、リソースとアプリケーションの管理を簡素化し、大規模なインフラストラクチャの運用と管理を容易にします。

PHIを含む可能性のあるデータをAmazon S3などの他のサービスに出力する場合、顧客はPHIを格納するための受信サービスのガイダンスに従う必要があります。ドキュメント名やパラメーター名などのメタデータや識別子にPHIを含めないでください。また、EC2 Systems Managerコンソールを使用することはできますが、お客様はリソースグループやAWS Systems Managerコンソールを使用しないでください。

Amazon Virtual Private Cloud

Amazon Virtual Private Cloud(Amazon VPC)は、HIPAAコンプライアンスの設計によく整合した一連のネットワークセキュリティ機能を提供します。ステートレスネットワークアクセスコントロールリストやインスタンスのステートフルセキュリティグループへの動的な再割り当てなどの機能により、不正なネットワークアクセスからインスタンスを柔軟に保護できます。

Amazon VPCを使用すると、お客様は独自のネットワークアドレス空間をAWSに拡張できるほか、データセンターをAWSに接続するためのさまざまな方法を提供できます。VPCフローログは、PHIを処理、送信、または保存するインスタンスへの受け入れられた接続と拒否された接続の監査証跡を提供します。Amazon VPCの詳細については、Amazon Virtual Private Cloudを参照してください。

Amazon Elastic Block Store

保存されているAmazon EBS暗号化は、このホワイトペーパーの発行時に有効だったガイダンスと一致しています。ガイダンスが更新される可能性があるため、Amazon EBS暗号化がコンプライアンスおよび規制要件を満たしているかどうかをお客様が引き続き評価および決定する必要があります。Amazon EBS暗号化では、EBSボリュームごとに一意のボリューム暗号化キーが生成されます。お客様は、各ボリュームキーの暗号化に使用されるAWSキーマネージメントサービスのマスターキーを柔軟に選択できます。詳細については、Amazon EBS暗号化を参照してください。

Amazon Redshift

Amazon Redshiftは、クラスターのデータベース暗号化を提供して、保存データを保護します。クラスターの暗号化を有効にすると、Amazon Redshiftは、ハードウェアアクセラレーションによるAdvanced Encryption Standard(AES)-256対称キーを使用して、バックアップを含むすべてのデータを暗号化します。Amazon Redshiftは、暗号化に4層のキーベースのアーキテクチャを使用します。これらのキーは、データ暗号化キー、データベースキー、クラスターキー、およびマスターキーで構成されます。

クラスターキーは、Amazon Redshiftクラスターのデータベースキーを暗号化します。顧客は、AWS KMSまたはAWS CloudHSM (ハードウェアセキュリティモジュール)のいずれかを使用してクラスターキーを管理できます。保存されているAmazon Redshift暗号化は、このホワイトペーパーの発行時に有効だったガイダンスと一致しています。ガイダンスが更新される可能性があるため、Amazon Redshift暗号化がコンプライアンス要件と規制要件を満たしているかどうかをお客様が引き続き評価および決定する必要があります。詳細については、Amazon Redshiftデータベース暗号化を参照してください。

PHIを含むAmazon Redshiftへの接続にはトランスポート暗号化を使用する必要があり、お客様はガイダンスとの整合性について構成を評価する必要があります。詳細については、接続のセキュリティオプションの設定を参照してください。Amazon Redshift Spectrumを使用すると、Amazon Redshift SQLクエリをAmazon S3のエクサバイトのデータに対して実行できます。Redshift SpectrumはAmazon Redshiftの機能であり、HIPAA BAAの範囲にも含まれています。

アマゾンS3

Amazon S3を使用する場合、お客様は、サーバー側の暗号化とクライアント側の暗号化の両方、およびキーを管理するいくつかの方法を含め、保存されているデータを暗号化するためのいくつかのオプションを使用できます。詳細については、暗号化を使用したデータの保護を参照してください。

PHIを含むAmazon S3への接続では、暗号化トランスポート(HTTPS)を受け入れるエンドポイントを使用する必要があります。リージョンエンドポイントのリストについては、AWSサービスエンドポイントをご覧ください。

バケット名、オブジェクト名、またはメタデータでPHIを使用しないでください。このデータはS3サーバー側の暗号化を使用して暗号化されず、一般にクライアント側の暗号化アーキテクチャでは暗号化されません。

Amazon S3 Transfer Acceleration

Amazon S3 Transfer Acceleration(S3TA)を使用すると、顧客のクライアントとS3バケットの間で、長距離にわたってファイルを高速、簡単、かつ安全に転送できます。Transfer Accelerationは、Amazon CloudFrontのグローバルに分散されたエッジロケーションを利用します。データがエッジロケーションに到着すると、データは最適化されたネットワークパスを介してAmazon S3にルーティングされます。AWS S3TAを使用して転送されたPHIを含むすべてのデータは、転送中および保管中に暗号化されることを確認する必要があります。利用可能な暗号化オプションを理解するには、Amazon S3のガイダンスを参照してください。

Amazon SNS

Protected Health Information(PHI)でAmazon Simple Notification Service(SNS)を使用するには、お客様は次のキー暗号化要件を理解する必要があります。お客様は、SNSが各AWSリージョンで提供するHTTPS APIエンドポイントを使用する必要があります。HTTPSエンドポイントは暗号化された接続を利用し、AWSに送信されるデータのプライバシーと整合性を保護します。すべてのHTTPS APIエンドポイントのリストについては、AWSサービスエンドポイントをご覧ください。

さらに、Amazon SNSはCloudTrailを使用します。CloudTrailは、Amazon SNSによって、またはその代わりに行われたAPI呼び出しを顧客のAWSアカウントでキャプチャし、ログファイルを指定されたAmazon S3バケットに配信します。CloudTrailは、Amazon SNSコンソールまたはAmazon SNS APIから行われたAPI呼び出しをキャプチャします。CloudTrailによって収集された情報を使用して、お客様は、Amazon SNSに対して行われたリクエスト、リクエストの送信元のIPアドレス、リクエストの作成者、およびリクエストがいつ行われたかを判断できます。SNSオペレーションのログ記録の詳細については、「CloudTrailを使用したAmazon SNS API呼び出しのログ記録」を参照してください。

Amazon SQS

PHIでAmazon SQS を使用するには、以下のキー暗号化要件を理解する必要があります。

  • クエリリクエストを介したAmazon SQSキューとの通信は、HTTPSで暗号化する必要があります。SQSリクエストの作成の詳細については、クエリAPIリクエストの作成をご覧ください。
  • Amazon SQSは、AWS KMSと統合されたサーバー側の暗号化をサポートして、保存データを保護します。サーバー側の暗号化の追加により、顧客は、暗号化されたキューを使用するセキュリティを強化しながら機密データを送受信できます。Amazon SQSサーバー側の暗号化では、256ビットAdvanced Encryption Standard(AES-256 GCMアルゴリズム)を使用して、各メッセージの本文を暗号化します。AWS KMSとの統合により、お客様は、Amazon SQSメッセージを保護するキーと他のAWSリソースを保護するキーを集中管理できます。AWS KMSは、暗号化キーのすべての使用をAWS CloudTrailに記録して、規制とコンプライアンスのニーズを満たすのに役立ちます。詳細およびリージョンでAmazon SQSのSSEが利用可能かどうかを確認するには、保存時の暗号化を参照してください。
  • サーバー側の暗号化を使用しない場合、メッセージペイロード自体をSQSに送信する前に暗号化する必要があります。メッセージのペイロードを暗号化する1つの方法は、Amazon SQS拡張クライアントとAmazon S3暗号化クライアントを使用することです。クライアント側の暗号化の使用の詳細については、「Amazon SQS拡張クライアントとAmazon S3暗号化クライアントを使用したメッセージペイロードの暗号化」を参照してください。

Amazon SQSはCloudTrailを使用します。CloudTrailは、Amazon SQSによって、またはその代理で行われたAPI呼び出しを顧客のAWSアカウントに記録し、ログファイルを指定されたAmazon S3バケットに配信します。CloudTrailは、Amazon SQSコンソールまたはAmazon SQS APIから行われたAPI呼び出しをキャプチャします。顧客は、CloudTrailによって収集された情報を使用して、Amazon SQSへのリクエスト、リクエスト元のソースIPアドレス、リクエスト者、リクエスト日時などを判断できます。SQS操作のログ記録の詳細については、「AWS CloudTrailを使用したAmazon SQS API呼び出しのログ記録」を参照してください。

Amazon S3 Glacier

Amazon S3 Glacierは、AES 256ビット対称キーを使用して保存データを自動的に暗号化し、安全なプロトコルを介した顧客データの安全な転送をサポートします。PHIを含むAmazon S3 Glacierへの接続では、暗号化されたトランスポート(HTTPS)を受け入れるエンドポイントを使用する必要があります。リージョンエンドポイントのリストについては、AWSサービスエンドポイントをご覧ください。

このデータはAmazon S3 Glacierのサーバー側の暗号化を使用して暗号化されず、一般にクライアント側の暗号化アーキテクチャでは暗号化されないため、アーカイブとボールトの名前またはメタデータでPHIを使用しないでください。

Amazon RDS for MySQL

Amazon RDS for MySQLでは、お客様がAWS KMSを通じて管理するキーを使用してMySQLデータベースを暗号化できます。Amazon RDS暗号化で実行されているデータベースインスタンスでは、基盤となるストレージに保存されているデータは、このホワイトペーパーの公開時に有効なガイダンスに従って暗号化され、自動バックアップ、リードレプリカ、スナップショットも同様です。

ガイダンスが更新される可能性があるため、お客様は引き続き、Amazon RDS for MySQL暗号化がコンプライアンスおよび規制要件を満たしているかどうかを評価および決定する必要があります。Amazon RDSを使用した保存時の暗号化の詳細については、「Amazon RDSリソースの暗号化」を参照してください。

PHIを含むRDS for MySQLへの接続には、トランスポート暗号化を使用する必要があります。暗号化された接続を有効にする方法の詳細については、「SSL / TLSを使用してDBインスタンスへの接続を暗号化する」を参照してください。

Amazon RDS for Oracle

Amazon RDS for Oracleを使用して保存時のPHIを暗号化するには、いくつかのオプションがあります。お客様は、AWS KMSを通じて管理するキーを使用してOracleデータベースを暗号化できます。Amazon RDS暗号化で実行されているデータベースインスタンスでは、基盤となるストレージに保存されているデータは、このホワイトペーパーの公開時に有効なガイダンスに従って暗号化され、自動バックアップ、リードレプリカ、スナップショットも同様です。

ガイダンスが更新される可能性があるため、お客様は引き続き、Amazon RDS for Oracle暗号化がコンプライアンスおよび規制要件を満たしているかどうかを評価および決定する必要があります。Amazon RDSを使用した保存時の暗号化の詳細については、「Amazon RDSリソースの暗号化」を参照してください。

お客様はOracle Transparent Data Encryption(TDE)を使用することもできます。ガイダンスとの整合性について構成を評価する必要があります。Oracle TDEは、Oracle Enterprise Editionで利用可能なOracle Advanced Securityオプションの機能です。この機能は、データがストレージに書き込まれる前に自動的に暗号化し、データがストレージから読み取られるときに自動的に復号化します。AWS CloudHSM を使用してAmazon RDS Oracle TDEキーを保存することもできます。詳細については、以下を参照してください。

  • Amazon RDS for Oracle透過的データ暗号化:Oracle透過的データ暗号化。
  • AWS CloudHSMを使用してAmazon RDS Oracle TDEキーを保存する:Amazon Relational Database Service (Amazon RDS)とは何か?

PHIを含むAmazon RDS for Oracleへの接続では、トランスポート暗号化を使用し、ガイダンスとの整合性について構成を評価する必要があります。これは、Oracleネイティブネットワーク暗号化を使用して実現され、Amazon RDS for Oracleオプショングループで有効になります。詳細については、「Oracle Native Network Encryption」を参照してください。

Amazon RDS for PostgreSQL

Amazon RDS for PostgreSQLでは、AWS KMSを介して管理するキーを使用して、PostgreSQLデータベースを暗号化できます。Amazon RDS暗号化で実行されているデータベースインスタンスでは、基盤となるストレージに保存されているデータは、このホワイトペーパーの公開時に有効なガイダンスに従って暗号化され、自動バックアップ、リードレプリカ、スナップショットも同様です。

ガイダンスが更新される可能性があるため、お客様は引き続き、Amazon RDS for PostgreSQL暗号化がコンプライアンスおよび規制要件を満たしているかどうかを評価および決定する必要があります。Amazon RDSを使用した保存時の暗号化の詳細については、「Amazon RDSリソースの暗号化」を参照してください。

PHIを含むRDS for PostgreSQLへの接続には、トランスポート暗号化を使用する必要があります。暗号化された接続を有効にする方法の詳細については、「SSL / TLSを使用してDBインスタンスへの接続を暗号化する」を参照してください。

Amazon RDS for SQL Server

RDS for SQL Serverは、次のバージョンとエディションの組み合わせのPHIの格納をサポートしています。

  • 2008 R2-Enterprise Editionのみ
  • 2012、2014、2016-Web、Standard、Enterpriseエディション重要:SQL Server Expressエディションはサポートされていないため、PHIのストレージに使用しないでください。

重要:SQL Server Expressエディションはサポートされていないため、PHIのストレージには使用しないでください。

PHI を保存するために、お客様はインスタンスが保存データを暗号化するように構成されていることを確認し、以下で説明するようにトランスポートの暗号化と監査を有効にする必要があります。

保存時の暗号化

お客様は、AWS KMSを通じて管理するキーを使用してSQL Serverデータベースを暗号化できます。Amazon RDS暗号化で実行されているデータベースインスタンスでは、基盤となるストレージに保存されているデータは、このホワイトペーパーの公開時に有効なガイダンスに従って暗号化され、自動バックアップおよびスナップショットも同様です。ガイダンスが更新される可能性があるため、お客様は引き続き、SQL Server暗号化用のAmazon RDSがコンプライアンスと規制の要件を満たしているかどうかを評価および決定する必要があります。Amazon RDSを使用した保存時の暗号化の詳細については、「Amazon RDSリソースの暗号化」を参照してください。

お客様がSQL Server Enterprise Editionを使用している場合、代わりにサーバー透過データ暗号化(TDE)を使用できます。この機能は、データがストレージに書き込まれる前に自動的に暗号化し、データがストレージから読み取られるときに自動的に復号化します。RDS for SQL Serverの透過的データ暗号化の詳細については、SQL Serverでの透過的データ暗号化のサポートを参照してください。

トランスポート暗号化

PHIを含むSQL ServerのAmazon RDSへの接続では、SQL Serverの強制SSLによって提供されるトランスポート暗号化を使用する必要があります。強制SSLは、Amazon RDS SQL Serverのパラメーターグループ内から有効になります。RDS for SQL Server Forced SSLの詳細については、Microsoft SQL Server DBインスタンスでのSSLの使用を参照してください。

監査

PHIを含むSQL ServerインスタンスのRDSでは、監査を有効にする必要があります。監査は、Amazon RDS SQL Serverのパラメーターグループ内から有効にします。RDS for SQL Server監査の詳細については、Microsoft SQL Server DBインスタンスのコンプライアンスプログラムのサポートを参照してください。

Amazon RDS for MariaDB

Amazon RDS for MariaDBでは、AWS KMSを介して管理するキーを使用してMariaDBデータベースを暗号化できます。Amazon RDS暗号化で実行されているデータベースインスタンスでは、基盤となるストレージに保存されているデータは、このホワイトペーパーの公開時に有効なガイダンスに従って暗号化され、自動バックアップ、リードレプリカ、スナップショットも同様です。

ガイダンスが更新される可能性があるため、お客様は引き続きMariaDB暗号化用のAmazon RDSがコンプライアンスおよび規制要件を満たしているかどうかを評価および決定する必要があります。Amazon RDSを使用した保存時の暗号化の詳細については、「Amazon RDSリソースの暗号化」を参照してください。

PHIを含むMariaDBのRDSへの接続には、トランスポート暗号化を使用する必要があります。暗号化された接続を有効にする方法の詳細については、「SSL / TLSを使用してDBインスタンスへの接続を暗号化する」を参照してください

Amazon Aurora

Amazon Auroraでは、AWS KMSを介して管理するキーを使用して、Auroraデータベースを暗号化できます。Amazon Aurora暗号化で実行されているデータベースインスタンスでは、基盤となるストレージに保存されているデータは、このホワイトペーパーの公開時に有効なガイダンスに従って暗号化され、自動バックアップ、リードレプリカ、スナップショットも同様です。ガイダンスが更新される可能性があるため、お客様は、Amazon Aurora暗号化がコンプライアンスおよび規制要件を満たしているかどうかを引き続き評価および決定する必要があります。Amazon RDSを使用した保存時の暗号化の詳細については、「Amazon RDSのセキュリティ」を参照してください。

お客様は、Amazon AuroraのMySQL互換版またはPostgreSQL互換版をBAAの一部として使用できます。

PHIを含むAuroraへの接続には、トランスポート暗号化を使用する必要があります。暗号化された接続を有効にする方法の詳細については、「Amazon Relational Database Service(Amazon RDS)とは」を参照してください。

Amazon CloudFront

Amazon CloudFrontは、顧客のWebサイト、API、ビデオコンテンツ、またはその他のWebアセットの配信を加速するグローバルコンテンツ配信ネットワーク(CDN)サービスです。それは他のアマゾンウェブサービス製品と統合して、開発者やビジネスに、最小限の使用を約束することなくコンテンツをエンドユーザーに提供する簡単な方法を提供します。CloudFrontでの転送中にPHIを確実に暗号化するには、オリジンからビューアにエンドツーエンドでHTTPSを使用するようにCloudFrontを構成する必要があります。

これには、CloudFrontとビューア間のトラフィック、カスタムオリジンからのCloudFrontの再配布、およびAmazon S3オリジンからのCloudFrontが含まれます。CloudFrontにキャッシュされている間、データが保管時に暗号化されたままであることを保証するために、データはオリジンで暗号化されていることを確認する必要もあります。Amazon S3をオリジンとして使用している場合、顧客はS3サーバー側の暗号化機能を利用できます。カスタムオリジンから配布する場合、データがオリジンで暗号化されていることを確認する必要があります。

Lambda@Edge

Lambda @ Edge は、AWSエッジロケーションでLambda関数を実行できるコンピューティングサービスです。Lambda @ Edge を使用して、CloudFrontを通じて配信されるコンテンツをカスタマイズできます。Lambda @ Edge をPHIと併用する場合、お客様はCloudFrontの使用に関するガイダンスに従う必要があります。Lambda @ Edgeに出入りするすべての接続は、HTTPSまたはSSL / TLSを使用して暗号化する必要があります。

Elastic Load Balancing

お客様はElastic Load Balancingを使用して、PHIを含むセッションを終了および処理できます。お客様は、Classic Load BalancerまたはApplication Load Balancerを選択できます。PHIを含むすべてのネットワークトラフィックは、エンドツーエンドのトランジットで暗号化する必要があるため、2つの異なるアーキテクチャを実装する柔軟性があります。

暗号化されたプロトコルを使用して接続するロードバランサーを作成することで、HTTPS、HTTP / 2 over TLS(アプリケーションの場合)、またはElastic Load BalancingのSSL / TLSを終了できます。この機能により、ロードバランサーと、HTTPS、HTTP / 2 over TLS、またはSSL / TLSセッションを開始するクライアントとの間、およびロードバランサーとお客様のバックエンドインスタンスとの間の接続のトラフィック暗号化が可能になります。PHIを含むセッションでは、トランスポート暗号化のためにフロントエンドリスナーとバックエンドリスナーの両方を暗号化する必要があります。顧客は証明書とセッションネゴシエーションポリシーを評価し、ガイダンスに沿ってそれらを維持する必要があります。詳細については、「クラシックロードバランサーのHTTPSリスナー」を参照してください。

または、お客様は、基本的なTCPモード(クラシックの場合)またはWebSockets (アプリケーションの場合)でAmazon ELBを構成し、暗号化されたセッションが終了するバックエンドインスタンスに暗号化されたセッションをパススルーできます。このアーキテクチャでは、顧客は独自のインスタンスで実行されているアプリケーションで独自の証明書とTLSネゴシエーションポリシーを管理します。詳細については、「クラシックロードバランサーのリスナー」を参照してください。どちらのアーキテクチャでも、顧客は、HIPAAおよびHITECHの要件に一致すると判断したレベルのログを実装する必要があります。

Amazon ECS

Amazon Elastic Container Service(Amazon ECS)は、Dockerコンテナーをサポートし、Amazon EC2インスタンスのマネージドクラスターでアプリケーションを簡単に実行できる、非常にスケーラブルで高性能なコンテナー管理サービスです。Amazon ECSは、顧客が独自のクラスター管理インフラストラクチャをインストール、運用、および拡張する必要をなくします。

シンプルなAPI呼び出しで、顧客はDocker対応アプリケーションを起動および停止し、クラスターの完全な状態をクエリし、セキュリティグループ、Elastic Load Balancing、EBSボリューム、IAMロールなどの多くの使い慣れた機能にアクセスできます。お客様はAmazon ECSを使用して、リソースのニーズと可用性の要件に基づいて、クラスター全体でのコンテナーの配置をスケジュールできます。

PHIを処理するワークロードでECSを使用するには、追加の構成は必要ありません。ECSは、EC2でのコンテナー(S3に保存されているイメージ)の起動を調整するオーケストレーションサービスとして機能し、オーケストレーション対象のワークロード内のデータと連携して動作しません。HIPAA規制とAWS Business Associate Addendumに準拠して、ECSで起動されたコンテナがアクセスするとき、PHIは転送中および保存中に暗号化する必要があります。保存時の暗号化のためのさまざまなメカニズムが、各AWSストレージオプション(S3、EBS、KMSなど)で使用できます。コンテナー間で送信されるPHIの完全な暗号化を確実にすると、冗長な暗号化レイヤーを提供するために、お客様がオーバーレイネットワーク(VNS3、Weave Netなど)を展開するようになる可能性があります。それにもかかわらず、完全なログ記録も有効にして(たとえば、CloudTrailを介して)、すべてのコンテナーインスタンスログをCloudWatchに送信する必要があります。

Amazon EMR

Amazon EMRは、Amazon EC2インスタンスのクラスターをデプロイして顧客のアカウントに管理します。Amazon EMRでの暗号化については、暗号化オプションを参照してください。

Amazon DynamoDB

PHIを含むAmazon DynamoDBへの接続では、暗号化されたトランスポート(HTTPS)を受け入れるエンドポイントを使用する必要があります。リージョンエンドポイントのリストについては、AWSサービスエンドポイントをご覧ください。

Amazon DynamoDBはDynamoDB暗号化を提供します。これにより、お客様はAWS KMSを通じて管理するキーを使用してデータベースを暗号化できます。Amazon DynamoDB暗号化で実行されているデータベースインスタンスでは、基になるストレージに保存されているデータは、このホワイトペーパーの公開時に有効なガイダンスに従って暗号化され、自動バックアップ、リードレプリカ、スナップショットも同様です。

ガイダンスが更新される可能性があるため、お客様は引き続きAmazon DynamoDB暗号化がコンプライアンスおよび規制要件を満たしているかどうかを評価および決定する必要があります。Amazon DynamoDBを使用した保存時の暗号化の詳細については、保存時のDynamoDB暗号化を参照してください。

Amazon API Gateway

お客様は、Amazon API Gatewayを使用してPHIを処理および送信できます。Amazon API Gatewayは、暗号化にHTTPSエンドポイントを自動的に使用しますが、ペイロードをクライアント側で暗号化することもできます。API Gatewayは、キャッシュされていないすべてのデータをメモリ経由で渡し、ディスクに書き込みません。お客様は、API Gatewayでの認証にAWS署名バージョン4を使用できます。詳細については、以下を参照してください。

  • Amazon API Gatewayのよくある質問:セキュリティと認証
  • API GatewayでのREST APIへのアクセスの制御と管理

お客様は、API Gatewayに接続されている任意のサービスと統合できます。ただし、PHIが関係している場合、サービスはガイダンスおよびBAAと一致して構成されます。API Gatewayとバックエンドサービスの統合については、API Gatewayで「REST APIメソッドを設定する」をご覧ください。

お客様は、AWS CloudTrailとAmazon CloudWatchを使用して、ログ要件と一致するログを有効にすることができます。APIゲートウェイ(ヘッダー、URL、要求/応答など)を介して送信されたPHIが、ガイダンスと整合するように構成されたHIPAA対応のサービスによってのみキャプチャされることを確認します。API Gatewayを使用したロギングの詳細については、API Gateway REST APIまたはWebSocket APIのトラブルシューティングのためにCloudWatch Logsを有効にする方法を参照してください。

AWS Storage Gateway

AWS Storage Gatewayは、お客様のオンプレミスアプリケーションがAWSクラウドストレージをシームレスに使用できるようにするハイブリッドストレージサービスです。ゲートウェイは、オープンスタンダードストレージプロトコルを使用して、既存のストレージアプリケーションとワークフローをAWSクラウドストレージサービスに接続し、プロセスの中断を最小限に抑えます。

File Gateway

ファイルゲートウェイは、Amazon S3へのファイルインターフェイスをサポートし、現在のブロックベースのボリュームとVTLストレージに追加するAWS Storage Gatewayの一種です。ファイルゲートウェイはHTTPSを使用してS3と通信し、S3で暗号化されたすべてのオブジェクトをデフォルトでSSE-S3を使用して、またはAWS KMSに格納されたキーでクライアント側の暗号化を使用して保存します。ファイル名などのファイルメタデータは暗号化されていないため、PHIを含めないでください。

Volume Gateway

Volume Gatewayは、顧客がオンプレミスアプリケーションサーバーからインターネットSmall Computer System Interface(iSCSI)デバイスとしてマウントできるクラウドバックアップストレージボリュームを提供します。お客様は、内部コンプライアンスと規制要件に従って、ローカルディスクをアップロードバッファーおよびキャッシュとしてボリュームゲートウェイVMに接続する必要があります。PHIの場合、これらのディスクは保存時の暗号化を提供できることが推奨されます。Volume Gateway VMとAWS間の通信は、TLS 1.2を使用して暗号化され、転送中のPHIを保護します。

Tape Gateway

Tape Gatewayは、オンプレミスで実行されているサードパーティのバックアップアプリケーションへのVTL(仮想テープライブラリ)インターフェイスを提供します。テープバックアップジョブを設定するときは、サードパーティのバックアップアプリケーション内でPHIの暗号化を有効にする必要があります。Tape Gateway VMとAWS間の通信は、TLS 1.2を使用して暗号化され、転送中のPHIを保護します。PHIで任意のStorage Gateway構成を使用しているお客様は、完全なログ記録を有効にする必要があります。詳細については、「AWS Storage Gatewayとは」を参照してください。

AWS KMSを使用したPHIの暗号化

AWS KMSのマスターキーを使用して、顧客のアプリケーションまたはAWS KMSを使用するAWSサービスでPHIを暗号化するために使用されるデータ暗号化キーを暗号化/復号化できます。AWS KMSはHIPAAアカウントと組み合わせて使用できますが、PHIはHIPAA対象サービスでのみ処理、保存、または送信できます。AWS KMSは通常、他のHIPAA対象サービスで実行されているアプリケーションのキーを生成および管理するために使用されます。

たとえば、Amazon EC2でPHIを処理するアプリケーションは、GenerateDataKey API呼び出しを使用して、アプリケーションのPHIを暗号化および復号化するためのデータ暗号化キーを生成できます。データ暗号化キーは、AWS KMSに保存されている顧客のマスターキーによって保護され、AWS KMSへのAPI呼び出しがAWS CloudTrailに記録されるため、高度に監査可能なキー階層が作成されます。AWS KMSに保存されているキーのタグ(メタデータ)にPHIを保存しないでください。

AWS Shield

AWS Shieldは、AWSで実行されているウェブアプリケーションを保護するマネージド分散型サービス拒否(DDoS)保護サービスです。AWSシールドは、常時オンの検出と自動インライン軽減を提供し、アプリケーションのダウンタイムとレイテンシを最小限に抑えます。そのため、DDoS保護の恩恵を受けるためにAWSサポートを利用する必要はありません。

AWS Shieldは、PHIの保存または送信には使用できませんが、PHIで動作するウェブアプリケーションの保護に使用できます。そのため、AWS Shieldを使用するときに特別な設定は必要ありません。

AWSのすべてのお客様は、追加料金なしでAWSシールドスタンダードの自動保護機能を利用できます。AWSシールドスタンダードは、ウェブサイトやアプリケーションを標的とする、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーのDDoS攻撃を防御します。Elastic Load Balancing(ELB)、Amazon CloudFront、Amazon Route 53リソースで実行されているウェブアプリケーションを標的とした攻撃に対するより高いレベルの保護のために、お客様はAWS Shield Advancedにサブスクライブできます。

AWS Snowball

AWS Snowball(Snowball)を使用すると、オンプレミスのデータセンターとAmazon Simple Storage Service(Amazon S3)の間で数百テラバイトまたはペタバイトのデータを転送できます。AWS Snowballに保存されているPHIは、ガイダンスと整合性のある保管時に暗号化する必要があります。インポートジョブを作成するとき、お客様は、Snowball内のデータを保護するために使用されるAWS KMSマスターキーのARNを指定する必要があります。さらに、インポートジョブの作成中に、ガイダンスで設定された暗号化標準を満たす宛先S3バケットを選択する必要があります。

Snowballは現在、AWS KMSで管理されたキーによるサーバー側の暗号化(SSE-KMS)または顧客提供のキーによるサーバー側の暗号化(SSE-C)をサポートしていませんが、SnowballはAmazon S3で管理された暗号化キーによるサーバー側の暗号化をサポートしています(SSE-S3)。詳細については、「Amazon S3-Managed Encryption Keys(SSE-S3)によるサーバー側の暗号化を使用したデータの保護」を参照してください。

または、AWS Snowballにデータを保存する前に、選択した暗号化方法を使用してPHIを暗号化することもできます。

現在、お客様はBAAの一部として標準のAWS SnowballアプライアンスまたはAWS Snowmobileを使用できます。

AWS Snowball Edge

AWS Snowball Edgeは、標準のストレージインターフェイスを使用して既存の顧客のアプリケーションとインフラストラクチャに接続し、データ転送プロセスを合理化し、セットアップと統合を最小限に抑えます。Snowball Edgeは、クラスター化してローカルストレージ階層を形成し、オンサイトで顧客データを処理できるため、顧客はクラウドにアクセスできない場合でもアプリケーションを引き続き実行できます。

Snowball Edgeの使用中もPHIが暗号化されたままであることを保証するために、AWS IoT Greengrassが提供するAWS Lambdaプロシージャを使用してSnowball Edgeの外部のリソースとの間でPHIを送信する場合は、HTTPSやSSL / TLSなどの暗号化された接続プロトコルを必ず使用してください。さらに、PHIは、Snowball Edgeのローカルボリュームに保存されている間、ローカルアクセスまたはNFSを介して暗号化する必要があります。暗号化は、Snowball管理コンソールとAPIを使用してSnowball Edgeに配置されたデータに自動的に適用され、S3への一括転送が可能です。S3へのデータ転送の詳細については、上記のAWS Snowballの関連ガイダンスを参照してください。

AWS Snowmobile

AWS SnowmobileはAWSによってマネージドサービスとして運営されています。そのため、AWSはお客様に連絡して、デプロイメントの要件を決定し、ネットワーク接続を手配するとともに、データの移動を支援します。Snowmobileに保存されているデータは、AWS Snowballに提供されているものと同じガイダンスを使用して暗号化されます。

AWS WAF – Web Application Firewall

AWS WAFは、アプリケーションの可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のある一般的なWebエクスプロイトから顧客のWebアプリケーションを保護するのに役立つWebアプリケーションファイアウォールです。お客様は、AWSでホストされ、PHIと連携または交換するウェブアプリケーションとエンドユーザーの間にAWS WAFを配置できます。AWSでのPHIの送信と同様に、PHIを含むデータは送信中に暗号化する必要があります。使用可能な暗号化オプションについて理解を深めるには、Amazon EC2のガイダンスを参照してください。

AWS Directory Service

AWS Directory Service for Microsoft AD

AWS Active AD for Enterprise Active Directory(Enterprise Edition)はAWS Microsoft ADとも呼ばれ、ディレクトリ対応のワークロードとAWSリソースがAWSクラウドでマネージドActive Directoryを使用できるようにします。AWS Microsoft ADは、AWSが管理する暗号化キーを使用して、ディレクトリコンテンツ(PHIを含むコンテンツを含む)を暗号化されたAmazon Elastic Block Storeボリュームに保存します。

詳細については、「Amazon EBS暗号化」を参照してください。Active Directoryクライアントとの間で送受信されるデータは、お客様のAmazon Virtual Private Cloud(VPC)ネットワークを介してライトウェイトディレクトリアクセスプロトコル(LDAP)を通過するときに暗号化されます。Active Directoryクライアントがオンプレミスネットワークに存在する場合、トラフィックは仮想プライベートネットワークリンクまたはAWS Direct Connectリンクによって顧客のVPCに移動します。

Amazon Cloud Directory

Amazon Cloud Directoryを使用すると、複数のディメンションに沿ってデータの階層を整理するための柔軟なクラウドネイティブディレクトリを構築できます。お客様は、組織図、コースカタログ、デバイスレジストリなど、さまざまなユースケースのディレクトリを作成することもできます。たとえば、顧客は、レポート構造、場所、およびコストセンターの別々の階層をナビゲートできる組織図を作成できます。Amazon Cloud Directoryは、AWS Key Management Service(KMS)によって管理される256ビットの暗号化キーを使用して、保管中および転送中のデータを自動的に暗号化します。

Amazon WorkSpaces

Amazon WorkSpaces は、AWSで実行されるフルマネージドで安全なサービスとしてのデスクトップ(DaaS )ソリューションです。Amazon WorkSpacesを使用すると、顧客は仮想クラウドベースのMicrosoft Windowsデスクトップをユーザーに簡単にプロビジョニングでき、サポートされているデバイスからいつでもどこでも必要なドキュメント、アプリケーション、リソースにアクセスできます。

Amazon WorkSpaces はデータをAmazon Elastic Block Storeボリュームに保存します。お客様は、AWS Key Management Serviceを通じてお客様が管理するキーを使用して、お客様のWorkSpaces ストレージボリュームを暗号化できます。WorkSpace で暗号化が有効になっている場合、基盤となるストレージに保存されているデータとディスクストレージの自動バックアップ(EBSスナップショット)の両方がガイダンスに従って暗号化されます。WorkSpace クライアントからWorkSpace への通信は、SSL / TLSを使用して保護されます。Amazon WorkSpacesを使用した保存時の暗号化の詳細については、「暗号化されたWorkSpaces」を参照してください。

Amazon WorkDocs

Amazon WorkDocs は、強力な管理制御とユーザーの生産性を向上させるフィードバック機能を備えた、完全に管理された安全なエンタープライズファイルストレージと共有サービスです。Amazon WorkDocs ファイルは、お客様がAWS Key Management Service(KMS)を介して管理するキーを使用して保管時に暗号化されます。転送中のすべてのデータは、SSL / TLSを使用して暗号化されます。AWSウェブおよびモバイルアプリケーション、およびデスクトップ同期クライアントは、SSL / TLSを使用してファイルをAmazon WorkDocsに直接送信します。

WorkDocs 管理者は、Amazon WorkDocs 管理コンソールを使用して監査ログを表示し、ファイルとユーザーのアクティビティを時間別に追跡し、ユーザーが組織外のユーザーとファイルを共有できるようにするかどうかを選択できます。アマゾンWorkDocsはまた、CloudTrail(またはアマゾンに代わって作られたキャプチャAPI呼び出しというサービスと統合されているWorkDocs お客様のAWSでのアカウント)、およびCloudTrailログファイルを、お客様が指定したAmazon S3バケットに配信します。

RADIUSサーバーを使用する多要素認証(MFA)が利用可能で、認証プロセス中に顧客に追加のセキュリティ層を提供できます。ユーザーは、ユーザー名とパスワードを入力し、続いてハードウェアまたはソフトウェアトークンによって提供されるOTP(ワンタイムパスコード)を入力してログインします。

詳細については、以下を参照してください。

  • Amazon WorkDocs 機能
  • AWS CloudTrailを使用したAmazon WorkDocs API呼び出しのログ記録

PHIをファイル名やディレクトリ名に保存しないでください。

Amazon Inspector

Amazon Inspectorは、AWSにデプロイされたアプリケーションのセキュリティとコンプライアンスの向上を求める顧客向けの自動セキュリティ評価サービスです。Amazon Inspectorは、脆弱性やベストプラクティスからの逸脱についてアプリケーションを自動的に評価します。評価を実行した後、Amazon Inspectorは重大度のレベルによって優先順位付けされたセキュリティ結果の詳細なリストを生成します。お客様は、PHIを含むEC2インスタンスでAmazon Inspectorを実行できます。Amazon Inspectorは、ネットワーク経由で送信されるすべてのデータと、保存されているすべてのテレメトリデータを暗号化します。

Amazon Kinesis Streams

Amazon Kinesis Streamsにより、お客様は、特殊なニーズに合わせてストリーミングデータを処理または分析するカスタムアプリケーションを構築できます。サーバー側の暗号化機能を使用すると、保管中のデータを暗号化できます。サーバー側の暗号化が有効になっている場合、Kinesis StreamsはAWS KMSキーを使用して、ディスクに保存する前にデータを暗号化します。詳細については、「Amazon Kinesis Data Streamsでのデータ保護」を参照してください。PHIを含むAmazon S3への接続では、暗号化されたトランスポート(つまりHTTPS)を受け入れるエンドポイントを使用する必要があります。リージョンエンドポイントのリストについては、AWSサービスエンドポイントをご覧ください。

AWS Lambda

AWS Lambdaを使用すると、顧客は自分でサーバーをプロビジョニングまたは管理することなくコードを実行できます。AWS Lambdaは、リージョン内の複数のアベイラビリティーゾーンにわたってAmazon Elastic Compute Cloud(Amazon EC2)インスタンスのコンピューティングフリートを使用します。これにより、AWSインフラストラクチャの高可用性、セキュリティ、パフォーマンス、およびスケーラビリティが提供されます。

AWS Lambdaの使用中にPHIが暗号化されたままであることを確認するには、外部リソースへの接続にHTTPSやSSL / TLSなどの暗号化プロトコルを使用する必要があります。たとえば、S3がLambdaプロシージャからアクセスされる場合、https://bucket.s3-aws-region.amazonaws.comでアドレス指定する必要があります。

実行中のプロシージャ内でPHIが休止またはアイドル状態になっている場合は、AWS KMSまたはAWS CloudHSM から取得したキーを使用して、クライアント側またはサーバー側で暗号化する必要があります。サービスを通じてAWS Lambda関数をトリガーする場合は、Amazon API Gatewayの関連ガイダンスに従ってください。他のAWSサービスからのイベントを使用してAWS Lambda関数をトリガーする場合、イベントデータにPHIを含めないでください。たとえば、S3でのオブジェクトの到着など、S3イベントからLambdaプロシージャがトリガーされる場合、Lambdaにリレーされるオブジェクト名にはPHIを含めないでください。ただし、オブジェクト自体にそのようなデータを含めることができます。

AWS Batch

AWS Batchを使用すると、開発者、科学者、エンジニアは、AWSで何十万ものバッチコンピューティングジョブを簡単かつ効率的に実行できます。AWS Batchは、送信されたバッチジョブのボリュームと特定のリソース要件に基づいて、最適な数量とタイプのコンピューティングリソース(CPUまたはメモリ最適化インスタンスなど)を動的にプロビジョニングします。AWS Batchは、AWSコンピューティングサービスと機能の全範囲にわたってバッチコンピューティングワークロードを計画、スケジュール、実行します。

Amazon ECSのガイダンスと同様に、PHIをジョブ定義、ジョブキュー、またはAWS Batchのタグに直接配置しないでください。代わりに、AWS Batchでスケジュールおよび実行されたジョブは、暗号化されたPHIで動作する場合があります。ジョブのステージによってAWS Batchに返される情報にも、PHIを含めないでください。AWS Batchによって実行されているジョブがPHIを送信または受信する必要がある場合は常に、その接続をHTTPSまたはSSL / TLSを使用して暗号化する必要があります。

Amazon Connect

Amazon Connectは、クラウドベースのセルフサービスのコンタクトセンターサービスであり、動的で個人的な自然な顧客エンゲージメントをあらゆる規模で実現します。お客様は、Amazon Connect内のユーザー、セキュリティプロファイル、および連絡フローの管理に関連するフィールドにPHIを含めないでください。

Amazon Route 53

Amazon Route 53は、顧客がドメイン名を登録し、インターネットトラフィックの顧客ドメインリソースをルーティングし、それらのリソースの状態をチェックする機能を提供するマネージドDNSサービスです。Amazon Route 53はHIPAA適格サービスですが、そのようなデータの暗号化はサポートされていないため、Amazon Route 53内のリソース名やタグにPHIを格納しないでください。代わりに、Amazon Route 53を使用して、Amazon EC2で実行されているWebサーバーやAmazon S3などのストレージなどのPHIを送信または保存する顧客ドメインリソースへのアクセスを提供できます。

AWS CloudHSM

AWS CloudHSM はクラウドベースのハードウェアセキュリティモジュール(HSM)であり、お客様はAWSクラウドで独自の暗号化キーを簡単に生成して使用できます。CloudHSM 、顧客は、FIPS 140-2レベル3検証済みのHSMを使用して、独自の暗号化キーを管理することができます。CloudHSM は、PKCS#11、Java Cryptography Extensions(JCE)、Microsoft CryptoNG (CNG)ライブラリなどのオープンスタンダードAPIを使用してアプリケーションと統合する柔軟性を提供します。

CloudHSM も標準に準拠しており、お客様はすべてのキーを他のほとんどの市販のHSM にエクスポートできます。AWS CloudHSM はハードウェアアプライアンスのキー管理サービスであるため、PHIを保存または送信できません。PHIをタグ(メタデータ)に保存しないでください。他の特別なガイダンスは必要ありません。

Amazon ElastiCache for Redis

Amazon ElastiCache for Redisは、データストアまたはキャッシュとして使用できるRedis互換のメモリ内データ構造サービスです。PHI を保存するには、お客様は最新のHIPAA対応のElastiCache for Redisエンジンバージョンと現在の世代のノードタイプを実行していることを確認する必要があります。Amazon ElastiCache for Redisは、次のノードタイプとRedisエンジンバージョンのPHIの保存をサポートしています。

  • ノードタイプ:現在の世代のみ(たとえば、この記事の発行時、M4、M5、R4、R5、T2、T3)
  • RedisエンジンのElastiCache バージョン:3.2.6および4.0.10以降

現在の世代のノードの選択の詳細については、Amazon ElastiCacheの料金を参照してください。Redis for ElastiCache エンジンの選択の詳細については、「Redis for Amazon ElastiCache とは」を参照してください。

また、お客様は、クラスターとクラスター内のノードが保存データを暗号化し、トランスポート暗号化を有効にし、Redisコマンドの認証を有効にするように構成されていることを確認する必要もあります。さらに、お客様は、Redisクラスターが最新の「セキュリティ」タイプのサービス更新で「推奨適用日」(更新の適用が推奨される日付)以前に常に更新されていることも確認する必要があります。詳細については、以下のセクションを参照してください。

保存時の暗号化

Amazon ElastiCache for Redisは、クラスターのデータ暗号化を提供して、保存されているデータを保護します。作成時にクラスターで保存時の暗号化を有効にすると、Amazon ElastiCache for Redisがディスク上のデータと自動化されたRedisバックアップを暗号化します。ディスク上の顧客データは、ハードウェアアクセラレーションによるAdvanced Encryption Standard(AES)-512対称キーを使用して暗号化されます。Redisバックアップは、Amazon S3管理の暗号化キー(SSE-S3)を介して暗号化されます。サーバー側の暗号化が有効になっているS3バケットは、バケットに保存する前に、ハードウェアアクセラレーションによるAdvanced Encryption Standard(AES)-256対称キーを使用してデータを暗号化します。

Amazon S3が管理する暗号化キー(SSE-S3)の詳細については、「Amazon S3が管理する暗号化キー(SSE-S3)によるサーバー側の暗号化を使用したデータの保護」を参照してください。暗号化を使用して実行されているElastiCache Redisクラスター(シングルノードまたはマルチノード)では、保存されているデータは、この記事の発行時に有効だったガイダンスに従って暗号化されます。これには、ディスク上のデータとS3バケット内の自動バックアップが含まれます。ガイダンスが更新される可能性があるため、お客様は引き続き、Redis暗号化用のAmazon ElastiCache 暗号化がコンプライアンスおよび規制要件を満たしているかどうかを評価および決定する必要があります。Redis用Amazon ElastiCache を使用した保存時の暗号化の詳細については、「Redis用Amazon ElastiCache とは」を参照してください。

トランスポート暗号化

Amazon ElastiCache for Redis は、TLSを使用して転送中のデータを暗号化します。PHIを含むRedis用ElastiCache への接続では、トランスポート暗号化を使用し、ガイダンスとの整合性について構成を評価する必要があります。詳細については、CreateReplicationGroupを参照してください。トランスポート暗号化の有効化の詳細については、Redis In-Transit Encryption(TLS)用のElastiCache を参照してください。

認証

PHIを含むRedisクラスター(シングル/マルチノード)用のAmazon ElastiCache は、Redisコマンドの認証を有効にするためにRedis AUTHトークンを提供する必要があります。Redis AUTH は、保存時の暗号化と転送時の暗号化の両方が有効になっている場合に使用できます。お客様は、Redis AUTHに次の制限付きの強力なトークンを提供する必要があります。

  • 印刷可能なASCII文字のみである必要があります
  • 16文字以上128文字以下である必要があります
  • 次の文字を含めることはできません: ‘/’、 ‘”‘、または” @ “

このトークンは、Redisレプリケーショングループ(シングル/マルチノード)の作成時にリクエストパラメータ内から設定する必要があり、後で新しい値で更新できます。AWSは、AWS Key Management Service(KMS)を使用してこのトークンを暗号化します。Redis AUTHの詳細については、Redis In-Transit Encryption(TLS)用のElastiCache を参照してください。

ElastiCache サービスの更新の適用

PHIを含むRedisクラスター(シングル/マルチノード)用のAmazon ElastiCache は、「推奨適用日」以前に、最新の「セキュリティ」タイプのサービス更新で更新する必要があります。ElastiCache はこれをセルフサービス機能として提供し、顧客がオンデマンドでリアルタイムで更新を適用できるようにします。各サービスの更新には「重要度」と「日付による推奨の適用」が付属しており、該当するRedisレプリケーショングループでのみ使用できます。

サービス更新機能の「SLA Met」フィールドには、更新が「推奨適用日」以前に適用されたかどうかが示されます。お客様が「Recommended Apply by Date」までに該当するRedisレプリケーショングループに更新を適用しないことを選択した場合、ElastiCache はそれらを適用するためのアクションを実行しません。お客様は、サービス更新履歴ダッシュボードを使用して、Redisレプリケーショングループへの更新の適用を経時的に確認できます。この機能の使用方法の詳細については、「Amazon ElastiCacheのセルフサービス更新」を参照してください。

Amazon CloudWatch

お客様は、Amazon CloudWatch Logsを使用して、Amazon Elastic Compute Cloud(Amazon EC2)インスタンス、AWS CloudTrail、Amazon Route 53、およびその他のソースからログファイルを監視、保存、およびアクセスできます。その後、CloudWatch Logsから関連するログデータを取得できます。ログデータは、転送中および静止中に暗号化されます。その結果、他のサービスによって発行され、CloudWatch Logsに配信されるPHIを再暗号化する必要はありません。

Amazon Elastic Container Registry

Amazon Elastic Container Registry(Amazon ECR)はAmazon Elastic Container Service(Amazon ECS)と統合されており、Amazon ECSで実行されているアプリケーションのコンテナーイメージを簡単に保存、実行、管理できます。お客様がタスク定義でAmazon ECRリポジトリを指定すると、Amazon ECSはアプリケーションに適したイメージを取得します。

PHIを含むコンテナイメージでAmazon ECRを使用するために特別な手順は必要ありません。コンテナーイメージは転送中に暗号化され、Amazon S3サーバー側暗号化(SSE-S3)を使用して保存中に暗号化されて保存されます。

Amazon Macie

Amazon Macieは、機械学習を使用してAWSの機密データを自動的に検出、分類、保護するセキュリティサービスです。Amazon Macieは、PHIや知的財産などの機密データを認識し、このデータへのアクセスまたは移動方法を可視化するダッシュボードとアラートをお客様に提供します。フルマネージドサービスは、データアクセスアクティビティの異常を継続的に監視し、不正アクセスまたは不注意によるデータリークのリスクを検出すると、詳細なアラートを生成します。

Amazon Macieは、Amazon S3に保存されているオブジェクトでのみ動作します。Amazon Macie を設定するために、PHIを入力または保存する必要はありません。Amazon Macieによって監視されているS3バケット内に保存されているすべてのオブジェクトは、保管中に暗号化する必要があります。ただし、Amazon Macieは、クライアント側の暗号化を使用して暗号化されたオブジェクトを読み取って分類することはできません。S3オブジェクトに保存されているPHIを効果的に監視するには、サーバー側の暗号化(SSE-S3)またはAWS KMS管理のキー(SSE-KMS)を使用する必要があります。

Amazon QuickSight

Amazon QuickSight は、ビジュアライゼーションの構築、アドホック分析の実行、データからのビジネスインサイトの迅速な取得に使用できるビジネス分析サービスです。Amazon QuickSight はAWSデータソースを検出し、組織が数十万のユーザーに拡張できるようにし、堅牢なインメモリエンジン(SPICE)を使用して応答性の高いパフォーマンスを提供します。

SPICEに保存されているデータの暗号化をサポートしているため、PHIを含むデータを操作するには、Amazon QuickSightのEnterpriseエディションのみを使用できます。データの暗号化はAWS管理キーを使用して実行されます。

AWS Managed Services

AWS Managed Servicesは、AWSインフラストラクチャの継続的な管理を提供します。AWSマネージドサービスは、お客様のインフラストラクチャを維持するためのベストプラクティスを実装することにより、運用上のオーバーヘッドとリスクを削減するのに役立ちます。AWSマネージドサービスは、変更リクエスト、モニタリング、パッチ管理、セキュリティ、バックアップサービスなどの一般的なアクティビティを自動化し、インフラストラクチャのプロビジョニング、実行、サポートにフルライフサイクルのサービスを提供します。

お客様は、AWS Managed Servicesを使用して、PHIを含むデータで動作するAWSワークロードを管理できます。AWS Managed Servicesを使用しても、PHIでの使用に適格なAWSサービスは変更されません。AWSマネージドサービスによって提供されるツールと自動化は、PHIの保存または送信には使用できません。

AWS Fargate

AWS Fargateは、サーバーやクラスターを管理しなくてもコンテナーを実行できるテクノロジーです。AWS Fargateを使用すると、コンテナーを実行するために仮想マシンのクラスターをプロビジョニング、構成、スケーリングする必要がなくなります。これにより、サーバーの種類を選択したり、クラスターをスケーリングするタイミングを決定したり、クラスターのパッキングを最適化したりする必要がなくなります。AWS Fargateを使用すると、サーバーやクラスターと対話したり、サーバーやクラスターについて考えたりする必要がなくなります。Fargate により、顧客はアプリケーションを実行するインフラストラクチャを管理するのではなく、アプリケーションの設計と構築に集中できます。

Fargate は、PHIを処理するワークロードを処理するために追加の構成を必要としません。お客様は、Amazon ECSのようなコンテナーオーケストレーションサービスを使用して、Fargateでコンテナーワークロードを実行できます。Fargate は、基盤となるインフラストラクチャのみを管理し、オーケストレーション対象のワークロード内のデータを操作しません。HIPAAの要件に合わせて、PHIは、Fargateで起動されたコンテナーによってアクセスされるとき、転送中または静止中にいつでも暗号化する必要があります。このホワイトペーパーで説明されている各AWSストレージオプションでは、保管時の暗号化のためのさまざまなメカニズムを利用できます。

AWS CloudFormation

AWS CloudFormationを使用すると、AWSインフラストラクチャのデプロイを予測可能かつ繰り返し作成およびプロビジョニングできます。Amazon EC2、Amazon Elastic Block Store、Amazon SNS、Elastic Load Balancing、Auto ScalingなどのAWS製品を活用して、基盤となるAWSインフラストラクチャの構成を心配することなく、クラウドで信頼性が高く、スケーラブルで費用効果の高いアプリケーションを構築するのに役立ちます。

AWS CloudFormationでは、テンプレートファイルを使用して、リソースのコレクションを単一のユニット(スタック)としてまとめて作成および削除できます。

AWS CloudFormation自体は、PHIの保存、送信、または処理を行いません。代わりに、PHIを保存、送信、または処理する可能性がある他のAWSサービスを使用するアーキテクチャを構築およびデプロイするために使用されます。PHIで使用できるのは、HIPAA対象サービスのみです。これらのサービスでのPHIの使用に関するガイダンスについては、このホワイトペーパーのこれらのサービスのエントリを参照してください。AWS CloudFormationは、AWS CloudTrailを使用してすべてのAPI呼び出しを記録します。

AWS Cloud Map

AWS Cloud Mapは、クラウドリソース検出サービスです。AWSクラウドマップを使用すると、Amazon ECSタスク、Amazon EC2インスタンス、Amazon S3バケット、Amazon DynamoDBテーブル、Amazon SQSキュー、その他のクラウドリソースなど、アプリケーションリソースのカスタム名を定義できます。その後、お客様はこれらのカスタム名を使用して、AWS SDKと認証済みAPIクエリを使用するアプリケーションからクラウドリソースの場所とメタデータを検出できます。AWS Cloud MapはHIPAAの対象サービスですが、そのようなデータを保護するためのサポートがないため、AWS Cloud Map内のリソース名/属性にPHIを格納しないでください。代わりに、AWSクラウドマップを使用して、PHIを送信または保存する顧客ドメインリソースを検出できます。

AWS X-Ray

AWS X-Rayは、顧客のアプリケーションが提供するリクエストに関するデータを収集し、そのデータを表示、フィルター、および洞察して、最適化の問題と機会を特定するために使用できるツールを提供するサービスです。顧客のアプリケーションへのトレースされた要求については、要求と応答に関するだけでなく、アプリケーションがダウンストリームAWSリソース、マイクロサービス、データベース、およびHTTPウェブAPIに対して行う呼び出しについても詳細な情報を見ることができます。AWS X-Rayは、PHIの保存または処理に使用しないでください。AWS X-Rayとの間で送受信される情報は、デフォルトで暗号化されます。AWS X-Rayを使用する場合、セグメントアノテーションまたはセグメントメタデータ内にPHIを配置しないでください。

AWS CloudTrail

AWS CloudTrailは、AWSアカウントのガバナンス、コンプライアンス、運用監査、リスク監査を可能にするサービスです。CloudTrailを使用すると、お客様は、AWSインフラストラクチャ全体のアクションに関連するアカウントアクティビティをログに記録し、継続的に監視および保持できます。CloudTrailは、AWSマネジメントコンソール、AWS SDK、コマンドラインツール、その他のAWSサービスを通じて実行されたアクションを含む、AWSアカウントアクティビティのイベント履歴を提供します。このイベント履歴により、セキュリティ分析、リソース変更の追跡、トラブルシューティングが簡素化されます。

AWS CloudTrailは、すべてのAWSアカウントでの使用が可能であり、AWS BAAの要求に応じて監査ログに使用できます。特定の証跡は、CloudTrailコンソールまたはAWSコマンドラインインターフェイスを使用して作成する必要があります。CloudTrailは、暗号化されたTrailが作成されるときに、送信中および静止中にすべてのトラフィックを暗号化します。PHIを記録する可能性がある場合は、暗号化された証跡を作成する必要があります。

デフォルトでは、暗号化されたTrailは、Amazon S3(SSE-S3)管理キーによるサーバー側の暗号化を使用して、Amazon S3にエントリを保存します。キーの追加管理が必要な場合は、AWS KMS管理キー(SSE-KMS)で構成することもできます。CloudTrailはAWSログエントリの最終的な宛先であるため、PHIを処理するアーキテクチャの重要なコンポーネントであるため、CloudTrailログファイルの整合性検証を有効にし、関連するCloudTrailダイジェストファイルを定期的に確認する必要があります。有効にすると、ログファイルが変更または変更されていないという肯定的なアサーションを確立できます。

AWS CodeBuild

AWS CodeBuild は、クラウドでフルマネージドのビルドサービスです。AWS CodeBuildはソースコードをコンパイルし、単体テストを実行し、デプロイの準備ができたアーティファクトを生成します。AWS CodeBuild はAWS KMSカスタマーマスターキー(CMK)を使用して、ビルド出力アーティファクトを暗号化します。PHI、シークレット/パスワード、マスター証明書などを含むアーティファクトを構築する前に、CMKを作成して構成する必要があります。AWSCodeBuild は、AWS CloudTrailを使用してすべてのAPI呼び出しをログに記録します。

AWS CodeCommit

AWS CodeCommit は、プライベートGitリポジトリをホストする、安全でスケーラブルなマネージドソースコントロールサービスです。AWS CodeCommitを使用すると、顧客が独自のソース管理システムを管理したり、インフラストラクチャのスケーリングを心配したりする必要がなくなります。

AWS CodeCommit は、移動中および静止中にすべてのトラフィックと保存された情報を暗号化します。デフォルトでは、AWS CodeCommit 内でリポジトリが作成されると、AWS管理キーがAWS KMSで作成され、保管されているすべてのデータを暗号化するためにそのリポジトリでのみ使用されます。AWS CodeCommit はAWS CloudTrailを使用してすべてのAPI呼び出しをログに記録します。

AWS Config

AWS Configは、お客様のAWSアカウントに関連付けられているリソースの詳細ビューを提供します。これには、リソースの構成方法、相互の関係、構成とそれらの関係の経時変化が含まれます。

AWS Config自体を使用してPHIを保存または送信することはできません。

代わりに、PHIを処理するアーキテクチャーを含む、他のAWSサービスで構築されたアーキテクチャーを監視および評価して、それらが意図した設計目標に引き続き準拠しているかどうかを判断するのに役立ちます。PHIを処理するアーキテクチャは、HIPAA対象サービスでのみ構築する必要があります。AWS ConfigはAWS CloudTrailを使用してすべての結果をログに記録します。

AWS OpsWorks Stack

AWS OpsWorks Stackは、スタックとアプリケーションを作成および管理するためのシンプルで柔軟な方法を提供します。お客様はAWS OpsWorks Stackを使用して、スタック内のアプリケーションをデプロイおよび監視できます。

AWS OpsWorks Stackは、転送中のすべてのトラフィックを暗号化します。ただし、暗号化されたデータバッグ(Chefデータストレージメカニズム)は利用できません。PHI、シークレット/パスワード、マスター証明書など、安全に保存する必要のあるアセットは、Amazon S3の暗号化されたバケットに保存する必要があります。AWS OpsWorks スタックはAWS CloudTrailを使用してすべてのAPI呼び出しを記録します。

Amazon Elastic File System(EFS)

Amazon Elastic File System(Amazon EFS)は、AWSクラウドサービスおよびオンプレミスリソースで使用するシンプルでスケーラブルなエラスティックファイルストレージを提供します。使いやすく、シンプルなインターフェイスを備えているため、ファイルシステムをすばやく簡単に作成および構成できます。Amazon EFSは、アプリケーションを中断することなくオンデマンドで柔軟にスケーリングするように構築されており、顧客がファイルを追加および削除すると自動的に拡大および縮小します。

PHIを保存時に暗号化するという要件を満たすために、EFSでは2つのパスを使用できます。EFSは、新しいファイルシステムが作成されたときの保存時の暗号化をサポートします。作成時に、「保存データの暗号化を有効にする」オプションを選択する必要があります。このオプションを選択すると、EFSファイルシステムに配置されたすべてのデータが、AES-256暗号化とAWS KMS管理キーを使用して暗号化されます。EFSに配置する前にデータを暗号化することもできますが、その場合、暗号化プロセスとキー管理を管理する責任があります。

PHIは、ファイル名またはフォルダー名の全部または一部として使用しないでください。Amazon EFSの転送中のPHIの暗号化は、EFSサービスとファイルシステムをマウントするインスタンス間のトランスポート層セキュリティ(TLS)によって提供されます。EFSは、TLSを使用したファイルシステムへの接続を容易にするマウントヘルパーを提供します。デフォルトでは、TLSは使用されないため、EFSマウントヘルパーを使用してファイルシステムをマウントするときに有効にする必要があります。mountコマンドに、TLS暗号化を有効にするための「-o tls 」オプションが含まれていることを確認してください。または、EFSマウントヘルパーを使用しないことを選択したお客様は、EFSドキュメントの指示に従って、TLSトンネル経由で接続するようにNFSクライアントを構成できます。

Amazon Kinesis Video Streams

Amazon Kinesis Video Streamsは、お客様がデバイスからAWSクラウドにライブビデオをストリーミングしたり、リアルタイムのビデオ処理またはバッチ指向のビデオ分析のためのアプリケーションを構築したりするために使用できる完全に管理されたAWSサービスです。サーバー側の暗号化は、お客様が指定したAWS KMSカスタマーマスターキー(CMK)を使用して保存データを自動的に暗号化するKinesisビデオストリームの機能です。データは、Kinesis Video Streamsストリームストレージレイヤーに書き込まれる前に暗号化され、ストレージから取得された後に復号化されます。

Amazon KinesisビデオストリームSDKを使用して、PHIを含むストリーミングビデオデータを送信できます。デフォルトでは、SDK はTLSを使用して、SDK がインストールされているハードウェアデバイスによって生成されたフレームとフラグメントを暗号化します。SDKは、保存されているデータを管理または影響しません。Amazon Kinesisビデオストリームは、AWS CloudTrailを使用してすべてのAPI呼び出しをログに記録します。

Amazon Rekognition

Amazon Rekognitionを使用すると、顧客のアプリケーションに画像およびビデオ分析を簡単に追加できます。顧客は画像またはビデオをAmazon Rekognition API に提供するだけでよく、サービスはオブジェクト、人物、テキスト、シーン、およびアクティビティを識別し、不適切なコンテンツを検出できます。Amazon Rekognition は、非常に正確な顔分析と顔認識も提供します。

Amazon Rekognition は、PHIを含む画像またはビデオを操作できます。Amazon Rekognition はマネージドサービスとして動作し、データを処理するための構成可能なオプションはありません。Amazon Rekognition は、AWS BAAの条件で許可されているPHIのみを使用、開示、維持します。すべてのデータは、保管時およびAmazon Rekognition で転送中に暗号化されます。Amazon Rekognition は、AWS CloudTrailを使用してすべてのAPI呼び出しをログに記録します。

Amazon SageMaker

Amazon SageMaker は、フルマネージドの機械学習サービスです。Amazon SageMakerを使用すると、データサイエンティストや開発者は、機械学習モデルをすばやく簡単に構築してトレーニングし、本番環境に対応したホスト環境に直接デプロイできます。統合されたJupyter オーサリングノートブックインスタンスを提供し、探索と分析のためにデータソースに簡単にアクセスできます。Amazon SageMaker は、分散環境で非常に大きなデータに対して効率的に実行するように最適化された一般的な機械学習アルゴリズムも提供します。

Amazon SageMaker は、独自のアルゴリズムとフレームワークをネイティブでサポートすることで、顧客の特定のワークフローに適応する柔軟な分散トレーニングオプションを提供します。Amazon SageMaker は、PHIを含むデータを操作する資格があります。転送中のデータの暗号化はSSL / TLSによって提供され、Amazon SageMakerのフロントエンドインターフェイス(ノートブック)と通信するとき、およびAmazon SageMakerが他のAWSサービスとやり取りするとき(たとえば、Amazon S3からデータをプルするとき)に使用されます)。

PHIを保存時に暗号化するという要件を満たすために、Amazon SageMaker を使用してインスタンスを実行しているインスタンスに保存されているデータの暗号化は、エンドポイントを設定するときにAWS Key Management Service(KMS)を使用して有効化されます(DescribeEndpointConfig:KmsKeyID )。AWS KMSを使用してモデルのトレーニング結果(アーティファクト)の暗号化が有効になっており、OutputDataConfigの説明でKmsKeyID を使用してキーを指定する必要があります。KMSキーID が指定されていない場合、ロールのアカウントのデフォルトのAmazon S3 KMSキーが使用されます。Amazon SageMaker はAWS CloudTrailを使用してすべてのAPI呼び出しをログに記録します。

Amazon Simple Workflow Service

Amazon Simple Workflow Service(Amazon SWF)は、開発者が並列または順次のステップを持つバックグラウンドジョブを構築、実行、スケーリングするのに役立ちます。Amazon SWFは、クラウド内の完全に管理された状態トラッカーおよびタスクコーディネーターと考えることができます。

Amazon Simple Workflow Serviceはワークフローを調整するために使用され、データを保存または送信することはできません。PHIは、Amazon SWFのメタデータまたはタスクの説明内に配置しないでください。Amazon SWFは、AWS CloudTrailを使用してすべてのAPI呼び出しを記録します。

AWS Secrets Manager

AWS Secrets Managerは、お客様が「シークレット」をより簡単に管理できるようにするAWSサービスです。シークレットは、データベースの資格情報、パスワード、サードパーティのAPIキー、さらには任意のテキストです。AWS Secrets Managerは、そのような情報が「シークレット」内に含まれている場合、PHIを格納するために使用される場合があります。AWS Secrets Managerによって保存されたすべてのシークレットは、AWS Key Management System(KMS)を使用して保存時に暗号化されます。ユーザーは、新しいシークレットを作成するときに使用するAWS KMSキーを選択できます。キーが選択されていない場合、アカウントのデフォルトのキーが使用されます。AWS Secrets Managerは、AWS CloudTrailを使用してすべてのAPI呼び出しを記録します。

AWS Service Catalog

AWS Service Catalogを使用すると、IT管理者は承認された製品のポートフォリオを作成、管理、およびエンドユーザーに配布でき、エンドユーザーはパーソナライズされたポータルで必要な製品にアクセスできます。AWS Service Catalogは、AWSでセルフサービスソリューションをカタログ化、共有、デプロイするために使用され、PHIの保存、送信、または処理には使用できません。PHIは、AWS Service Catalogアイテムのメタデータまたはアイテムの説明内に配置しないでください。AWS Service Catalogは、AWS CloudTrailを使用してすべてのAPI呼び出しを記録します。

AWS Step Functions

AWS Step Functionsを使用すると、視覚的なワークフローを使用して、分散アプリケーションとマイクロサービスのコンポーネントを簡単に調整できます。AWS Step Functionsは、PHIを保存、送信、または処理できません。PHIは、AWS Step Functionsのメタデータ内、またはタスクやステートマシン定義内に配置しないでください。AWS Step Functionsは、AWS CloudTrailを使用してすべてのAPI呼び出しを記録します。

Amazon Athena

Amazon Athenaは、標準のSQLを使用してAmazon Simple Storage Service(Amazon S3)で直接データを簡単に分析できるインタラクティブなクエリサービスです。Athenaは、Amazon S3に保存されている非構造化、半構造化、および構造化データの分析を支援します。例には、CSV、JSON、またはApache ParquetやApache ORCなどの列データ形式が含まれます。お客様は、Athenaにデータを集約またはロードする必要なく、Athenaを使用してANSI SQLを使用したアドホッククエリを実行できます。

Amazon Athenaを使用して、PHIを含むデータを処理できるようになりました。Amazon AthenaとS3の間の転送中のデータの暗号化は、デフォルトでSSL / TLSを使用して提供されます。S3での休止中のPHIの暗号化は、S3セクションで提供されるガイダンスに従って実行する必要があります。ステージングされた結果を含む、Amazon Athenaとの間のクエリ結果の暗号化は、Amazon S3管理キー(SSE-S3)、AWS KMS管理キー(SSE-KMS)によるサーバー側暗号化、またはAWS KMS管理キー(CSE-KMS)によるクライアント側暗号化を使用して有効にする必要があります。Amazon AthenaはAWS CloudTrailを使用してすべてのAPI呼び出しをログに記録します。

Amazon EKS

Amazon Elastic Kubernetes Service(Amazon EKS)は、お客様が独自のKubernetesコントロールプレーンを立ち上げたり維持したりすることなくAWSでKubernetesを簡単に実行できるマネージドサービスです。Kubernetesは、コンテナ化されたアプリケーションのデプロイ、スケーリング、管理を自動化するためのオープンソースシステムです。

PHIデータを処理するワークロードでAmazon EKSを使用するには、追加の設定は必要ありません。Amazon EKSはオーケストレーションサービスとして動作し、EC2でのコンテナー(S3に格納されているイメージ)の起動を調整します。オーケストレーション対象のワークロード内のデータを直接操作することはありません。Amazon EKSは、AWS CloudTrailを使用してすべてのAPI呼び出しを記録します。

AWS IoT CoreとAWS IoT Device Management

AWS IoT CoreとAWS IoT Device Managementは、センサー、アクチュエーター、組み込みマイクロコントローラー、スマートアプライアンスなどのインターネット接続デバイスとAWS クラウド間の安全な双方向通信を提供します。AWS IoT CoreとAWS IoT Device Managementは、PHIを含むデータを送信するデバイスに対応できるようになりました。AWS IoT CoreおよびAWS IoT Device Managementとのすべての通信は、TLSを使用して暗号化されます。AWS IoT CoreとAWS IoT Device Managementは、AWS CloudTrailを使用してすべてのAPI呼び出しをログに記録します。

Amazon FreeRTOS

Amazon FreeRTOS は、小型で低電力のエッジデバイスのプログラミング、デプロイ、セキュリティ保護、接続、および管理を容易にするマイクロコントローラー用のオペレーティングシステムです。Amazon FreeRTOS は、マイクロコントローラー向けの人気のあるオープンソースオペレーティングシステムであるFreeRTOS カーネルに基づいており、ソフトウェアライブラリで拡張されているため、小さい低電力デバイスをAWS IoT CoreなどのAWSクラウドサービスやより強力なAWS IoT Greengrassを実行するデバイスエッジに安全に接続できます。

Amazon FreeRTOSを実行している認定デバイスを使用している場合、PHIを含むデータを転送中および保管中に暗号化できるようになりました。Amazon FreeRTOS は、プラットフォームのセキュリティを提供するために、TLSとPKCS#11の2つのライブラリを提供します。TLS APIを使用して、PHIを含むすべてのネットワークトラフィックを暗号化および認証する必要があります。PKCS#11は、ソフトウェア暗号化操作の標準インターフェイスを提供し、Amazon FreeRTOSを実行している認定デバイスに保存されているPHIを暗号化するために使用する必要があります。

Amazon GuardDuty

Amazon GuardDuty は、悪意のある動作または不正な動作を継続的に監視して、お客様がAWSアカウントとワークロードを保護できるようにするマネージド脅威検出サービスです。異常なAPI呼び出しや、アカウントの侵害の可能性を示す不正な展開の可能性などのアクティビティを監視します。また、Amazon GuardDuty は、侵害された可能性のあるインスタンスや攻撃者による偵察を検出します。

Amazon GuardDuty は、VPCフローログ、AWS CloudTrailイベントログ、DNSログのデータソースを継続的に監視および分析します。悪意のあるIPやドメインのリストなどの脅威インテリジェンスフィードと機械学習を使用して、AWS環境内の予期しない、および潜在的に不正な、悪意のあるアクティビティを識別します。そのため、このデータは上記のAWSベースのデータソースに格納されないため、Amazon GuardDuty がPHIに遭遇することはありません。

Amazon Neptune

Amazon Neptuneは、高速で信頼性の高い、完全に管理されたグラフデータベースサービスであり、高度に接続されたデータセットで動作するアプリケーションを簡単に構築および実行できます。Amazon Neptuneのコアは、何十億もの関係を格納し、ミリ秒のレイテンシでグラフをクエリするように最適化された専用の高性能グラフデータベースエンジンです。Amazon Neptuneは、人気のあるグラフクエリ言語であるApache TinkerPop GremlinおよびW3CのSPARQLをサポートしています。

PHIを含むデータを、Amazon Neptuneの暗号化されたインスタンスに保持できるようになりました。Amazon Neptuneの暗号化されたインスタンスは、Amazon Neptuneコンソールから[Enable Encryption]を選択して作成時にのみ指定できます。すべてのログ、バックアップ、およびスナップショットは、Amazon Neptune暗号化インスタンス用に暗号化されています。Amazon Neptuneの暗号化されたインスタンスのキー管理は、AWS KMSを通じて提供されます。転送中のデータの暗号化は、SSL / TLSを介して提供されます。Amazon NeptuneはCloudTrailを使用してすべてのAPI呼び出しを記録します。

AWS Server Migration Service

AWS Server Migration Service(AWS SMS)は、オンプレミスのVMware vSphereまたはMicrosoft Hyper-V / SCVMM仮想マシンのAWSクラウドへの移行を自動化します。AWS SMSは、Amazon EC2にデプロイする準備ができているクラウドでホストされたAmazon Machine Image(AMI)としてサーバーVMを増分的に複製します。

オンプレミスで実行され、(AWS SMS)を使用してクラウドに移行されるサーバーには、PHIデータを含めることができます。AWS SMSは、転送中、およびサーバーVMイメージがEC2に最終的に配置されるようにステージングされているときにデータを暗号化します。AWS SMSでPHIを含むサーバーVMを移行する場合は、EC2のガイダンスと暗号化ストレージボリュームの設定を参照してください。AWS SMSはCloudTrailを使用してすべてのAPI呼び出しを記録します。

AWS Database Migration Service

AWS Database Migration Service(AWS DMS)を使用すると、データベースをAWSに簡単かつ安全に移行できます。お客様は、Oracle、MySQL、PostgreSQLなど、最も広く使用されている商用およびオープンソースデータベースとの間でデータを移行できます。このサービスは、OracleからOracleなどの同種の移行、およびOracleからPostgreSQLやMySQLからOracleなどの異なるデータベースプラットフォーム間の異種の移行をサポートしています。

オンプレミスで実行され、AWS DMSでクラウドに移行されるデータベースには、PHIデータを含めることができます。AWS DMSは、転送中、およびAWS上のターゲットデータベースへの最終的な移行のためにデータがステージングされるときに、データを暗号化します。AWS DMSは、レプリケーションインスタンスによって使用されるストレージとエンドポイント接続情報を暗号化します。レプリケーションインスタンスで使用されるストレージを暗号化するために、AWS DMSはAWSアカウントに固有のAWS KMSキーを使用します。移行が完了してもデータが暗号化されたままになるようにするには、適切なターゲットデータベースのガイダンスを参照してください。AWS DMSはCloudTrailを使用してすべてのAPI呼び出しを記録します。

Amazon MQ

Amazon MQは、Apache ActiveMQ用のマネージドメッセージブローカーサービスであり、クラウドでのメッセージブローカーの設定と操作を簡単にします。Amazon MQは、顧客が独自のメッセージングシステムを管理、運用、または保守する必要なく、既存のアプリケーションおよびサービスと連携します。転送中にPHIデータの暗号化を提供するには、TLSを有効にした次のプロトコルを使用してブローカーにアクセスする必要があります。

  • AMQP
  • MQTT
  • MQTT over WebSocket
  • OpenWire
  • STOMP
  • STOMP over WebSocket

Amazon MQは、安全に管理および保存する暗号化キーを使用して、保存中および転送中のメッセージを暗号化します。Amazon MQはCloudTrailを使用してすべてのAPI呼び出しをログに記録します。

AWS Glue

AWS Glueは完全に管理されたETL(抽出、変換、読み込み)サービスであり、顧客がデータを分類、クリーンアップ、強化し、さまざまなデータストア間で確実に移動できるようにするシンプルで費用対効果の高いサービスです。するためには運搬中のPHIを含むデータの暗号化を確保するため、AWS接着剤は、SSL / TLSでデータストアへのJDBC接続を使用するように設定する必要があります。さらに、転送中に暗号化を維持するには、サーバー側の暗号化(SSE-S3)の設定をAWS Glueで実行されるETLジョブにパラメーターとして渡す必要があります。AWS Glueのデータカタログ内に保存されているすべてのデータは、データカタログオブジェクトの作成時に暗号化が有効になっている場合、AWS KMSによって管理されるキーを使用して暗号化されます。AWS GlueはCloudTrailを使用してすべてのAPI呼び出しを記録します。

Amazon Comprehend

Amazon Comprehendは自然言語処理を使用して、ドキュメントのコンテンツに関する洞察を抽出します。Amazon Comprehendは、UTF-8形式のテキストファイルを処理します。ドキュメント内のエンティティ、キーフレーズ、言語、感情、およびその他の一般的な要素を認識することにより、洞察を深めます。Amazon Comprehendは、PHIを含むデータで使用できます。Amazon Comprehendはデータを保持または保存せず、APIへのすべての呼び出しはSSL / TLSで暗号化されます。Amazon ComprehendはCloudTrailを使用してすべてのAPI呼び出しを記録します。

Amazon Transcribe

Amazon Transcribeは、高度な機械学習テクノロジーを使用して、オーディオファイル内の音声を認識し、テキストに書き起こします。たとえば、Amazon Transcribeを使用して、米国英語とメキシコスペイン語の音声をテキストに変換したり、音声ファイルのコンテンツを組み込んだアプリケーションを作成したりできます。Amazon Transcribeは、PHIを含むデータで使用できます。Amazon Transcribeはデータを保持または保存せず、APIへのすべての呼び出しはSSL / TLSで暗号化されます。Amazon TranscribeはCloudTrailを使用してすべてのAPI呼び出しを記録します。

Amazon Translate

Amazon Translateは、高度な機械学習テクノロジーを使用して、オンデマンドで高品質の翻訳を提供します。お客様は、Amazon Translateを使用して、非構造化テキストドキュメントを翻訳したり、複数の言語で動作するアプリケーションを構築したりできます。PHIを含むドキュメントは、Amazon Translateで処理できます。PHIを含むドキュメントを翻訳する場合、追加の設定は必要ありません。転送中のデータの暗号化はSSL / TLSによって提供され、Amazon Translateで保管されているデータはありません。Amazon TranslateはCloudTrailを使用してすべてのAPI呼び出しを記録します。

AWS Certificate Manager

AWS Certificate Managerは、お客様がAWSサービスと内部接続リソースで使用するパブリックおよびプライベートSSL / TLS証明書を簡単にプロビジョニング、管理、デプロイできるサービスです。AWS Certificate Managerを使用して、PHIを含むデータを保存しないでください。AWS Certificate ManagerはCloudTrailを使用してすべてのAPI呼び出しを記録します。

Amazon CloudWatch

Amazon CloudWatchは、AWSクラウドリソースと、お客様がAWSで実行するアプリケーションのモニタリングサービスです。お客様は、Amazon CloudWatchを使用して、メトリックの収集と追跡、ログファイルの収集と監視、およびアラームの設定を行うことができます。Amazon CloudWatch自体は、PHIを生成、保存、または送信しません。お客様は、AWS CloudTrailを使用してCloudWatch API呼び出しを監視できます。詳細については、「AWS CloudTrailを使用したAmazon CloudWatch API呼び出しのロギング」を参照してください。

構成要件の詳細については、Amazon CloudWatchログのセクションを参照してください。

Amazon CloudWatch Events

Amazon CloudWatch Eventsは、AWSリソースの変更を記述するシステムイベントのほぼリアルタイムのストリームを配信します。PHIがCloudWatchイベントに流れ込まないようにし、PHIを保存、処理、または送信するCloudWatchイベントを発行するAWSリソースがガイダンスに従って構成されていることを確認する必要があります。

お客様はAmazon CloudWatchイベントを設定して、CloudTrailでAWS API呼び出しとして登録できます。詳細については、「AWS CloudTrailを使用してAWS API呼び出しでトリガーするCloudWatchイベントルールを作成する」を参照してください。

Amazon Kinesis Data Firehose

お客様がデータプロデューサーからKinesisデータストリームにデータを送信すると、Amazon Kinesis Data StreamsはAWS KMSキーを使用してデータを暗号化してから保存します。Kinesis Data Firehose配信ストリームがKinesisストリームからデータを読み取るとき、Kinesis Data Streamsは最初にデータを復号化してから、それをKinesis Data Firehoseに送信します。

Kinesis Data Firehoseは、お客様が指定したバッファリングヒントに基づいて、データをメモリにバッファします。

次に、暗号化されていないデータを保存することなく、データを宛先に配信します。Kinesis Data Firehoseを使用した暗号化の詳細については、「Amazon Kinesis Data Firehoseでのデータ保護」を参照してください。

AWSは、Amazon CloudWatchメトリックス、Amazon CloudWatch Logs、Kinesis AgentおよびAPIのロギングと履歴など、Amazon Kinesis Data Firehoseを監視するために使用できるさまざまなツールを提供しています。詳細については、「Amazon Kinesis Data Firehoseのモニタリング」を参照してください。

Amazon Kinesis Data Analytics

Amazon Kinesis Data Analyticsを使用すると、データをほぼリアルタイムで継続的に読み取り、処理、保存するSQLコードをすばやく作成できます。ストリーミングデータに対して標準のSQLクエリを使用すると、データを変換して洞察を提供するアプリケーションを構築できます。Kinesis Data Analyticsは、分析アプリケーションのソースとして、Kinesis Data StreamsおよびKinesis Data Firehose配信ストリームからの入力をサポートしています。ストリームが暗号化されている場合、Kinesis Data Analyticsは暗号化されたストリームのデータにシームレスにアクセスします。追加の設定は必要ありません。Kinesis Data Analyticsは、Kinesis Data Streamsから読み取った暗号化されていないデータを保存しません。詳細については、「アプリケーション入力の構成」を参照してください。

Kinesis Data Analyticsは、AWS CloudTrailとAmazon CloudWatch Logsの両方と統合して、アプリケーションを監視します。詳細については、「モニタリングツール」および「Amazon CloudWatchログの操作」を参照してください。

Amazon Elasticsearch Service

Amazon Elasticsearch Service(Amazon ES)を使用すると、専用のAmazon Virtual Private Cloud(Amazon VPC)でマネージドElasticsearchクラスターを実行できます。PESでAmazon ESを使用する場合、お客様はElasticsearch 6.0以降を使用する必要があります。お客様は、PHIがAmazon Elasticsearch Service内で保管中および転送中に暗号化されることを確認する必要があります。お客様はAWS KMSキー暗号化を使用して、Amazon ESドメインで保存されているデータを暗号化できます。これはElasticsearch 5.1以降でのみ利用できます。保存データを暗号化する方法の詳細については、Amazon Elasticsearch Serviceの保存データの暗号化を参照してください。

各Amazon ESドメインは独自のVPCで実行されます。Elasticsearch 6.0以降で利用可能なノード間暗号化を有効にする必要があります。お客様がHTTPSを介してAmazon ESにデータを送信する場合、ノード間暗号化により、Elasticsearchがクラスター全体にデータを配布(および再配布)するときに、お客様のデータが暗号化されたままになります。データが暗号化されずにHTTP経由で到着した場合、Amazon ESはデータがクラスターに到達した後に暗号化します。したがって、Amazon Elasticsearch Serviceクラスターに入ったPHIはすべてHTTPS経由で送信する必要があります。詳細については、「Amazon Elasticsearch Serviceのノード間暗号化」を参照してください。

Amazon ES設定APIからのログは、AWS CloudTrailでキャプチャできます。詳細については、「Amazon Elasticsearch Serviceドメインの管理」を参照してください。

Amazon DocumentDB (MongoDB互換性あり)

Amazon DocumentDB (MongoDB互換性あり)(Amazon DocumentDB )は、AWS KMSを介したクラスターの作成時に保管時の暗号化を提供します。これにより、お客様はAWSまたは顧客管理のキーを使用してデータベースを暗号化できます。暗号化を有効にして実行しているデータベースインスタンスでは、自動バックアップ、リードレプリカ、スナップショットと同様に、保管されているデータは、このホワイトペーパーの公開時に有効だったガイダンスに従って暗号化されます。ガイダンスが更新される可能性があるため、Amazon DocumentDB 暗号化がコンプライアンスおよび規制要件を満たしているかどうかをお客様が引き続き評価および決定する必要があります。Amazon DocumentDB を使用した保存時の暗号化の詳細については、保存時のAmazon DocumentDB データの暗号化を参照してください。

PHIを含むAmazon DocumentDB への接続では、暗号化されたトランスポート(HTTPS)を受け入れるエンドポイントを使用する必要があります。デフォルトでは、新しく作成されたAmazon DocumentDB クラスターは、トランスポート層セキュリティ(TLS)を使用した安全な接続のみを受け入れます。詳細については、「転送中のデータの暗号化」を参照してください。Amazon DocumentDB はAWS CloudTrailを使用してすべてのAPI呼び出しを記録します。詳細については、「Amazon DocumentDB でのロギングとモニタリング」を参照してください。

特定の管理機能では、Amazon DocumentDB はAmazon RDSと共有される運用テクノロジーを使用します。Amazon DocumentDB コンソール、AWS CLI、およびAPI呼び出しは、Amazon RDS APIへの呼び出しとしてログに記録されます。

AWS Mobile Hub

AWS Mobile Hubは、お客様がAWSサービスを迅速に構成し、モバイルアプリに統合できるようにする一連のツールを提供します。AWS Mobile Hub自体はPHIを保存または送信しません。代わりに、PHIを処理するアーキテクチャを含む他のAWSサービスで構築されたモバイルアーキテクチャを管理および調整するために使用されます。PHI を処理するアーキテクチャは、HIPAA適格サービスでのみ構築する必要があり、PHIはAWSモバイルハブのメタデータに配置しないでください。AWS Mobile HubはAWS CloudTrailを使用してすべてのアクションをログに記録します。詳細については、「AWS CloudTrailを使用したAWSモバイルCLI API呼び出しのログ記録」を参照してください。

AWS IoT Greengrass

AWS IoT Greengrassを使用すると、接続されたデバイスのローカルコンピューティング、メッセージング、データキャッシング、同期、ML推論機能を安全な方法で実行できます。AWS IoT Greengrassは、X.509証明書、マネージドサブスクリプション、AWS IoTポリシー、およびIAMポリシーとロールを使用して、お客様のGreengrassアプリケーションが安全であることを保証します。AWS IoT Greengrassは、AWS IoTトランスポートセキュリティモデルを使用して、TLSを使用したクラウドとの通信を暗号化します。さらに、AWS IoT Greengrassデータは、(クラウド内で)静止しているときに暗号化されます。Greengrassセキュリティの詳細については、「AWS IoT Greengrassセキュリティの概要」を参照してください。

お客様は、AWS CloudTrailを使用してAWS IoT Greengrass APIアクションをログに記録できます。詳細については、「AWS CloudTrailを使用したAWS IoT Greengrass API呼び出しのログ記録」を参照してください。

AWS OpsWorks for Chef Automate

AWS OpsWorks for Chef Automateは、インフラストラクチャとアプリケーション管理のためのChefの自動化ツールのセットであるChef Automateをホストするフルマネージド構成管理サービスです。サービス自体にはPHIまたは機密情報が含まれていないか、送信されていないか、または処理されていませんが、OpsWorks for Chef Automate によって構成されたリソースがガイダンスと一致して構成されていることを確認する必要があります。API呼び出しはAWS CloudTrailでキャプチャされます。詳細については、「AWS CloudTrail を使用したAWS OpsWorks スタックAPI呼び出しのログ記録」を参照してください。

AWS OpsWorks for Puppet Enterprise

AWS OpsWorks for Puppet Enterpriseは、インフラストラクチャとアプリケーションの管理のためのPuppetの自動化ツールのセットであるPuppet Enterpriseをホストするフルマネージド構成管理サービスです。サービス自体にはPHIまたは機密情報が含まれていないか、送信されていないか、または処理されていませんが、OpsWorks for Puppet Enterprise によって構成されたリソースがガイダンスに従って構成されていることを確認する必要があります。API呼び出しはAWS CloudTrailでキャプチャされます。詳細については、「AWS CloudTrail を使用したAWS OpsWorks スタックAPI呼び出しのログ記録」を参照してください。

AWS Transfer for SFTP

AWS Transfer for SFTPは、お客様のS3リソースへのセキュアファイル転送プロトコル(SFTP)アクセスを提供します。顧客には仮想サーバーが提供されます。仮想サーバーは、地域のサービスエンドポイントで標準のSFTPプロトコルを使用してアクセスされます。AWSのお客様とSFTPクライアントの観点から見ると、SFTPゲートウェイは標準の高可用性SFTPサーバーのように見えます。サービス自体はPHIを保存、処理、または送信しませんが、Amazon S3で顧客がアクセスしているリソースは、ガイダンスと一致する方法で構成する必要があります。AWS CloudTrailを使用して、AWS Transfer for SFTPに対して行われたAPI呼び出しをログに記録することもできます。

AWS DataSync

AWS DataSync は、オンプレミスストレージとAWS間のデータ移動を簡素化、自動化、加速するオンライン転送サービスです。AWS DataSync を使用して、データソースをAmazon S3またはAmazon EFSに接続できます。お客様は、Amazon S3およびAmazon EFSがガイダンスと一致する方法で構成されていることを確認する必要があります。デフォルトでは、顧客データはTLS 1.2を使用して転送中に暗号化されます。暗号化とAWS DataSyncの詳細については、AWS DataSyncの機能を参照してください。お客様が監視できるのdatasync AWS CloudTrailを使用して活動を。CloudTrailを使用したロギングの詳細については、「AWS CloudTrailを使用したAWS DataSync API呼び出しのロギング」を参照してください。

AWS Global Accelerator

AWS Global Acceleratorは、マルチリージョンアプリケーションの可用性とレイテンシを向上させるグローバルロードバランシングサービスです。AWS Global Acceleratorを使用している間、PHIが転送中および保存中に暗号化されたままであることを保証するには、Global Acceleratorによって負荷分散されるアーキテクチャで、HTTPSやSSL / TLSなどの暗号化プロトコルを使用する必要があります。Amazon EC2、Elastic Load Balancing、およびその他のAWSサービスのガイダンスを参照して、バックエンドリソースで使用可能な暗号化オプションをよく理解してください。AWS Global AcceleratorはAWS CloudTrailを使用してすべてのAPI呼び出しを記録します。

Amazon Comprehend Medical

ガイダンスについては、前のAmazon Comprehendセクションを参照してください。

AWS RoboMaker

AWS RoboMakerは、顧客がアプリケーション開発のためにクラウドでコードを実行できるようにし、アプリケーションテストを加速するためのロボットシミュレーションサービスを提供します。

AWS RoboMaker は、リモートアプリケーションのデプロイ、更新、および管理のためのロボット工学フリート管理サービスも提供します。

PHIを含むネットワークトラフィックは、転送中のデータを暗号化する必要があります。シミュレーションサーバーとのすべての管理通信はTLSを介して行われるため、お客様は他のAWSサービスへの接続にオープンスタンダードのトランスポート暗号化メカニズムを使用する必要があります。AWS RoboMakerはCloudTrail とも統合して、すべてのAPI呼び出しを特定のAmazon S3バケットに記録します。

AWS RoboMaker ログにはPHIが含まれず、シミュレーションサーバーによって使用されるEBSボリュームは暗号化されます。PHIを含む可能性のあるデータをAmazon S3などの他のサービスに転送する場合、お客様はPHIを格納するための受信サービスのガイダンスに従う必要があります。ロボットへの展開の場合、顧客は転送中および保存中のデータの暗号化がガイダンスの解釈と一致していることを確認する必要があります。

Alexa for Business

Alexa for Businessを使用すると、企業内のAlexa対応デバイスのフリートを簡単に構成、インストール、および管理できます。企業は、Alexa for Businessを使用して、ユーザーが利用できるスキル(Alexaアプリ)と、Alexaスキルに指定されたアクセス権を持つ企業リソース(メール、カレンダー、ディレクトリなど)を制御できます。このアクセスを通じて、会議の開始や会議室が予約されているかどうかの確認など、新しい企業固有のスキルでAlexaの機能を拡張します。

Alexa for Businessシステムは2つのコンポーネントで構成されています。1つはAlexa for Business管理コンソールです。これは、Alexa対応のハードウェアを構成および監視し、システムの構成を可能にするAWSサービスです。また、指定されたAlexaスキルが企業リソースにアクセスできるようにフックを提供します。2つ目はAlexaシステムで、エンドユーザーのクエリとコマンドを処理し、アクションを実行し、応答を提供します。AlexaシステムはAWSサービスではありません。

Alexa for Business管理コンソールは、PHIを処理または保存しません。したがって、Alexa for Businessは、会議の開始、会議室の確認、PHIを処理しないAlexaスキルの使用など、PHIを処理しないAlexaスキルと組み合わせて使用できます。お客様がAlexaおよびAlexa for BusinessでPHIを処理する場合は、HIPAA対応のAlexaスキルを使用して、Alexa組織とBAAに署名する必要があります。Alexa Healthcare Skillsで、HIPAAに適格なAlexaスキルの構築について詳しく知ることができます。

Amazon Appstream 2.0

Amazon AppStream 2.0は、完全に管理されたアプリケーションストリーミングサービスです。顧客は自分のデータを所有し、規制要件を満たす方法で必要なWindowsアプリケーションを構成する必要があります。お客様は、ホームフォルダーを介して永続的なストレージを構成できます。ファイルとフォルダーは、Amazon S3のSSLエンドポイントを使用して転送中に暗号化されます。ファイルとフォルダーは、Amazon S3が管理する暗号化キーを使用して保存時に暗号化されます。詳細については、「AppStream 2.0ユーザーの永続ストレージを有効にして管理する」を参照してください。顧客がサードパーティのストレージソリューションの使用を選択した場合、そのソリューションの構成がガイダンスと一致していることを確認する責任があります。Amazon AppStream 2.0 とのすべてのパブリックAPI通信は、TLSを使用して暗号化されます。詳細については、Amazon AppStream 2.0のドキュメントを参照してください。

Amazon Appstream 2.0はAWS CloudTrailと統合されています。このサービスは、Amazon Appstream 2.0 によって、またはその代理で行われたAPI呼び出しを顧客のAWSアカウントに記録し、ログファイルを指定されたAmazon S3バケットに配信します。CloudTrailは、Amazon Appstream 2.0コンソールまたはAmazon Appstream 2.0 API から行われたAPI呼び出しをキャプチャします。お客様は、Amazon CloudWatchを使用して、リソース使用状況のメトリクスをログに記録することもできます。詳細については、「Amazon AppStream 2.0リソースのモニタリング」および「AWS CloudTrailを使用したAppStream 2.0 API呼び出しのロギング」を参照してください。

AWS SDK Metrics

企業のお客様は、AWS CloudWatchエージェントとエンタープライズサポート用AWS SDKメトリック(SDKメトリック)を使用して、ホストとクライアントのAWS SDKからメトリックを収集できます。これらのメトリクスはAWSエンタープライズサポートと共有されます。SDKメトリックスは、カスタムインスツルメンテーションをコードに追加することなく、AWSサービスへのアプリケーションの接続に関する関連メトリックスと診断データを収集するのに役立ち、ログとデータをAWSサポートと共有するために必要な手動作業を削減します。

SDKメトリックスは、エンタープライズサポートサブスクリプションを使用しているAWSのお客様のみが利用できることに注意してください。お客様は、AWSサービスを直接呼び出す任意のアプリケーションでSDKメトリックスを使用できます。これは、AWSメトリックスドキュメント(AWS SDKメトリックスを使用したアプリケーションの監視)に記載されているバージョンの1つであるAWS SDKを使用して構築されています。

SDKメトリクスは、AWS SDKによって行われた呼び出しを監視し、クライアントアプリケーションと同じ環境で実行されているCloudWatchエージェントを使用します。

CloudWatchエージェントは、ローカルマシンから送信先のロググループで配信されるまでの転送中のデータを暗号化します。AWS KMSを使用してCloudWatch Logsのログデータを暗号化するの指示に従って、ロググループを暗号化するように構成できます。

AWS Data Exchange

AWS Data Exchangeを使用すると、クラウドでサードパーティのデータを簡単に検索、サブスクライブ、使用できます。データ製品をサブスクライブすると、顧客はAWS Data Exchange APIを使用してデータを直接Amazon S3にロードし、さまざまなAWS分析および機械学習サービスでデータを分析できます。データプロバイダーにとって、AWS Data Exchangeは、データのストレージ、配信、請求、および提供のためのインフラストラクチャを構築および維持する必要をなくすことで、クラウドに移行する何百万ものAWS顧客に簡単に到達できるようにします。

AWS Data Exchangeは、追加の構成を必要とせずに、保存されているサービスに保存されているすべてのデータ製品を常に暗号化します。この暗号化は、サービス管理のKMSキーを介して自動的に行われます。AWS Data Exchangeは、転送中の暗号化にトランスポート層セキュリティ(TLS)とクライアント側の暗号化を使用します。AWS Data Exchangeとの通信は常にHTTPS経由で行われるため、顧客のデータは常に転送中に暗号化されます。この暗号化は、お客様がAWS Data Exchangeを使用するときにデフォルトで設定されます。詳細については、「AWS Data Exchangeのデータ保護」を参照してください。

AWS Data ExchangeはAWS CloudTrailと統合されています。AWS CloudTrailは、AWS Data Exchange APIへのすべての呼び出しをイベントとしてキャプチャします。これには、AWS Data Exchangeコンソールからの呼び出しや、AWS Data Exchange APIオペレーションへのコード呼び出しからの呼び出しが含まれます。お客様が実行できるアクションには、コンソールのみのアクションがあります。AWS SDKまたはAWS CLIに対応するAPIはありません。これらは、製品の公開や購読など、AWS Marketplaceの機能に依存するアクションです。AWS Data Exchangeは、これらのコンソールのみのアクションのサブセットのCloudTrailログを提供します。詳細については、「AWS CloudTrailを使用したAWS Data Exchange APIコールのログ記録」を参照してください。

AWS Data Exchangeを使用するすべてのリストは、特定のカテゴリのデータを制限するAWS Data Exchangeの公開ガイドラインおよびAWS Marketplace Exchangeプロバイダー向けのAWS Data Exchange FAQに準拠する必要があります。詳細については、AWS Data Exchange FAQを参照してください。

Amazon Managed Streaming for Apache Kafka (MSK)

Amazon MSKは、保管中のデータと転送中のデータに暗号化機能を提供します。保存データの暗号化では、Amazon MSKクラスターはAmazon EBSサーバー側の暗号化とAWS KMSキーを使用してストレージボリュームを暗号化します。転送中のデータの場合、Amazon MSKクラスターでは、ブローカー間通信のためにTLSを介して暗号化が有効になっています。

暗号化構成設定は、クラスターの作成時に有効になります。また、デフォルトでは、CLIまたはAWSコンソールから作成されたクラスターの転送中の暗号化はTLSに設定されています。クライアントがTLS 暗号化を使用してクラスターと通信するには、追加の構成が必要です。お客様は、TLS /プレーンテキスト設定を選択することにより、デフォルトの暗号化設定を変更できます。詳細については、「Amazon MSK暗号化」を参照してください。

お客様は、Amazon MSKコンソール、Amazon CloudWatchコンソールを使用して顧客のクラスターのパフォーマンスを監視できます。または、顧客は、オープンソースモニタリングソリューションであるPrometheusを使用したOpen Monitoringを使用してJMXおよびホストメトリックにアクセスできます。

Prometheusエクスポーターから読み取るように設計されたツールは、Datadog 、Lens 、New Relic、Sumologic 、Prometheusサーバーなど、Open Monitoringと互換性があります。Open Monitoringの詳細については、Amazon MSK Open Monitoringのドキュメントをご覧ください。

Apache KafkaにバンドルされているApache Zookeeperのデフォルトバージョンは暗号化をサポートしていないことに注意してください。ただし、Apache ZookeeperとApache Kafkaブローカー間の通信は、ブローカー、トピック、およびパーティションの状態情報に限定されることに注意することが重要です。Amazon MSKクラスターからデータを生成および使用できる唯一の方法は、VPC内のクライアントとAmazon MSKクラスター間のプライベート接続を経由することです。Amazon MSKはパブリックエンドポイントをサポートしていません。

Amazon Pinpoint

Amazon Pinpointは、ユーザーとのアプリケーション通信チャネルを拡張するために、単一のAPIレイヤー、CLIサポート、およびクライアント側SDKサポートを開発者に提供します。対象となるチャネルには、電子メール、SMSテキストメッセージング、モバイルプッシュ通知、カスタムチャネルが含まれます。Amazon Pinpointは、アプリユーザーの行動とユーザーエンゲージメントを追跡する分析システムも提供します。このサービスを使用すると、開発者は各ユーザーがどのように従事することを好むかを学び、ユーザーのエクスペリエンスをパーソナライズしてユーザーの満足度を高めることができます。

また、Amazon Pinpointは、開発者がダイレクトメッセージングまたはトランザクションメッセージング、ターゲットを絞ったメッセージングまたはキャンペーンメッセージング、イベントベースのメッセージングなど、複数のメッセージングの使用例に対処するのに役立ちます。Amazon Pinpointを介してすべてのエンドユーザーエンゲージメントチャネルを統合して有効にすることにより、開発者はすべての顧客タッチポイントにわたるユーザーエンゲージメントの360度のビューを作成できます。Amazon Pinpointはユーザー、エンドポイント、イベントのデータを保存するため、顧客はセグメントを作成し、受信者にメッセージを送信し、エンゲージメントデータを取得できます。

Amazon Pinpointは、保管中と転送中の両方でデータを暗号化します。詳細については、Amazon Pinpoint FAQを参照してください。Amazon Pinpointは保存中および転送中のすべてのデータを暗号化しますが、SMSやEメールなどの最終チャネルは暗号化されない場合があるため、お客様は要件に一致する方法でチャネルを構成する必要があります。

さらに、SMSチャネルを介してPHIを送信する必要があるお客様は、PHIを送信する明示的な目的のために、専用の短いコード(5桁、6桁の発信電話番号)を使用する必要があります。ショートコードをリクエストする方法の詳細については、「Amazon Pinpointを使用したSMSメッセージングの専用ショートコードのリクエスト」を参照してください。お客様は、PHIを最終チャネル経由で送信せず、代わりにHTTPS経由でPHIに安全にアクセスするメカニズムを提供することもできます。

Amazon PinpointへのAPI呼び出しは、AWS CloudTrailを使用してキャプチャできます。キャプチャされた呼び出しには、Amazon Pinpointコンソールからの呼び出しと、Amazon Pinpoint APIオペレーションへのコード呼び出しが含まれます。顧客が証跡を作成する場合、顧客は、Amazon Pinpointのイベントを含む、AWS CloudTrailイベントをAmazon S3バケットに継続的に配信できるようにすることができます。顧客が証跡を設定しなくても、AWS CloudTrailコンソールのイベント履歴を使用して最新のイベントを表示できます。お客様は、AWS CloudTrailによって収集された情報を使用して、リクエストがAmazon Pinpointに対して行われたこと、リクエストのIPアドレス、リクエストを行った人、リクエストがいつ行われたか、および詳細を確認できます。詳細については、「AWS CloudTrailを使用したAmazon Pinpoint API呼び出しのログ記録」を参照してください。

Amazon Lex

Amazon Lexは、音声とテキストを使用してアプリケーションの会話型インターフェースを構築するためのAWSサービスです。Amazon Lexにより、Amazon Alexaと同じ会話型エンジンをあらゆる開発者が利用できるようになり、顧客は洗練された自然言語のチャットボットを新規および既存のアプリケーションに構築できます。Amazon Lexは、自然言語理解(NLU)と自動音声認識(ASR)の高度な機能と柔軟性を提供するため、顧客はリアルな会話型対話で非常に魅力的なユーザーエクスペリエンスを構築し、製品の新しいカテゴリを作成できます。

LexはHTTPSプロトコルを使用して、クライアントと他のAWSサービスの両方と通信します。LexへのアクセスはAPI駆動であり、適切なIAM最小権限を実施できます。詳細については、「Amazon Lexでのデータ保護」を参照してください。

モニタリングは、お客様のAmazon Lexチャットボットの信頼性、可用性、およびパフォーマンスを維持するために重要です。Amazon Lexボットの状態を追跡するには、Amazon CloudWatchを使用します。CloudWatchを使用すると、お客様は、個々のAmazon LexオペレーションまたはアカウントのグローバルAmazon Lexオペレーションのメトリックスを取得できます。また、お客様が定義したしきい値を1つ以上のメトリックが超えたときに通知されるようにCloudWatchアラームを設定することもできます。 たとえば、特定の期間にボットに対して行われたリクエストの数を監視したり、成功したリクエストのレイテンシを表示したり、エラーがしきい値を超えたときにアラームを発行したりできます。LexはAWS Lex API呼び出しを記録するためにAWS CloudTrailとも統合されています。詳細については、「Amazon Lexでのモニタリング」を参照してください。

Amazon Simple Email Service(SES)

Amazon Simple Email Services(Amazon SES)は、柔軟で拡張性の高いメール送受信サービスです。S / MIMEおよびPGPプロトコルの両方をサポートしてメッセージを暗号化し、完全なエンドツーエンドの暗号化を行います。AmazonSESとのすべての通信は、SSL(TLS 1.2)を使用して保護されます。お客様は、メッセージを受信して暗号化してからAmazon S3バケットに保存するようにAmazon SESを構成することにより、保存時に暗号化されたメッセージを保存するオプションがあります。詳細については、「Amazon Simple Email Service(Amazon SES)がAWS KMSを使用してストレージのメッセージを暗号化する方法の詳細を確認する方法」を参照してください。メッセージは、HTTPSエンドポイントまたは暗号化されたSMTP接続を介して、Amazon SESへの転送中に保護されます。

Amazon SESから受信者に送信されるメッセージの場合、Amazon SESは最初に受信メールサーバーへの安全な接続を試みますが、安全な接続を確立できない場合は、メッセージを暗号化せずに送信します。受信者への配信に暗号化を要求するには、Amazon SESで設定セットを作成し、AWS CLIを使用してTlsPolicy プロパティをRequire に設定する必要があります。詳細については、「Amazon SESおよびセキュリティプロトコル」を参照してください。Amazon SESはAWS CloudTrailと統合して、すべてのAPI呼び出しを監視します。AWS CloudTrailによって収集された情報を使用して、お客様は、リクエストがAmazon SESに対して行われたこと、リクエストのIPアドレス、リクエストを行った人、リクエストが行われた日時、および追加の詳細を確認できます。詳細については、「AWS CloudTrailを使用したAmazon SES APIコールのログ記録」を参照してください。Amazon SESは、送信、拒否、直帰率、配信、開封、クリックなどの送信アクティビティを監視するメソッドも提供します。詳細については、「Amazon SES送信アクティビティのモニタリング」を参照してください。

Amazon Forecast

Amazon Forecastは、機械学習を使用して非常に正確な予測を提供するフルマネージドサービスです。Amazon.comで使用されているものと同じ機械学習予測テクノロジーに基づいています。お客様がAmazon Forecastと行うすべてのやり取りは、暗号化によって保護されています。Amazon Forecastで処理されたコンテンツはすべて、Amazon Key Management Service を介して顧客キーで暗号化され、顧客がサービスを使用しているAWSリージョンで保管時に暗号化されます。

Amazon Forecastは、ユーザー、ロール、またはAmazon ForecastのAWSサービスによって行われたアクションの記録を提供するサービスであるAWS CloudTrailと統合されています。CloudTrail は、Amazon ForecastのすべてのAPI呼び出しをイベントとしてキャプチャします。キャプチャされる呼び出しには、Amazon Forecastコンソールからの呼び出しと、Amazon Forecast APIオペレーションへのコード呼び出しが含まれます。顧客が証跡を作成した場合、顧客は、Amazon Forecastのイベントを含む、CloudTrailイベントをAmazon S3バケットに継続的に配信できるようにすることができます。詳細については、「AWS CloudTrailを使用したForecast APIコールのロギング」を参照してください。

デフォルトでは、CloudTrailによってバケットに配信されるログファイルは、Amazon S3管理の暗号化キー(SSE-S3)を使用したAmazonサーバー側の暗号化によって暗号化されます。直接管理可能なセキュリティレイヤーを提供するために、お客様は代わりにCloudTrailログファイルにAWS KMS管理キー(SSE-KMS)でサーバー側の暗号化を使用できます。サーバー側の暗号化を有効にすると、ログファイルは暗号化されますが、ダイジェストファイルはSSE-KMSで暗号化されません。ダイジェストファイルは、Amazon S3で管理された暗号化キー(SSE-S3)で暗号化されます。

AWS Forecastは、S3バケットとの間でデータをインポートおよびエクスポートします。Amazon S3からデータをインポートおよびエクスポートする場合、S3バケットがガイダンスと一致する方法で構成されていることを確認する必要があります。詳細については、はじめにを参照してください。

Amazon Quantum Ledger Database (QLDB)

Amazon QLDBは完全に管理された台帳データベースで、中央の信頼できる機関が所有する、透過的で不変の、暗号で検証可能なトランザクションログを提供します。Amazon QLDBは、すべてのアプリケーションデータの変更を追跡し、変更の完全で検証可能な履歴を長期にわたって維持します。PHIを含むデータをQLDBインスタンスに保持できるようになりました。デフォルトでは、送信中および保存中のすべてのAmazon QLDBデータは暗号化されます。送信中のデータはTLSを使用して暗号化され、保存中のデータはAWS管理キーを使用して暗号化されます。データ保護のために、AWSアカウントの認証情報を保護し、AWS Identity and Access Management(IAM)を使用して個々のユーザーアカウントを設定して、各ユーザーに職務を遂行するために必要なアクセス許可のみを付与することをお勧めします。詳細については、「Amazon QLDBでのデータ保護」を参照してください。

Amazon QLDBは、ユーザー、ロール、またはQLDB内のAWSサービスによって実行されたアクションの記録を提供するサービスであるAWS CloudTrailと統合されています。CloudTrailは、QLDBのすべてのコントロールプレーンAPI呼び出しをイベントとしてキャプチャします。キャプチャされる呼び出しには、QLDBコンソールからの呼び出しとQLDB API操作へのコード呼び出しが含まれます。顧客が証跡を作成した場合、顧客は、QLDBのイベントを含む、CloudTrailイベントをAmazon Simple Storage Service(Amazon S3)バケットに継続的に配信できるようにすることができます。顧客が証跡を構成しない場合でも、顧客はイベント履歴でCloudTrailコンソールの最新のイベントを表示できます。CloudTrailによって収集された情報を使用して、お客様はQLDBに対して行われたリクエスト、リクエストの発信元のIPアドレス、リクエストの発信者、リクエストの日時、および詳細を確認できます。

監査、バックアップ、および災害復旧

HIPAAのセキュリティルールには、詳細な監査機能、データバックアップ手順、および災害復旧メカニズムに関連する詳細な要件があります。AWSのサービスには、お客様が要件に対応するのに役立つ多くの機能が含まれています。たとえば、セキュリティアナリストが詳細なアクティビティログまたはレポートを調べて誰がアクセスできたか、IPアドレスエントリ、どのデータにアクセスしたかなどを確認できるように、監査機能の確立を検討する必要があります。

監査の場合、このデータを追跡、ログ記録し、中央の場所に長期間保存する必要があります。Amazon EC2を使用すると、従来のハードウェアと同じように、仮想サーバーのパケットレイヤーまでアクティビティログファイルと監査を実行できます。また、仮想サーバーインスタンスに到達するIPトラフィックを追跡することもできます。顧客の管理者は、ログファイルをAmazon S3にバックアップして、長期的に信頼できるストレージを提供できます。

HIPAAには、緊急時にデータを保護するための緊急時対応計画の維持に関する詳細な要件もあり、電子PHIの取得可能な正確なコピーを作成して維持する必要があります。AWSにデータバックアッププランを実装するために、Amazon EBSはAmazon EC2仮想サーバーインスタンスに永続的なストレージを提供します。これらのボリュームは、標準のブロックデバイスとして公開でき、インスタンスの存続期間とは無関係に永続化されるインスタンス外のストレージを提供します。HIPAAガイドラインに沿って、Amazon E3ボリュームに自動的に保存され、他のアベイラビリティーゾーンの障害から隔離されるように設計された複数のアベイラビリティーゾーンにわたって複製されるAmazon EBSボリュームのポイントインタイムスナップショットを作成できます。

これらのスナップショットにはいつでもアクセスでき、データを保護して長期的な耐久性を確保できます。Amazon S3は、データストレージと自動バックアップのための高可用性ソリューションも提供します。ファイルまたはイメージをAmazon S3にロードするだけで、複数の冗長コピーが自動的に作成され、別々のデータセンターに保存されます。これらのファイルには、いつでもどこからでも(権限に基づいて)アクセスでき、意図的に削除されるまで保存されます。

さらに、AWSは本質的にさまざまな災害復旧メカニズムを提供します。災害復旧は、災害時に組織のデータとITインフラストラクチャを保護するプロセスであり、高可用性システムを維持し、データとシステムの両方をオフサイトに複製し、両方への継続的なアクセスを可能にします。

尚、コンプライアンス上の観点以外にもセキュリティの観点からもAWSは優れています。クラウドファーストなセキュリティアプローチであるゼロトラストをAWSで実現する場合、他の記事も参考にしてみてください。

SNSでもご購読できます。

コメントを残す

*