Oracle Health and AI(OHAI)セキュリティ・プログラム

記載されている製品は、特定の事例での提供内容の例を挙げることを目的としたものです。各医療機器/製品は、使用されている地域の規制に準拠するように設計されています。ただし、他の特定の地域での可用性または準拠を保証することはできません。地域の要件を満たすために、現地への適応が必要になる場合があります。

このOHAIセキュリティ・プログラムは、OHAIがホストするプラットフォームを中心に設計されています。このプラットフォームのハードウェアおよびオペレーティング・システムには、OHAIがクライアントに代わってOHAIのホスト環境にアプリケーションとソリューションを導入します。Oracle Health Millennium®HealtheIntent®およびCareAware®は、そのようなプラットフォームの例です。当社は、ホストされるクライアント・データの機密性、整合性、可用性を保護するために、ホスティング・オペレーション・システムのサイバー・セキュリティおよびインシデント管理に対して主体的に取り組み、その責任を負います。お客様は、エンドユーザー・アクセスの制御、カスタムの拡張や統合の追加、合法的なデータ処理など、セキュリティに関する特定の側面の管理を担当します。

OHAIは、クライアント・データがホストされている施設に関係なく、同じセキュリティ・コンプライアンス・プログラムと情報セキュリティ・ポリシーを使用して、世界中でホスティング・サービスを提供します。クライアント・データは、相互に合意しない限り、クライアントが存在する国で保存およびホストされます。活用するデータセンターのタイプによって運用上の違いがいくつかありますが、情報セキュリティ・プログラムは変わりません。

  • OHAIクラウド・ホスティング – クラウド対応のソリューションを使用しているクライアントは、OHAIのクラウド・ホスティング・オプションにより、アプリケーションをエンドユーザーに提供するために使用されるアプリケーションの機能やテクノロジーを常に最新の状態に保つことができます。オラクルのクラウド・コンピューティング環境であるOracle Cloud Infrastructure(OCI)は、スケーラブルで可用性が高くコスト効率に優れたクラウド・プラットフォームです。OCIには、商用および政府用のパブリック・クラウド・リージョンがあり、世界中に配置されています。OHAIは、一部のホスト・サービスのためにサードパーティのパブリック・クラウド・プロバイダーも活用します。
  • OHAIデータセンター施設 – OHAIデータセンター施設は、その施設がある地理的地域の自然災害リスクを考慮して建設されています。データセンターは、すべての侵入の試みを阻止、遅延、検出するための階層化された戦略的アプローチに基づき物理的および環境的なセキュリティ対策を講じています。これらの対策は、堅牢かつセキュアで信頼性の高い環境を実現するように設計されています。
  • コロケーション・データ・サービス・プロバイダー – OHAIは、一部のリージョンでTier 3相当のデータセンター・コロケーション・サービス・プロバイダーを活用します。データセンター・プロバイダーが提供するサービスには、データセンターの運用(電力、冷却、防火設備の提供)とOHAIデータセンター・ケージまでの物理的なセキュリティが含まれます。コンピュータ機器とネットワーク機器(サーバー、ファイアウォール、ネットワークの配線など)は、OHAIが所有および管理し、他のデータセンター・テナントと共有されません。サービス・プロバイダーは、OHAIデータセンター・ケージ内でホストされているデータにアクセスできず、OHAIクライアントに関連するいかなるデータも処理しません。コロケーション・サービス・プロバイダーの認定には、ISO 27001およびISO 14001認証、SOC 2 Type IIレポートなど、業界で認められているセキュリティ、環境および安全衛生に関する認定が含まれます。

サードパーティのデータセンター・コロケーション・サービス・プロバイダーを使用することによって、セキュリティ・プログラムの管理方法が変更されることはなく、サービス・プロバイダーにシステムやネットワークへのアクセス権を提供することもありません。

ポリシーおよび手順

OHAIは、OHAIのプラットフォームに保持されている情報を保護するために設計され、明確に定義された役割、責任、ポリシーおよび手順を使用して、文書化された情報プライバシー、セキュリティおよびリスク管理プログラムを管理します。OHAIのプログラムでは、少なくとも以下を行います。

  • データ・セキュリティの責任および説明責任を特定の個人に割り当てます。
  • OHAIのプラットフォームの許容される使用方法について説明します。
  • OHAIのエンドユーザー、管理者およびオペレーティング・システムのアクセス制御およびパスワード属性を設定します。
  • OHAIのエンドユーザー認証要件を適用します。
  • OHAIがホストする本稼働環境に関する監査のロギングおよびモニタリングについて説明します。
  • OHAIのインシデント対応計画の詳細を説明します。
  • 適切なリスク管理制御、セキュリティ認定および定期的なリスク評価について説明します。
  • OHAIのネットワーク、オフィス、データセンターの物理的および環境的なセキュリティ要件について説明します。

OHAIは、セキュリティ・ポリシーおよび手順の書面または電子コピーを厳密に管理し、配布することはありません。OHAIは、テクノロジー、規制、法律、リスク、業界プラクティスおよびセキュリティ・プラクティス、その他のビジネス・ニーズの変化を反映するために、セキュリティ・プログラムを定期的にレビューして修正します。


技術的なセキュリティ

アイデンティティおよびアクセス管理

OHAIは、役割、必要なトレーニングの完了、および職責に必要な最小権限の原則に基づいて、クライアント・システムへのアクセス権を付与します。アクセス承認プロセスは厳密に適用され、アクセスが適切であることを確認し、コンプライアンス要件に対処します。

チームはアクセスをモニターして、毎月非アクティブかどうかをチェックし、必要に応じてアクセス許可を取り消す必要があります。従業員のアイデンティティは、VPN接続使用時に2要素認証によって検証されます。企業ネットワークから分離されたクラウド環境へのアクセスには、承認されたVPNを使用した認証が必要です。

従業員の役割が変化するとリソースおよびシステムへのアクセス権がレビューされ、必要に応じてアクセス権が取り消されます。従業員のアクセス権は、(自発的または非自発的に)雇用が終了したときも取り消されます。

構成管理およびネットワーク保護

OHAIは、セキュリティ・プログラム内で、重複する複数のセキュリティ・アプリケーションおよび対策を使用してプラットフォームを保護します。プラットフォームを保護するためにOHAIが導入するセキュリティ・テクノロジーの例を以下に示します。

  • ウイルス対策ソフトウェア – ホストする環境全体で、ウイルス対策(AV)ソフトウェア、マルウェア対策ソフトウェア、および補完制御を適宜使用します。パターン・ファイルの更新は毎日導入されます。インバウンド・データはリアルタイムでスキャンされ、システム・ドライブは毎週スキャンされます。ウイルス署名を最新の状態に保つことに加えて、AVソフトウェアとスキャン・エンジンは、その有効性を維持し改善するために更新されます。
  • ネットワーク・ファイアウォール – 境界ネットワークおよび重要なインフラストラクチャ接続は、業界標準のネットワーク・ファイアウォール・テクノロジーによって保護されます。
  • 侵入防止システム(IPS) – インライン・アプライアンスは、悪意のある行動や異常な行動を識別するために、ネットワーク・インフラストラクチャ内に戦略的に配置されます。ファイアウォールのインタフェースを通過する接続と、コア・ネットワークを通過するそれぞれの主要な接続は、妥当性を確認するために検査されます。
  • サービス拒否 – OHAIは、インターネット・サービス・プロバイダーと緊密に連携し、サービス拒否アクセス攻撃を検出して防御します。
  • プロキシ・サーバー – 外部アプリケーションによるパブリック・ネットワーク間のアクセスは、宛先サーバーとの接続を確立する前に、ワームやウイルスがないかスキャンされます。アウトバウンドのWebおよびFTPリクエストは、許可リストを使用してフィルタ処理され、ワームやウイルスがないかスキャンされます。
  • システムの強化 – サーバー・テンプレートは、セキュアな構成に関する業界の標準プラクティスに合わせて更新されます。新しいイメージは、すべての新しいサーバーにロードされ、必要に応じて、古いサーバーにもロードされます。
  • パッチ管理 – OHAIは、自動システム・インベントリおよびパッチ適用システムを管理し、システム変更を可視化します。OHAIは、パートナー関係を通じて最新のパッチ通知を取得し、該当するプラットフォーム内でパッチを適用する前に、さまざまなプロセスを使用してパッチをテストします。
  • 環境の分離 – OHAIは、開発環境、テスト環境およびクライアント本稼働環境を論理的および物理的に適切に分離します。

システム管理

システム・レベルのログ

OHAIは、ネットワーク・デバイス、セキュリティ・インフラストラクチャ・コンポーネント、サーバー・システムへのアクセスおよびアクティビティをエンタープライズ・セキュリティ・ロギング・リポジトリにログ記録します。ログは、システム・イベントの監視、分析、トラブルシューティング、コンプライアンス、監査のためにセキュリティ情報およびイベント管理(SIEM)ツールに転送されます。SIEMを使用すると、セキュリティ担当者は、一般的なイベントのプロファイルを作成して、異常なアクティビティへの注目、誤検出の回避、異常の特定、重要でないアラートの防止を行うことができます。

暗号化および暗号化ストレージ

OHAIは、適切な暗号化メカニズムを使用してデータを保護します。OHAIは、リスク評価を実行して、データの使用方法とデータの全体的な機密性を評価します。データは、パブリック・ネットワークを介して転送される際に暗号化されます。OHAIは、クライアント・ネットワークの公開キーおよび秘密キー・インフラストラクチャを管理します。OHAIは、暗号化モジュールでサポートされている場合、FIPS 140-2アルゴリズムの使用に努めます。OHAIでは、Advanced Encryption Standard(AES)およびTransport Layer Security(TLS)暗号化プロトコルもサポートしています。

脆弱性と脅威の管理

適切な業界認定資格および資格証明を持つOHAIセキュリティ・プロフェッショナルが侵入テストを実施します。また、OHAIはサードパーティと協力して、外部侵入テストを毎年実施しています。OHAIの脆弱性および脅威管理プログラムの一環として、OHAIのセキュリティ・プロフェッショナルは、OHAIとそのクライアントの両方に対する特定された脆弱性および脅威のリスクの可能性を分析して定量化します。

OHAIは、OHAIのプラットフォームの本稼働環境で継続的にスキャンを実施します。OHAIは、環境への予想される影響および外部への暴露に基づいて脆弱性を評価します。脆弱性を評価してから、脆弱性を軽減または修正するプロセスを開始します。

特定した脆弱性についてリスクを評価し、その重大度に従って軽減または修正を行います。この分析には、NISTの共通脆弱性評価システム(NIST CVSS)などの業界標準の使用、および業界標準のツールを使用した環境への内部侵入スキャンが含まれます。OHAIは、下記の期間内に脆弱性を修正するよう努めます。

  • 緊急 – 承認された回避策を使用できる場合は2週間、関連する回避策を使用できない場合は48時間
  • 重要 – 30日間
  • – 90日間
  • – 180日間
  • – 365日間

物理的および環境的なセキュリティ

物理的および環境的なセキュリティ対策は、すべての侵入の試みを阻止、遅延、検出するための階層化された戦略的アプローチに基づいて導入されます。これらの対策は、施設固有のニーズを満たすように、また、堅牢かつセキュアで信頼性の高い環境を重要なシステムに提供できるように設計されます。

少なくとも、OHAIは、Oracle HealthデータセンターおよびOHAIが活用するコロケーション・サービス・プロバイダー内で、次の物理的および環境的なセキュリティ統制を維持します。

  • OHAI担当者および承認された第三者にのみ立ち入りを許可するアクセス制御システム。
  • 業界標準の環境制御(火災検知および消化システム、冷却システム、湿度制御、配電制御、無停電電源装置およびバックアップ発電機機能など)を設置するように設計された施設。
  • 業界標準のパラメータ制御(守衛詰所、物理的障壁、ビデオ監視システム、適切な耐候性設計など)を備えた施設。

インシデント管理

即時対応センター(IRC)

IRCの主な責務は、クライアント・ヘルプ・デスクからの第2層および第3層のサポート・コールに応答し、報告された問題を解決することです。報告された問題は文書化され、中央リポジトリに保存されます。IRCチームは、システム監視ツールを使用して、アラームと警告を追跡および対応し、適切な措置を講じます。OHAIのIRCには、スタッフが24時間365日常駐しています。

コンピュータ・セキュリティ・インシデント対応センター(CSIRC)

OHAIのコンピュータ・セキュリティ・インシデント対応センター(CSIRC)は、セキュリティ・インシデント・イベント管理のコントロール・センターであり、OHAIのプラットフォームに対する脅威を24時間365日継続的に監視します。CSIRCチームは、OHAIの環境を保護するために、国際機関、連邦機関、技術業界の脅威インテリジェンス情報を取り込み、それらへの対応を調整します。さらに、チームは業界標準のツールを活用して、ログを体系的に分析することで、不正なアクティビティの可能性を特定し、潜在的な脅威に焦点を当てます。

セキュリティ・インシデント

OHAIは、プラットフォーム内で発生したシステム・セキュリティ・イベントの調査、軽減、連絡を行うためのセキュリティ・インシデント管理プロセスを管理します。影響を受けるクライアントには、関連するセキュリティ・インシデントが適切なタイミングで通知され、実施すべき推奨される対策が伝えられます。

セキュリティ・イベント管理

OHAIは、「命名された」脆弱性イベントについてクライアントに通知したり、公に述べたりしません。OHAIは、独自の裁量で、収集した脅威インテリジェンスに基づいて即時対応が必要と判断した脆弱性に固有の対応を行うことがあります。それ以外の場合、OHAIは脆弱性についてクライアントに通知したり、クライアントのリクエストに応じて脆弱性がないか環境を確認したりしません。


変更管理

OHAIは、Information Technology Infrastructure Library(ITIL)のベストプラクティスに基づいて変更管理プロセスを管理します。このベストプラクティスは、変更の種類とその変更に関連するリスクのレベルに基づいて設計されています。OHAIのポリシーにより、OHAIは、クライアントのシステムに対して行う非定例の適切な変更について、その影響を受けるクライアントに連絡する必要があります。変更は検証とレビューが実施され、変更のリスクに応じた承認を受け取ります。OHAIは、変更諮問委員会(CAB)を通じて、既知のダウンタイムやリスクの高まりによる大幅な変更をレビューします。変更は、OHAIの一元化された変更要求システム内でログ記録され、管理されます。クライアントは、クライアントが実行するすべてのシステム変更を管理し、文書化する責任を負います。


緊急時対応計画

OHAIの緊急時対応プログラムはISO 22301に基づいており、インシデント(たとえば、長期的な中断、損失、緊急事態、または危機である可能性がある状況、あるいはそのような事態につながる可能性のある状況など)の際に内部および外部のクライアント機能をサポートすることで、必須のテクノロジーの継続的な運用を確保できるように設計されています。

ディザスタ・リカバリおよび回復性

OHAIは、冗長で可用性の高いインフラストラクチャを提供することにより、本稼働環境の中断を最小限に抑えます。破壊的なインシデントが発生した場合、OHAIは、確立され、演習が実施され、文書化されている緊急時対応プログラムに従い、商業的に合理的な手段を使用して、できるだけ迅速かつ効果的にサービスを回復します。OHAIの緊急時対応計画プログラムのインシデント管理部分は、テスト、レビュー、更新が毎年実施されます。OHAIは、該当するプラットフォームに基づいてさまざまなレベルのディザスタ・リカバリ・サービスを提供します。


ソフトウェア開発ライフサイクル

OHAIは、セキュリティ・プラクティスをオラクルと一致させています。新しい製品を開発する際に、OHAIはOracle Software Security Assurance(OSSA)を活用します。OSSAは、製品開発ライフサイクルのすべてのフェーズを網羅しており、製品の設計、ビルド、テスト、メンテナンスにセキュリティを組み込むためのオラクルの方法です。オラクルのセキュアな開発プラクティスは、OWASP Top 10で特定された脆弱性を含め、一般的な脆弱性を防ぐことを目的としています。詳細については、https://www.oracle.com/corporate/security-practices/assurance/development/を参照してください。


担当者

セキュリティの啓発

OHAIのセキュリティ啓発プログラムに基づき、従業員は、特定の役割に関連する必須の教育およびトレーニング活動に参加する必要があります。これらの活動は、OHAIのセキュリティ・ポスチャの有効性を維持するために設計されており、以下が含まれます。

  • 継続的な教育キャンペーン
  • 年次セキュリティ・トレーニング
  • ローカライズされたセキュリティ・トレーニング
  • フィッシングおよびその他の詐欺の認識
  • ターゲットを絞ったセキュリティ報告

雇用要件ガイドライン

2003年、OHAIは、身元調査プロセスを通じて、提示段階の採用候補者を定期的にスクリーニングするプロセスを開始しました。2012年から、OHAIは、雇用開始前に候補者に薬物検査を受けることを要求し始めました。

身元調査

OHAIの応募者の身元調査プロセスは、候補者の想定される役割および適用される法律に応じて異なります。たとえば、適用される法律で認められる範囲において、米国とカナダの身元調査は以下で構成されます。

  • 過去五年間の職歴
  • 役割に応じて求められる学歴(最高学位)。
  • 過去7年間の犯罪歴
  • 社会保障番号の追跡(米国のみ)
  • 医療関連の制裁の調査(米国のみ)
  • 国際的な制裁および処分の調査
  • 薬物検査(特定の職位のみ)
  • 専門的能力の証明書(特定の職位のみ)

下請業者

OHAIでは、下請業者に対して、OHAIのクライアントにサービスを提供する能力と資格が下請業者の従業員にあることを保証するよう求めています。下請業者の担当者は、実行するサービスに応じて適用される身元調査を完了する必要があります。この身元調査は、OHAIがOHAIの従業員に求めている身元調査と同等以上の基準で実施する必要があります。

サードパーティのリスク管理

OHAIでは、そのコロケーション・サービス・プロバイダーおよびプラットフォームを提供するために使用するサプライヤに対し、各事業者のデータとその他の秘密情報へのアクセス権に基づき、必要に応じて、事業提携契約および機密保持契約の締結を求めます。OHAIでは、OHAIのサプライヤ評価プロセスの一環として、サプライヤに対してデータ・セキュリティに関するアンケートに回答することを求めます。さらに、OHAIは、サプライヤのリスク・プロファイルに基づき、サプライヤに対して年次サプライヤ・セキュリティ・リスク評価を実施します。

オフショア・リソース

OHAIは、世界中にオフィスや従業員が存在するグローバル企業です。OHAIの現在の運用およびサポート・モデルには、世界各地の従業員の活用が含まれます。OHAIは、該当するプラットフォームがホストされている国以外からのプラットフォームへの一時的なアクセスを提供する場合があります。プラットフォームへのアクセス権を持つすべての従業員は、特定の役割に関連する必須の教育およびトレーニング活動に参加し、OHAIのセキュリティに関するポリシーとプロセスに従う必要があります。トレーニングの記録は、コンプライアンスの目的で追跡と管理が行われます。

メディアの破壊

OHAIのホスティング・サービスの提供に使用したすべてのストレージ・メディアは、OHAIの電子メディア廃棄ポリシーに従ってデータ消去と廃棄が実施されます。このポリシーは、HIPAAセキュリティ規則、ISO 27001およびNIST 800-88に準拠しています。

OHAIは、クライアントがその拠点で使用するハードウェアを提供する場合があります。クライアントの拠点にあるOHAI提供のハードウェアに保存されているすべての情報については、クライアントが責任を負います。その場合、クライアントは、ハードウェアの使用ライフサイクルの終了時に、データ・ストレージ・メディアのサニタイズまたは破棄に関する判断を行う責任を負います。


認証および監査

OHAIは、内部評価と外部監査を定期的に実施して、プラットフォームとOHAIの運用の中に存在する制御について調査し、OHAIの運用がOHAIセキュリティ・プログラムに従って効果的に実施されていることを確認します。

HIPAA – 1996年の医療保険の携行性と責任に関する法律

OHAIは、(HITECH法によって修正された)HIPAAに準拠するために必要な制御を確立し、維持しています。当社の米国拠点において、HIPAAの(内部または外部)評価を毎年実施し、該当するすべての企業環境とクライアント環境を調査します。

SOC 1およびSOC 2 Type II認証

OHAIがホストする環境に対して、サードパーティ認証を実施しています。これは、AICPAのトラスト・サービスの原則に関連する、セキュリティ、可用性、機密性についてのOHAIによるリスク軽減策の有効性を測定およびテストすることで行われます。SOCレポートは、AICPAのSSAEガイドラインに基づいて準備され、OHAIが管理するホスティング・サービスと制御に固有であり、現在、米国、カナダ、スウェーデンのホスティング拠点が含まれています。OHAIが常に変化するビジネス・ニーズを確認する中で、SOCレポートの対処となる拠点が変更される可能性があります。当社は、クライアントと協力しながら、OHAIまたは(該当する場合)コロケーション・プロバイダーから適切なSOCレポートを取得できるようクライアントを支援します。

ISO 27001/27002:2022

OHAIの情報セキュリティ管理フレームワーク(ISMF)は、ISO 27001/27002:2022規格の原則に準拠しており、OHAIのほとんどのプラットフォームに対して、ISMFのポリシーが適用されます。

当社は、物理的および環境的なセキュリティ統制を実現するために、カナダ、スウェーデン、英国、フランス、オーストラリアのコロケーション・データセンターとパブリック・クラウド・サービス・プロバイダーに依存しています。当社の独立監査人によると、Oracle Healthが所有するデータセンターとオフィスのみがOracle HealthのISO認証の対象になります。コロケーション・データセンターを管理するプロセスについては、ISO認証の対象となるOracle Healthオフィスの範囲として扱われます。Oracle Healthは、コロケーション・データセンター・サービス・プロバイダー内のデータセンターを管理するプロセスが、Oracle HealthのISO認証に含まれていることを確認できます。これは、複数のコロケーション・データセンター・サービス・プロバイダーが世界中で使用されている状況と一致しています。Oracle Healthは、米国内のデータセンターのみを所有しているため、それらのデータセンターは認証の対象になります。特定のコロケーション・データセンター・サービス・プロバイダーの運用については、クライアントはプロバイダー自体のISO認証に依拠する必要があります。

侵入テスト概要レポート

OHAIは毎年、サードパーティの協力を得て、OHAIのプラットフォームに対して外部侵入テストを実施しています。OHAIは、実施した侵入テストについて説明する侵入テスト概要レポートを受け取り、業界標準の方法、テスト・ツールおよび国ごとの脆弱性データベースが侵入テストの実施に使用されたことを確認し、プラットフォーム内の既知の脆弱性を特定します。OHAIは、識別された脆弱性をリスクに応じて修正し、積極的に監視される修正計画を通じて、それらの脆弱性に対処します。

PCI-DSS – ペイメント・カード業界データ・セキュリティ基準

OHAIは、特定のOHAIソリューションによってサポートされる支払いの処理に関するレベル1サービス・プロバイダーとしてPCI DSSに準拠していることを示す、サードパーティのコンプライアンス証明書(AoC)を取得しています。このAoCでサポートされているOHAIソリューションの詳細については、OHAI担当者にお問い合わせください。

EU-米国プライバシー・シールド・フレームワーク

OHAIは、EU-米国プライバシー・シールドとスイス-米国プライバシー・シールドについて自己認証済みです。

クライアント・セキュリティ・アンケートのサポート

OHAIは、セキュリティに関するアンケートまたは評価の記入を求めるクライアントのリクエストに応じて、前述のセキュリティ・コンプライアンス・プログラムから該当するサードパーティのドキュメントを提供します。提供可能な場合、事前回答済みの標準化されたセキュリティ・アンケート(CAIQ)やサードパーティ・アプリケーションのサプライヤ・リスク管理概要など、追加ドキュメントを提供します。クライアントは、これらのレポートを活用して、OHAIのセキュリティ・ポスチャと契約条件の遵守を評価できます。当社は、これらの標準的な提出書類を通じて対処できない合理的で具体的なセキュリティ評価に関する質問への回答についてクライアントに協力します。

当社のさまざまなセキュリティ統制の1つに、OHAIやクライアントをさらなるリスクにさらすことになる秘密情報や機密情報を提供しないことが含まれます。当社は、お客様のデータのセキュリティを重要であると考えており、サードパーティの監査人による当社のセキュリティ・プログラムの検証時に、当社は特定の機密情報に関するリクエストに応えるためにお客様のデータを危険にさらすことはありません。