HITRUST CSFとは:コンプライアンスガイド
業界を問わず、安全なデータ保管は最優先事項です。HIPAAは安全なデータ保管に関するコンプライアンスですが、その内容が分かりにくく、要件も難解な点があります。
そこで登場するのがHITRUSTです。HITRUSTは、HIPAAの意味を理解するための高度に統合されたアプローチを提供します。HITRUSTの概要、重要性、認証要件について見ていきましょう。
HITRUSTとは
HITRUSTは、2007年に誕生した信頼性の高いサイバーセキュリティフレームワークであり、Health Information Trust Allianceをより賢く扱う方法です。特定のコンプライアンスのみを論じるのではなく、GDPR、PCI-DSS、HIPAAなど複数の規範から主要なサイバーセキュリティルールを組み合わせ、情報セキュリティを中核に据えています。
基本的に、HIPAA準拠サービス提供者になるには、データ保管や技術分野の業者もHITRUST認証を取得する必要があります。専門家は、幅広い第三者評価を活用して情報リスクや脅威を最小限に抑えている点から、これが最も優れたフレームワークであると評価しています。
なぜHITRUSTが重要なのか?
HITRUSTは手間がかかる反面、PHIを扱う組織にとって非常に意味があるため、業界のリーダーから強く勧められています。この基準を用いれば、次のことが容易になります:
- PCI、NISTなどの個別のセキュリティ制御をひとまとめにし、複数の基準を同時に守ることでブランド価値の向上につながる。
- 重要なデータ喪失による直接的・間接的な費用を大幅に削減できる。例えば、顧客からの訴訟やデータ乱用による損失など、リスクや脆弱性が低減されれば、こうした余計な出費は抑えられる。
- 信頼できるサービス提供者として業界内で選ばれ、より多くのプロジェクトを獲得できる。HITRUST認証は信頼性の証である。
- 異なるカテゴリーの制御を組み合わせることで、柔軟なセキュリティ体制を自社で管理できる。
HITRUSTフレームワーク - 仕組みはどうなっているか?
HITRUSTは、医療業界の事業者が堅牢なサイバーセキュリティ体制を構築するために採用する、様々な方針とプロセスの集合体です。
重要な点として、HITRUSTは従来の複数のフレームワークを組み合わせたものであり、HITRUST CRFとも呼ばれます。これにより、多様なセキュリティ領域に注意を向けることが求められ、例えば8文字以上の強力なパスワードの使用が推奨されています。
HITRUSTの基本概念はIECやISOの標準から抽出され、PHIがリスクなく送受信される高いセキュリティ体制の確立を促します。世界の著名な専門家がこのフレームワークを作り上げ、リスクとコンプライアンスの双方に注力し、セキュリティやプライバシーのプロセスを自由にカスタマイズできるよう設計されています。
事業ごとにデジタルセキュリティのアプローチが異なるため、柔軟かつ拡張しやすい設計となっており、この柔軟性が世界的な普及に大きく寄与しています。徐々に医療分野を超え、機微なデータを扱う全ての分野で採用が進んでいます。
総じて、HITRUSTは以下の点で大いに役立ちます:
- PCI、HIPAA、NIST SP 800-171、ISO、GDPRなどの基準を統合できる
- 全組織に適応可能な拡張性のあるサイバーセキュリティプロセスを実現できる
- リスク中心のサイバーセキュリティ対策を採用できる
- 追加のセキュリティ制御を組み込む余地がある
現在、HITRUSTフレームワークはCSF v11.0.0が使用されています。この最新版は現代のニーズに合わせた評価すべき更新点が盛り込まれており、例えば:
- NIST SP 800-53リビジョン5とのマッピングが含まれている
- 医療業界向けサイバーセキュリティプラクティスとのマッピングが追加された
- 更新されたNIST SP 800-171とのマッピングのみが対象となる
- 最新のHIPAAプライバシールール、違反通知、セキュリティルールのマッピングが含まれている
この最新版は、評価間のスムーズな移行をサポートする豊富なポートフォリオを備え、新たな方針やプロセスの導入を強制しません。組織は既存のコンプライアンスプログラムを継続しながら、最良の実践で強化することが可能です。また、AI対応の枠組みを持ち、MyCSFツールの利用もこれまで以上に簡単になっています。
HITRUST評価領域
HITRUST評価は非常に幅広く、19の領域が対象となります。以下にその19領域を示します。
19 Domains
| № | 領域 |
|---|---|
| 1 | 重要なデータが確実に守られ、安全に管理されるよう、情報資産を守るためのプログラム |
| 2 | サーバ、ワークステーション、ストレージなど医療現場で適用されるエンドポイントのセキュリティ。ファイアウォール、アンチマルウェア、侵入検知ツールの利用が推奨される |
| 3 | USBやDVD-ROMなどの携帯メディアがリスクなくデータを保管できるようにするセキュリティ |
| 4 | スマートフォン、ノートパソコン、PCなどモバイルデバイスのセキュリティ |
| 5 | 組織の無線ネットワークに接続される全てのデバイスを守る無線セキュリティ |
| 6 | アンチマルウェアの導入、セキュリティパッチ適用、ホストベースの侵入検知など、脆弱性管理の実践方法を示す |
| 7 | 変更管理、項目識別など主要な設定項目が十分にテスト・整備されているかを確認する設定管理 |
| 8 | メールやチャットによるデータ送信を守るため、VPNなどのツール利用を促すとともに、DDoS対策を含むネットワーク保護の要素も担う |
| 9 | ネットワーク保護領域は、侵入検知ツール、アプリケーションレベルのファイアウォール、十分なDDoS対策の配置に重点を置く |
| 10 | 未認証ユーザによるデータアクセスを防ぐためのアクセス制御 |
| 11 | 古いパスワード使用に伴うリスクを管理するパスワード管理 |
| 12 | 監査・モニタリング時に安全なデータ管理を確実にする監査ログの制御 |
| 13 | 分析や評価など、あらゆるリスクに関わる事項を網羅するリスク管理 |
| 14 | サイバーセキュリティ意識向上のための従業員訓練・啓発プログラム |
| 15 | 第三者ベンダーや協力会社に関するリスクに対応する第三者保証 |
| 16 | テスト、計画、導入など災害復旧に関する全側面に焦点を当てた事業継続・災害復旧 |
| 17 | 事象対応、監視、漏洩報告に関する制御を扱うインシデント管理 |
| 18 | 顧客データを守るためのコンプライアンスや制御に注力するデータプライバシーと保護 |
| 19 | データセンターやその他のデータ保管施設を守るための物理的/オンプレミスおよび環境セキュリティ |
HITRUSTとHIPAAの違い
より深くHITRUSTフレームワークを理解するためには、HITRUSTとHIPAAの違いを明確にする必要があります。HIPAAは法律であるのに対し、HITRUSTはフレームワークです。
HIPAAは立法者や法律家によって制定されたため、法律に基づく規定や制御が多く盛り込まれています。
HIPAAに精通したサイバーセキュリティ専門家がHITRUSTを策定しました。HITRUSTは、HIPAA準拠を達成し、その実績を示すための手段であり、HIPAAに基づいて構築されながらも独立した仕組みとなることで、HIPAAを分かりやすくしています。
HIPAAは、PHI(保護対象医療情報)を守るために十分な物理的・技術的インフラの利用を求める一方、その具体的な方法は示していません。HITRUSTはその実現方法を提供し、組織がHIPAA準拠となるための具体的な目標を示します。
HIPAAを目的地とするなら、HITRUSTはその目的地に到達するための手段と考えることができる。
HITRUST導入の利点
HITRUST認証を取得すると、組織には以下のような多くの利点がもたらされます:
- コンプライアンスの簡素化
医療業界では、複数のセキュリティ基準や制御が存在するため、コンプライアンスの達成が容易ではありません。HITRUSTはそれらを簡素化し、何が最も重要な制御かを明確にします。
- サイバーセキュリティリスクへの効果的な対応
HITRUSTは医療分野における第三者ベンダーやビジネスパートナーにも対応しており、業界全体で良好なセキュリティ対策の維持が可能となります。
- 非効率な点の迅速な解消
様々なセキュリティ制御を統合することで、コンプライアンスの展開やリスク管理をこれまで以上に効率化できます。CIOは統一プラットフォーム上で各制御を一括管理することが可能です。
- 機微情報の安全な送信の促進
データ送信に関して厳しいHIPAAの制限とは異なり、HITRUSTは強固なセキュリティ制御に裏付けられ、機微な情報を安心して送信できる環境を提供します。
- セキュリティ対策の柔軟な展開
HITRUSTは、機微なPHIを扱うあらゆる事業で求められる成果をもたらす柔軟性を備えています。コンプライアンス重視かつリスクベースのフレームワークであるため、様々なセキュリティ制御を容易に取り入れることが可能です。
- 最新状態の維持
HITRUSTは成熟度の概念に基づき、組織の継続的な成長と拡大を促すことで、業界最高水準のサイバーセキュリティ基準の採用につながります。
HITRUSTの制御と要件
HITRUST認証は、各領域で最低限必要なスコアを獲得した場合にのみ取得可能です。スコアリングは成熟度に依存して複雑ですが、既に説明した19の制御領域が存在します。
各領域はさらに複数の制御目標に分かれており、これらは各領域で達成されるべき大きな目的と、そのために必要な具体的な行動を示しています。
例えば、『情報資産保護プログラム』の制御目標の一つは、権限のあるユーザのみがPHIにアクセスし、その利用が完全に記録されることを確実にすることです。
アクセス制御では、ユーザ登録が1つの制御目標となり、登録および解除のプロセスが完全に文書化され、正当に認可された場合にのみアクセスが許可されることが求められます。
HITRUST認証
医療業界の事業者は、機微なデータを守るための効果的なセキュリティ対策を有していることを証明するため、HITRUST認証を取得できます。2007年からこの認証は利用されています。
HITRUST認証は、CSF(共通セキュリティフレームワーク)への準拠を示します。認証取得のためには、推奨される全てのセキュリティ制御の採用または達成が必要です。CSFは、PCI、ISO、COBIT、HIPAAなど各種基準で評価される主要なセキュリティ制御を備えています。
現在、HITRUSTには2種類が存在します。1つ目は実施後1年有効なi1評価で、中程度のリスクを防ぐための標準的なセキュリティ制御の採用に重点を置いた比較的新しい評価です。
この評価では約219の指標が審査され、柔軟性は低いものの、HIPAAやNIST SP 800-171の制御が組み込まれています。有効期間は1年で、更新は比較的容易です。更新には再度評価を受ける必要があります。
次に、リスクベースの2年間有効なr2評価があります。名前の通り、完全にリスクに基づいた評価であり、過去10年にわたって運用され、再評価も含むため最も信頼性が高いとされています。
この認証タイプでは2000以上の指標が詳細に評価され、評価対象のセキュリティ制御を自由に選択できるため、i1よりも柔軟性があります。HIPAA、NIST、CSF、PCI DSS等、多くの基準が組み合わされています。
有効期間は2年ですが、認証取得後にセキュリティ違反が認められた場合は認証が取り消される可能性があります。また、評価および認証期間中はセキュリティ方針と実施内容が維持されなければなりません。大きな変更がある場合、有効性は失われます。
手続きは非常に長く、一朝一夕で認証が得られるわけではありません。事業規模やプロセスにより、評価準備には6〜9ヶ月を要することがあります。
この期間が必要とされるのは、準備状況や是正措置のテストが含まれるためであり、評価の検証にはさらに3ヶ月以上かかることもあります。ただし、タイムラインは認証タイプによって異なり、i1はr2よりも簡便であるため、r2評価にはより多くの時間を要します。多くの事業者は、これをサイバーセキュリティ業界の標準であるSOC2監査に相当すると考えています。
.jpeg)
HITRUST監査
HITRUST監査を実施していなければ、HITRUST準拠とはなりません。これらの監査は、どの監査人でも行えるわけではなく、認定された第三者監査人の起用が必要です。監査人は自己評価から証拠を収集し、採用されているセキュリティプロセスを詳しく調査します。
さらに、監査人は制御の文書化方法、方針への反映、制御の検証、すべてのログを監査報告書に含めるよう指導します。対象となるデータや監査規模に応じ、複数の監査人が関与する場合もあります。
HITRUST監査の結果は、監査人が作成した報告書に記載され、組織のセキュリティ制御に対する見解が示されます。
HITRUST認証の取得
完全に検証された自己評価を経る必要があり、その際は監査人の支援を受けます。自己評価/準備評価とは、適用中のセキュリティ制御を詳細に検証し、CSFで定められた内容と整合しているか確認する作業を意味します。
この評価は、独立した第三者監査人によって内部的に行われます。採用する監査人がHITRUST認定の外部評価機関(HEAO)に所属していることを確認することで、透明性と評価の質が担保されます。
監査が完了した後、次のステップとしてHEAOに連絡し、詳細な評価を依頼します。これにより、セキュリティ制御の不足点が明らかになります。
監査およびHITRUST評価の過程では、文書化や自己評価のためにMyCSFツールの使用が指示されます。CSFが認めるツールのみを選択し、MyCSFツールはサブスクリプション契約またはCSFレポートの取得で利用できます。前者は費用がかかりますが、1年通して利用可能です。
CSFレポート方式を選ぶ場合、評価とともに最大90日間のみツールにアクセスできる点に留意してください。しかし、サブスクリプション方式と比べれば非常に経済的な選択肢です。
HITRUST評価ではスコアが付与され、CSFのスコアリングはPCIやHIPAAと異なり、各領域で所定の合格基準を満たす必要があります。
ここでの合格基準は5点中3点という厳しいものです。認証を取得するには、19の各領域で3点以上を獲得する必要がありますが、条件を満たせば3点未満でも認証が可能な場合もあります。スコアの証明は独立評価者を通じてCSFに提出され、証明がなければHITRUSTアライアンスは認証を取り消す権限を有します。
また、CSFスコアは第三者ベンダーから引き継ぐことができ、例えば、既に認証を取得しているクラウドサービスプロバイダーのツールや技術を利用し、ログインや暗号化に関する領域の責任を委ねることも可能です。ベンダーがこれらの領域のセキュリティ制御を管理してくれます。
この認証を取得するためには、プロセス開始日から90日以内に全ての監査・評価を完了することが必須です。計画的なリソース配分が求められます。
費用はどれくらいか?
手軽な費用で取得できる認証ではありません。
HITRUST認証を目指す場合、監査人費用、HITRUST費用、HITRUST推奨ツールの利用料、監査報告書作成サービスなど、様々な費用が発生します。
前述の通り、MyCSFツールの取得方法は2通りあり、レポートのみの方式を選べば費用は抑えられますが、サブスクリプション方式ではコストが増加します。また、外部評価者に支払う費用は通常30,000ドルから250,000ドルの間で変動します。
この差は、契約期間や評価の種類に依存します。特に、R2評価は2,000以上の制御を対象とするため、費用が高くなる傾向があります。
なお、固定の費用はなく、組織規模や扱うデータ量が最終的な費用を決定します。概ね50,000ドルから200,000ドル程度と見積もられ、やや高額でも業界で最も競争力のある基準を達成するためには挑戦する価値があります。
HITRUST評価準備の手順
成功には戦略的なアプローチが求められますが、適切な準備をすればプロセスは理解しやすくなります。
参考となる10の戦略的手順は以下の通りです:
- プロジェクト責任者を決定し、目標設定と評価進捗の管理を担当させる。
- 後の問題を避けるため、プロジェクト構造と品質基準を明確に定める。
- 専門家の起用が望ましく、HITRUST認定の外部評価機関所属の人物を選び、質の高いサービスを受ける。
- 上層部にHITRUSTの進捗を随時報告し、その重要性を理解してもらう。
- 実現可能な現実的な目標に注視する。見栄えだけでは達成が難しい目標は意味がない。
- チーム全体が従える明確な目標を設定することを確認する。
- 十分な計画を立て、各評価に応じたタイムラインを設定する。
- 組織内でオープンなコミュニケーション文化を育み、評価に関する懸念を自由に共有できる環境を整える。
- 十分な文書管理とデータベースを整備し、HITRUST CSF基準に基づく記録を収集する。
- 使用中のツールが100%リスクフリーであることを確認するため、定期的にシステムテストを実施する。
- 評価期間が90日であるため、期限内に評価を完了するためのトラッカーの使用が強く推奨される。
結論
医療業界が扱うデータは、極めて厳格な管理が求められます。データの送信、保管、処理はいずれも最高水準かつリスクフリーである必要があります。多くのコンプライアンスがこれを保障していますが、その規定は煩雑に感じられることもあります。
HITRUSTは、医療分野で信頼されるサービス提供者として認められるための、最も手軽な手段です。本ガイドでその詳細について解説しました。医療業界や機微なユーザデータを扱う事業に属する場合、HITRUST準拠の達成に向けた取り組みを開始することをお勧めします。
FAQ
参考資料
最新情報を購読
