FHIR サービス用の Azure Policy 規制コンプライアンス コントロール
Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure Health Data Services における FHIR サービスのコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
CMMC レベル 3
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | CORS で API for FHIR へのアクセスをすべてのドメインには許可しない | 1.1.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | CORS で API for FHIR へのアクセスをすべてのドメインには許可しない | 1.1.0 |
| アクセス制御 | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | CORS で API for FHIR へのアクセスをすべてのドメインには許可しない | 1.1.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | CORS で API for FHIR へのアクセスをすべてのドメインには許可しない | 1.1.0 |
| システムと通信の保護 | SC.3.177 | CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 | Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.1.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | CORS で API for FHIR へのアクセスをすべてのドメインには許可しない | 1.1.0 |
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-4 | 情報フローの適用 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | AC-17 | リモート アクセス | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | AC-17 (1) | 自動監視/制御 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 | 境界保護 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 (3) | アクセス ポイント | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.1.0 |
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-4 | 情報フローの適用 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | AC-17 | リモート アクセス | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | AC-17 (1) | 自動監視/制御 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 | 境界保護 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 (3) | アクセス ポイント | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.1.0 |
NIST SP 800-171 R2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | 3.1.13 | リモート アクセス セッションの機密性を保護するため暗号化メカニズムを採用する。 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | 3.1.14 | 管理対象のアクセス制御ポイントを介してリモート アクセスをルーティングする。 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.1.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
NIST SP 800-53 Rev. 4
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-4 | 情報フローの適用 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | AC-17 | リモート アクセス | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | AC-17 (1) | 自動監視/制御 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 | 境界保護 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 (3) | アクセス ポイント | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.1.0 |
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-4 | 情報フローの適用 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | AC-17 | リモート アクセス | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | AC-17 (1) | 監視および制御 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 | 境界保護 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 (3) | アクセス ポイント | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.1.0 |
NL BIO Cloud Theme
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.1.0 |
| U.07.1 データ分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | Azure API for FHIR ではプライベート リンクを使用する必要がある | 1.0.0 |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.1.0 |
次のステップ
- 詳細については、「Azure Policy の規制コンプライアンス」をご覧ください。
- 詳細については、組み込みに関するAzure Policy GitHub リポジトリをご覧ください。
FHIR® は HL7 の登録商標であり、HL7 の許可を得て使用しています。