第8章 AWSクラウド基礎理解
Amazon Web Services(AWS)
8.1 クラウドとは何か
クラウドの基本概念
クラウドコンピューティングとは、サーバ、ストレージ、データベースなどのITリソースをインターネット経由でオンデマンドに利用するサービスモデルである。
オンプレミスとの比較
| 観点 | オンプレミス | クラウド(AWS) |
|---|---|---|
| 物理サーバの所在 | 自社内(院内サーバ室など) | AWSのデータセンター |
| 初期コスト | 高い(機器購入が必要) | 低い(従量課金) |
| スケーリング | ハードウェア増設に時間がかかる | 数分で拡張可能 |
| 運用 | 自社で保守(電源、空調、ハードウェア障害) | AWSが物理インフラを管理 |
| セキュリティ | 自社で全責任を負う | 責任共有モデル |
責任共有モデル
AWSのセキュリティは「責任共有モデル」に基づく。
8.2 VPCの構造
VPCとは
VPC(Virtual Private Cloud)は、AWS上に作成する仮想的なプライベートネットワークである。物理的なネットワークと同様に、IPアドレス範囲の設定、サブネットの作成、ルーティング、セキュリティ制御を行うことができる。
VPCの基本構成
Smart Assistのクラウド側もVPC内に構築されている
Smart AssistのサーバはAWSのVPC内に配置されており、院内ネットワークと同様にサブネット分離やアクセス制御が適用されている。
8.3 サブネット
パブリックサブネットとプライベートサブネット
| 種類 | 特徴 | 配置するもの |
|---|---|---|
| パブリックサブネット | インターネットゲートウェイ経由で外部と通信可能 | ロードバランサ、踏み台サーバ |
| プライベートサブネット | 直接のインターネットアクセスなし | アプリケーションサーバ、データベース |
Smart Assistにおけるサブネット構成(典型例)
アプリケーションサーバやデータベースがプライベートサブネットに配置されていることにより、インターネットから直接アクセスすることはできない。
8.4 Security Group
Security Groupとは
Security Group(セキュリティグループ)は、AWSのインスタンス(サーバ)に対するファイアウォールである。インスタンス単位で受信(Inbound)と送信(Outbound)のトラフィックを制御する。
特徴
| 特徴 | 説明 |
|---|---|
| ステートフル | 許可した通信の応答は自動的に許可される |
| ホワイトリスト方式 | 明示的に許可したものだけが通過する(デフォルト拒否) |
| インスタンス単位 | 各サーバに個別のルールセットを適用できる |
Smart Assistサーバのセキュリティグループ設定例
Inboundルール
| タイプ | ポート | ソース | 説明 |
|---|---|---|---|
| HTTPS | 443 | ALBのSG | ALBからのみ受信 |
Outboundルール
| タイプ | ポート | 宛先 | 説明 |
|---|---|---|---|
| HTTPS | 443 | 必要な宛先 | 外部API等 |
| MySQL | 3306 | DBのSG | DB接続 |
Smart Assistのアプリケーションサーバは、ALB(ロードバランサ)からの443/tcp通信のみを受け付ける設計であり、インターネットからの直接アクセスは許可されていない。
8.5 NACL
NACLとは
NACL(Network Access Control List)は、サブネット単位で適用されるファイアウォールである。Security Groupがインスタンス単位であるのに対し、NACLはサブネット全体に適用される。
Security GroupとNACLの違い
| 項目 | Security Group | NACL |
|---|---|---|
| 適用単位 | インスタンス | サブネット |
| ステートフル/レス | ステートフル | ステートレス |
| デフォルト動作 | すべて拒否 | すべて許可(デフォルトNACL) |
| ルール評価 | すべてのルールを評価 | 番号順に評価(最初に一致で決定) |
二重の防御
Security GroupとNACLの両方を使うことで、多層防御を実現している。
8.6 ロードバランサ
ALBとは
ALB(Application Load Balancer)は、AWSが提供するロードバランササービスである。複数のサーバへトラフィックを分散し、可用性とスケーラビリティを向上させる。
Smart Assistにおけるロードバランサの役割
| 役割 | 説明 |
|---|---|
| トラフィック分散 | 複数のサーバに負荷を分散する |
| SSL終端 | TLS暗号化の処理をALBで行う |
| ヘルスチェック | サーバの稼働状態を監視し、異常なサーバへの転送を停止する |
| 高可用性 | 複数のAZ(アベイラビリティゾーン)に跨って配置される |
院内PC から見た接続先
院内PCから見ると、接続先はALBのFQDN(例: smartassist.example.com)であり、背後にある個々のサーバを意識する必要はない。
8.7 可用性設計
可用性とは
可用性(Availability)とは、システムが稼働し続ける能力のことである。Smart Assistは医療業務を支援するシステムであるため、高い可用性が求められる。
AWSにおける可用性設計の要素
| 要素 | 説明 |
|---|---|
| マルチAZ配置 | 複数のデータセンター(AZ)にサーバを分散配置 |
| オートスケーリング | 負荷に応じてサーバ数を自動調整 |
| ロードバランサ | 障害サーバへのトラフィックを自動排除 |
| データベースの冗長化 | RDSのマルチAZ配置による自動フェイルオーバー |
| バックアップ | 定期的なスナップショット取得 |
マルチAZ配置
リージョン選択とデータレジデンシー
Smart Assistのデプロイ先リージョンは、各国の規制要件に基づいて選択する。
| 地域 | 推奨リージョン | データレジデンシー要件 |
|---|---|---|
| 日本 | ap-northeast-1(東京) | 3省2ガイドラインにより日本国内保存が望ましい |
| 米国 | us-east-1(バージニア)/us-west-2(オレゴン) | HIPAAはデータの国内保存を義務付けていないが、BAA(Business Associate Agreement)の締結が必須。GovCloud対応が必要な場合もある |
| EU | eu-central-1(フランクフルト)/eu-west-1(アイルランド) | GDPRにより原則EEA域内に保存。域外移転にはSCC(Standard Contractual Clauses)等の法的根拠が必要 |
Smart Assistが停止した場合の影響
| 停止の種類 | 影響 | 検査業務 |
|---|---|---|
| 片系(1つのAZ)停止 | ALBが自動切替、ユーザーへの影響なし | 継続 |
| 全系(Smart Assist全体)停止 | 未確定データの判定が一時的に不可能 | 確定分はLISに送信され続ける |
Smart Assist全体が停止した場合でも、AUTION EYEの自動分類で確定した結果は従来通りLISに送信される。影響を受けるのは未確定データの遠隔判定のみである。
8.8 資料の読み方:SOC 2 Type II レポート
SOC 2とは何か
SOC 2(System and Organization Controls 2)は、米国公認会計士協会(AICPA)が策定した、サービス提供組織の内部統制を評価するためのフレームワークである。独立した監査法人が、対象組織のシステムが一定のセキュリティ基準を満たしているかどうかを検証し、報告書として発行する。
対応するファイル:
System+and+Organization+Controls+(SOC)+2+ReportSmart Assistが使用するAWSの SOC 2 Type II レポート(2024年10月〜2025年9月対象期間)
Type I と Type II の違い
| 種類 | 評価内容 | 評価時点 |
|---|---|---|
| SOC 2 Type I | 統制の設計が適切であるか | 特定の一時点(スナップショット) |
| SOC 2 Type II | 統制の設計と運用有効性が適切であるか | 一定期間(通常6〜12ヶ月間) |
Smart Assistが保有するのは Type II であり、AWSの統制が評価期間中にわたって実際に有効に機能していたことを示す、より信頼性の高い報告書である。
Trust Services Criteria(信頼性サービス基準)
SOC 2レポートは以下の5つの基準(Criteria)に基づいて評価される。AWSのレポートはSecurity、Availability、Confidentiality、Privacyの4つをカバーしている。
| 基準 | 内容 | Smart Assistとの関連 |
|---|---|---|
| Security | 不正アクセスからの保護 | クラウドインフラへの不正侵入防止 |
| Availability | システムの可用性 | Smart Assistサービスの稼働率保証 |
| Confidentiality | 機密情報の保護 | PHIを含むデータの機密性保護 |
| Privacy | 個人情報の取り扱い | PHIのプライバシー保護 |
| Processing Integrity | データ処理の完全性 | (AWSレポートの対象外) |
レポートの構成
| セクション | 内容 | 担当者が押さえるべきこと |
|---|---|---|
| Section I | AWSマネジメントの表明書 | 「評価期間中、統制が設計通りに運用されていた」というAWS自身の宣言 |
| Section II | 独立監査人の保証報告書 | 第三者監査法人による検証結果。「適切に設計・運用されている」という結論 |
| Section III | AWSシステムの記述 | 対象サービス一覧、セキュリティポリシー、統制の詳細。Smart Assistが使用するCognito、Lambda、S3、Aurora等が含まれる |
| Section IV | 統制のテスト結果 | 各統制項目のテスト方法と結果。全項目の合否 |
| Section V | 追加情報 | 統制の変更・追加に関する補足情報 |
共有責任モデルとSOC 2の関係
SOC 2レポートが保証するのは AWSが管理する範囲(インフラストラクチャ層) のみである。
| 層 | 責任者 | SOC 2の対象か |
|---|---|---|
| 物理データセンター・ネットワーク | AWS | 対象 |
| OS・ミドルウェア・パッチ管理 | AWS(マネージドサービスの場合) | 対象 |
| アプリケーション(Smart Assist) | ARKRAY / UHW | 対象外 |
| データ(PHI) | ARKRAY / UHW / 病院 | 対象外 |
アプリケーション層のセキュリティはISO 27001認証(第9章参照)、PHI保護はHIPAA Risk Assessment(第9章参照)でカバーされる。
病院IT担当者への説明方法
SOC 2レポートについて質問された場合の説明例:
| 質問 | 回答の方向性 |
|---|---|
| 「SOC 2って何ですか?」 | 独立した監査法人がAWSのセキュリティ統制を評価した報告書です。Smart Assistが稼働するインフラの安全性が第三者により検証されています |
| 「レポートの閲覧は可能ですか?」 | NDA(秘密保持契約)の締結後に閲覧可能です。AWS Artifactから取得したレポートの配布にはAWSの利用規約に基づく制限があります |
| 「全項目合格していますか?」 | Section IVのテスト結果をご確認いただけますが、重大な不適合事項は報告されていません |
次章では、Smart Assistで取り扱う医療データの規制要件を理解する。