FastDoctor AWS Infrastructure

Appearance

外部脆弱性診断ベンダー選定・委託ガイドライン

目的

本ドキュメントは、FastDoctorの医療プラットフォームにおいて脆弱性診断を外部委託する際のベンダー選定基準、委託プロセス、契約要件、成果物評価方法を定義します。医療情報システムの特殊性と高いセキュリティ要件を考慮し、適切な外部パートナーとの連携により、包括的かつ効率的な脆弱性診断を実現します。

適用範囲

  • インフラストラクチャ脆弱性診断(AWS、Terraform)
  • アプリケーション脆弱性診断(API、Web、モバイル)
  • ペネトレーションテスト
  • コードレビュー・静的解析
  • 医療機器ソフトウェア診断
  • コンプライアンス監査

外部委託の戦略的判断

1. 内製 vs 外部委託の判断基準

外部委託を推奨するケース

高度な専門性が必要な診断

  • 包括的ペネトレーションテスト:攻撃者視点での高度なシミュレーション
  • 規制準拠監査:第三者認証機関としての客観性が法的に要求される
  • 医療機器ソフトウェア診断:医療機器特有の脆弱性診断ノウハウが必要
  • APT攻撃シミュレーション:持続的標的型攻撃に対する高度な防御テスト
  • 独立評価:外部機関による客観的評価

実施頻度の目安

  • 包括的ペネトレーションテスト:年1回
  • 規制準拠監査:年1回(法的要件)
  • 医療機器診断:新規導入時、メジャーアップデート時
  • APT攻撃シミュレーション:2年に1回
  • 独立評価:必要時(事業イベント発生時)

内製を推奨するケース

継続的・定期的な診断

  • 日常的脆弱性スキャン:週次・月次の基本的なセキュリティチェック
  • 開発組み込み診断:CI/CDパイプラインでの自動セキュリティテスト
  • 設定変更監視:インフラ設定のドリフト検知
  • アプリケーション診断:開発チームによる日常的なコードレビュー

コスト・効果の考慮事項

内製化のコスト構造

  • セキュリティエンジニア人件費
  • 診断ツールライセンス
  • 研修・認証取得
  • インフラ・設備

外部委託のコスト構造

  • 包括的ペネトレーションテスト
  • アプリケーション診断
  • インフラストラクチャ監査
  • コンプライアンス監査

判断指標

  • 年間診断回数がN(診断実施後に検討)回以下の場合:外部委託が経済的
  • 年間診断回数がN(診断実施後に検討)回以上の場合:内製化を検討
  • 専門性の高い診断は外部委託を優先
  • 継続的監視は内製化が効率的

2. ハイブリッドアプローチの実装

基本的な診断は内製で実施し、高度な専門性が必要な分野は外部委託する混合型アプローチを推奨します。

役割分担の例

  • 内製:日次の設定監視、週次の基本スキャン、開発時のセキュリティテスト
  • 外部委託:年次の包括診断、法的監査、専門的ペネトレーションテスト
  • 連携:内製結果の外部検証、外部診断結果の内部対応

医療業界特化ベンダー選定基準

1. 必須要件(Must-Have)

医療・ヘルスケア業界経験

最低要求基準

  • 医療・ヘルスケア業界での脆弱性診断経験:3年以上
  • 医療システム関連プロジェクト実績:5件以上
  • 医療情報を取り扱うシステムの診断経験:必須

対象システム分野の経験

  • 電子カルテシステム:診療記録管理システムの診断経験
  • 遠隔医療システム:オンライン診療、テレヘルスシステムの診断経験
  • 医療標準API:HL7 FHIR、DICOM等の医療標準インターフェースの診断経験
  • 患者ポータル・アプリ:患者向けWebアプリ、モバイルアプリの診断経験

規制・法令の知識

  • 日本の医療法:医療情報システム安全管理ガイドライン(3省2ガイドライン)
  • 個人情報保護法:要配慮個人情報(医療情報)の取り扱い要件
  • 医療機器等法:医療機器ソフトウェアの規制要件
  • HIPAA:米国医療情報規制(国際対応時)
  • GDPR:EU一般データ保護規則の医療分野適用

推奨認証・資格

  • ISO27001:情報セキュリティマネジメントシステム認証
  • ISO27799:医療情報セキュリティ管理規格
  • PCI DSS QSA:決済カード業界データセキュリティ標準認定診断者
  • CISA:公認情報システム監査人

技術的専門性

クラウドセキュリティ

  • AWS専門知識:VPC、IAM、KMS、CloudTrail、GuardDuty等の深い理解
  • コンテナ技術:ECS、Fargate、Docker、Kubernetesのセキュリティ診断
  • サーバーレス:Lambda、API Gateway、DynamoDB等のセキュリティ評価
  • Infrastructure as Code:Terraform、CloudFormationの設定監査

アプリケーションセキュリティ

  • Webアプリケーション:OWASP Top 10、APIセキュリティ、GraphQL診断
  • モバイルセキュリティ:iOS、Android、React Nativeアプリケーション診断
  • AI/MLセキュリティ:機械学習モデルのセキュリティ、データポイズニング対策
  • マイクロサービス:サービスメッシュ、コンテナセキュリティ、API Gateway診断

医療固有技術

  • 医療標準:HL7 FHIR、DICOM、IHE等の国際医療標準
  • 医療機器ソフトウェア:IoMT(Internet of Medical Things)、相互運用性
  • プライバシー技術:差分プライバシー、準同型暗号、データ匿名化技術

セキュリティクリアランス・認証

個人認証(必須)

  • CISSP:Certified Information Systems Security Professional
  • CISM:Certified Information Security Manager
  • GPEN:GIAC Penetration Tester

個人認証(推奨)

  • OSCP:Offensive Security Certified Professional
  • CEH:Certified Ethical Hacker
  • GSEC:GIAC Security Essentials

組織認証(必須)

  • ISO27001:組織の情報セキュリティマネジメントシステム認証
  • プライバシーマーク:個人情報保護体制認定

組織認証(推奨)

  • SOC 2 Type II:セキュリティ統制に関する第三者監査報告書
  • ISO27799:医療情報セキュリティマネジメント認証
  • PCI DSS:決済カード業界データセキュリティ標準準拠証明

バックグラウンドチェック

  • セキュリティクリアランス:政府系・公的機関プロジェクトへの参加実績
  • 犯罪歴確認:情報犯罪等に関わる前歴の確認
  • 財務状況確認:会社の財務健全性確認
  • リファレンスチェック:前職顧客からの推薦状・評価書

2. 総合評価基準・配点

評価項目と配点

医療業界専門性(配点:25点)

  • 業界経験年数・プロジェクト実績:10点
  • 規制・法令知識:8点
  • 医療システム理解度:7点

技術的能力(配点:25点)

  • ペネトレーションテスト技能:10点
  • AWSクラウド専門知識:8点
  • アプリケーションセキュリティ技能:7点

品質保証(配点:20点)

  • 診断手法の成熟度:8点
  • 報告書の品質:6点
  • 偽陽性率の低さ:6点

プロジェクト管理(配点:15点)

  • コミュニケーション能力:6点
  • スケジュール遵守実績:5点
  • ステークホルダー管理:4点

コスト競争力(配点:10点)

  • 料金の透明性:4点
  • コストパフォーマンス:6点

セキュリティ体制(配点:5点)

  • 自社のセキュリティ実践:3点
  • データハンドリング手順:2点

評価グレード

  • A(優秀):85点以上
  • B(良好):75点以上84点以下
  • C(満足):65点以上74点以下
  • D(不十分):64点以下

3. ベンダー選定プロセス

フェーズ1:事前調査・候補選定

基本要件スクリーニング

  1. 医療業界経験3年以上の確認
  2. ISO27001認証の有無確認
  3. ペネトレーションテスト実施能力確認
  4. AWS専門知識の確認

財務安定性チェック

  1. 年間売上高1億円以上(最低基準)
  2. 過去3年間の財務健全性確認
  3. 適切な保険加入(賠償責任保険等)

レピュテーション確認

  1. 過去の重大セキュリティ事故の有無
  2. 顧客からの推薦状・評価
  3. 業界内での認知度・評価

フェーズ2:RFP(提案依頼書)作成・送付

RFPに含める項目

1. プロジェクト概要

  • 事業目標とセキュリティ要件
  • 評価スケジュールとタイムライン
  • 選定基準の明示
  • 成功指標の定義

2. 技術要件

  • AWS環境の詳細(対象サービス・リージョン)
  • マイクロサービス構成
  • 医療データの取り扱い要件
  • コンプライアンス要件(医療法、個人情報保護法)

3. 成果物要件

  • 経営陣向けエグゼクティブサマリー
  • 技術詳細報告書
  • 対策ロードマップ
  • ナレッジ移転セッション

4. ベンダー要件

  • 必須資格・認証
  • チーム構成・役割分担
  • 診断手法の説明
  • プロジェクト管理体制

5. 提案フォーマット

  • 技術アプローチの詳細
  • プロジェクトタイムライン
  • リソース配分計画
  • 詳細見積もり

フェーズ3:提案評価・ベンダー面接

書面評価(40点満点)

  • 技術アプローチの妥当性:15点
  • 医療業界理解度:10点
  • プロジェクト計画の実現性:10点
  • コスト合理性:5点

プレゼンテーション評価(30点満点)

  • 提案内容の説明力:10点
  • 質疑応答の適切性:10点
  • チームの専門性:10点

技術面接(30点満点)

  • HL7 FHIRベースAPIの脆弱性診断アプローチ
  • AWS環境での医療データ暗号化実装確認方法
  • 医療機関ネットワークに対するペネトレーションテストの制約事項
  • 個人情報保護法・医療法要件を満たす監査証跡確認方法
  • 重大脆弱性発見時のエスカレーション手順

最終選定・契約準備

選定基準

  • 総合評価70点以上を合格ライン
  • 医療業界専門性は必須要件(20点以上)
  • 技術的能力は必須要件(18点以上)
  • 複数社が合格基準を満たす場合はコスト・納期で最終判定

契約・法務要件

1. 機密保持・データ保護条項

データ分類と取り扱い

機密度レベル1(Critical):患者診療情報

  • 診療記録、処方箋データ、検査結果
  • 暗号化必須、アクセス制限、監査ログ記録
  • 日本国内での処理限定、クラウド処理条件付き許可

機密度レベル2(High):患者個人情報

  • 患者氏名、住所、電話番号、医師情報
  • 暗号化推奨、アクセス制限、利用目的限定

機密度レベル3(Medium):システム構成情報

  • API仕様、ネットワーク構成、セキュリティ設定
  • アクセス制限、業務範囲内利用

機密度レベル4(Low):一般技術情報

  • 公開されている技術仕様、一般的な設定情報
  • 適切な管理下での利用

データハンドリング要件

アクセス制限

  • バックグラウンドチェック済み担当者のみ
  • 最小必要権限の原則
  • 多要素認証の必須化

データ処理場所

  • 日本国内での処理を原則とする
  • 海外クラウド処理は事前承認制
  • 保存時・転送時暗号化の徹底

データ保持・削除ポリシー

  • 診断データ:プロジェクト完了後30日以内削除
  • 報告書:5年間保存(医療法準拠)
  • 作業ファイル:プロジェクト完了後即座削除

2. 賠償責任保険・補償条項

TBD

text
# 参考記載

**専門職業賠償責任保険**
- 最低補償額:5億円
- 対象:技術的過失による損害
- 適用範囲:データ損失、システム停止、情報漏洩

**サイバー保険**
- 最低補償額:10億円
- 対象:データ漏洩、サイバー攻撃による損害
- 適用範囲:第三者損害、復旧費用、法的費用

**一般賠償責任保険**
- 最低補償額:1億円
- 対象:一般的な業務上の損害

3. サービスレベル合意(SLA)

コミュニケーション要件

定期報告

  • 頻度:週次
  • 形式:書面レポート + 口頭説明
  • 参加者:CTO、セキュリティリード、医療情報管理責任者

エスカレーション手順

  • Critical発見事項:発見後2時間以内にCTO・CEOへ報告
  • High発見事項:発見後1営業日以内にセキュリティリードへ報告
  • 緊急時対応:一時的対策提案、詳細分析報告を含む

品質基準

偽陽性率

  • 最大許容値:10%
  • 測定方法:サンプル検証による確認
  • 改善措置:基準超過時の再テスト無償実施

報告書品質

  • エグゼクティブサマリー:非技術者理解可能
  • 技術詳細:再現手順・修正方法明記
  • コンプライアンス:関連法規制との対応表記載

プロジェクト納期

スケジュール遵守率

  • 目標:95%以上の工程遵守
  • 測定:マイルストーン達成率
  • ペナルティ:遅延時の損害金規定

成果物品質

  • 初回提出承認率:80%以上
  • 修正版提出:最大2回まで
  • 品質保証:ナレッジ移転セッション含む

4. 知的財産権・競合回避条項

成果物の権利

診断ツール・手法

  • FastDoctor開発ツール:利用許可のみ
  • ベンダー所有ツール:使用権のみ
  • プロジェクト専用スクリプト:共同所有

知識・ノウハウ共有

  • 診断手法の相互共有
  • 発見事項からの改善提案
  • 医療業界ベストプラクティス提供

競合回避規定

利益相反管理

  • 直接競合他社への同時サービス提供禁止
  • 利益相反関係の事前開示義務
  • プロジェクト情報の第三者提供禁止

機密保持期間

  • プロジェクト終了後N年間の機密保持
  • 元担当者の転職時守秘義務継続
  • 競合情報の意図的取得禁止

プロジェクト実施管理

1. キックオフ・プロジェクト開始

キックオフミーティング

開催概要

  • 所要時間合計:3時間
  • 参加者:
    • FastDoctor側:CTO、セキュリティリード、医療情報管理責任者、SREリード、法務代表
    • ベンダー側:プロジェクトマネージャー、主任セキュリティコンサルタント、ペネトレーションテスター、コンプライアンス専門家

議事次第

1. プロジェクト概要説明(30分)

  • 事業目標・背景
  • 技術的要件・制約事項
  • コンプライアンス要件
  • 成功指標・評価基準

2. 技術環境説明(60分)

  • システムアーキテクチャ概要
  • AWS環境構成ツアー
  • アプリケーションポートフォリオ紹介
  • データ分類・取り扱い方針

3. 診断手法確認(45分)

  • 診断メソドロジーレビュー
  • テストスケジュール調整
  • コミュニケーションプロトコル
  • エスカレーション手順確認

4. 運用セットアップ(30分)

  • アクセス権限設定
  • VPN・接続環境構築
  • コラボレーションツール設定
  • ドキュメント共有環境

5. リスク軽減策(15分)

  • 事業継続性計画
  • インシデント対応手順
  • データ保護措置
  • コミュニケーションガイドライン

環境準備・アクセス権限設定

読み取り専用アクセス

  • 対象:インフラ設定確認、ログ参照
  • 権限:CloudTrail参照、EC2・IAM・VPC情報取得
  • 制約:本番データアクセス禁止、変更操作禁止

限定テストアクセス

  • 対象:ステージング環境での制限的テスト
  • 権限:ステージング環境限定アクセス
  • 制約:本番環境完全分離、データマスキング必須

アプリケーション分析アクセス

  • 対象:ソースコード・設定ファイル分析
  • 権限:ソースコード参照、設定ファイル確認
  • 制約:機密情報マスキング、本番環境除外

監視・ログ設定

  • CloudWatchログによる活動記録
  • リアルタイムアラート設定
  • アクティビティダッシュボード構築
  • 異常検知ルール適用

2. 診断実施・進捗管理

週次進捗レビュー

第1週目標

  • インフラ偵察:80%完了
  • アプリケーション発見:60%完了
  • 初期脆弱性スキャン:40%完了

第2週目標

  • インフラ診断:90%完了
  • アプリケーションセキュリティテスト:70%完了
  • ペネトレーションテスト第1フェーズ:50%完了

第3週目標

  • ペネトレーションテスト第2フェーズ:80%完了
  • コンプライアンス監査:60%完了
  • 発見事項検証:40%完了

第4週目標

  • 報告書作成:70%完了
  • 対策計画策定:50%完了
  • ステークホルダーレビュー:30%完了

発見事項の優先度管理

Critical(緊急)

  • 患者データへの即座アクセス可能
  • 認証バイパスによる医師アカウント乗っ取り
  • 機密医療情報の外部流出可能性
  • 対応時間:発見後24時間以内

High(高)

  • XSSによる認証情報窃取
  • CSRFによる医療記録改ざん
  • 権限昇格による管理者権限取得
  • 対応時間:発見後1週間以内

Medium(中)

  • 技術情報の漏洩
  • セッション管理の不備
  • 入力値検証の不備
  • 対応時間:発見後1ヶ月以内

リアルタイム監視・アラート

監視対象

  • 複数回ログイン失敗(5回/5分)
  • 異常な患者データアクセス(100件/1時間)
  • 高CPU使用率(80%/10分継続)
  • データベース接続急増(通常の200%)

アラート対応

  • High レベル:即座通知、診断活動一時停止検討
  • Medium レベル:定時通知、状況監視継続
  • すべてのアラートはログ記録・分析対象

3. 成果物評価・品質保証

報告書品質チェックリスト

エグゼクティブサマリー

  • リスクレベルの明確記載
  • ビジネス影響の定量化
  • 優先度付き推奨事項
  • 法規制準拠状況

技術的発見事項

  • 再現可能な手順
  • 概念実証(PoC)の提供
  • リスク評価手法の説明
  • 偽陽性の検証・除外

対策ガイダンス

  • 具体的修正手順
  • 実装タイムライン提案
  • 修正後検証方法
  • コスト・効果分析

コンプライアンス対応

  • 関連法規制との対応表
  • 監査証跡活用方法
  • 継続監視推奨事項

対策計画の策定

緊急対応(24時間以内)

  • Critical レベル脆弱性
  • 一時的対策の実装
  • システム分離・アクセス制限

短期対応(1週間〜1ヶ月)

  • High・Medium レベル脆弱性
  • 恒久対策の実装
  • セキュリティ設定変更

長期改善(1〜3ヶ月)

  • Low レベル脆弱性
  • アーキテクチャ改善
  • セキュリティ文化向上

継続的改善

  • プロセス改善
  • 定期的再評価
  • 予防策実装

4. ベンダー関係管理

パフォーマンス評価

技術品質(25点満点)

  • 発見事項の正確性:6点
  • 分析の深さ:5点
  • 偽陽性率の低さ:4点
  • カバレッジの完全性:5点
  • 手法遵守度:5点

プロジェクト管理(25点満点)

  • スケジュール遵守:8点
  • コミュニケーション品質:6点
  • ステークホルダー管理:5点
  • 問題エスカレーション:6点

ビジネス価値(25点満点)

  • 実行可能な推奨事項:9点
  • リスク優先度付け:6点
  • コスト効果:5点
  • ナレッジ移転:5点

総合評価

  • 75点満点での評価
  • A評価:65点以上(継続パートナー推奨)
  • B評価:55-64点(条件付き継続)
  • C評価:45-54点(改善要求)
  • D評価:44点以下(契約見直し)

継続的パートナーシップ

年次パートナーレビュー

  • プロジェクト成功率85%以上
  • クライアント満足度8.0/10以上
  • 発見事項正確率90%以上
  • スケジュール遵守率95%以上

優遇パートナー制度

  • 緊急診断時の優先対応
  • 年間契約による価格優遇
  • 新サービス先行利用権
  • 共同事例発表・セミナー

パートナー要件

  • 競合制限(同業他社への同時サービス制限)
  • 能力維持(継続的スキル向上、認証維持)
  • 革新協力(共同での新手法開発)

関連ドキュメント

更新履歴

  • 2025-08-19: 初版作成
  • 定期見直し: 年次

承認者: CTO、調達部門、法務チーム、セキュリティチーム
次回見直し予定: 20XX-XX-XX