リファレンスデプロイ

AWS での HITRUST

HITRUST コンプライアンスプログラムへの対応をサポートするクラウドアーキテクチャをデプロイする

デプロイガイドを表示する
セキュリティコントロールマトリックスを表示する

このクイックスタートは、Health Information Trust Alliance 共通セキュリティフレームワーク (HITRUST-CSF) に関連するワークロードを持つ組織を支援できるモデル環境を、アマゾン ウェブ サービス (AWS) クラウドにデプロイします。そのアーキテクチャは、HITRUST コントロールによって課される特定の技術要件に対応しています。

クイックスタートには、組織のより大規模の HITRUST プログラムに適合するベースラインアーキテクチャの構築を自動化する AWS CloudFormation テンプレートが含まれています。 これにはセキュリティ統制のリファレンスも含まれています。これは、HITRUST 統制アーキテクチャの決定、機能、およびベースラインの設定をマッピングします。

AWS のサービスの一部は、HITRUST CSF アシュアランスプログラムに従って認定 HITRUST CSF 評価機関による評価を受け、HITRUST CSF v9.1 認定基準への適合が認められています。このアーキテクチャのみをデプロイした場合は、HITRUST の認証が保証されないことにご注意ください。このアーキテクチャは、お客様の組織でより広範囲の HITRUST プログラムに適用できるように設計されています。

このクイックスタートは、HITRUST ワークロードを AWS クラウドに実装または拡張することを計画しているヘルス IT インフラストラクチャアーキテクト、管理者、コンプライアンスプロフェッショナル、DevOps プロフェッショナル向けです。これは、セキュリティに重点を置いたアーキテクチャソリューションを提供する、一連の AWS コンプライアンス製品の 1 つです。マネージドサービスプロバイダー (MSP)、クラウドプロビジョンチーム、デベロッパー、インテグレーター、情報セキュリティチームが厳格なセキュリティ、コンプライアンス、リスク管理のコントロールを順守するのに役立ちます。このカテゴリのその他のクイックスタートについては、クイックスタートカタログをご参照ください。

このクイックスタートのデプロイに際しては、組織における法律、認定、ポリシー、その他の規制に対するコンプライアンスは保証されません。

このクイックスタートは AWS によって開発されました。

  •  構築するもの

  • このクイックスタートを使用して、AWS に以下の環境を自動的にセットアップします。

    • 2 つのアベイラビリティーゾーンにまたがる可用性の高いアーキテクチャ。
    • AWS のベストプラクティスに基づいてパブリックおよびプライベートサブネットが設定された、管理用 Virtual Private Cloud (VPC) と実稼働用 VPC 。AWS で独自の仮想ネットワークを実現します。管理用および実稼働用の VPC は利用可能な VPC ピアリングを備えます。
    • パブリックサブネット内:
      • マネージド Network Address Translation (NAT) ゲートウェイ。プライベートサブネット内のリソースへのアウトバウンドのインターネットアクセスを提供します。
      • 管理用 VPC 内では、Auto Scaling グループに含まれる Linux 踏み台ホストが、プライベートサブネット内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへのインバウンドの Secure Shell (SSH) アクセスを可能にします。
    • サンプルアプリケーションスタックで使用される、 EC2 インスタンス用の標準 Amazon Virtual Private Cloud (Amazon VPC) セキュリティグループとロードバランサー。セキュリティグループが、必要性のあるアクセスだけに制限し、暗号化されていないトラフィック (たとえば、HTTP port 80) をブロックします。
    • 暗号化されたログコンテンツ用の Amazon Simple Storage Service (Amazon S3) バケット。
    • 実稼働用 VPC ー プライベートサブネット内
      • セカンドプライベートサブネット内の、暗号化された Multi-AZ Amazon Relational Database Service (Amazon RDS) MySQL データベースとスタンバイインスタンス。
      • Auto Scaling と Elastic Load Balancing を使用し、編集や (WordPress のような) お客様のアプリケーション を使ったブートストラップも可能な 3 階層の Linux ウェブアプリケーション。 
    • Secure Sockets Layer (SSL) 証明書。ロードバランサーの AWS Certificate Manager (ACM) で管理され、インターネットとロードバランサー間のすべてのトラフィックを暗号化します。個別の自己署名証明書は EC2 インスタンスで生成され、ロードバランサーと アプリケーションインスタンス間のトラフィックを暗号化します。
    • デプロイ構成を監視するための AWS Config ルール。構成レコーダーを作成せずにチャネルを配信している場合、クイックスタートでこれらも作成されます。
    • Amazon Route 53 レコードセット。完全修飾ドメイン名 (FQDN) をロードバランサーのドメインネームシステム (DNS) にマッピングします。
    • AWS CloudTrail、Amazon CloudWatch、AWS Config のルールを使用したログ記録、モニタリング、およびアラート。
  •  デプロイ方法

  • AWS アカウントで HITRUST 環境をデプロイするには、デプロイガイドの指示に沿ってください。デプロイプロセスには約 30 分かかり、次のステップが含まれます。

    1. https://aws.amazon.com に自分の AWS アカウントでサインインします。
    2. クイックスタートを起動します。 
    3. クイックスタートで構築された WordPress サイトに接続してデプロイ環境をテストします。

    Amazon は、本ソリューションで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。  

    デプロイガイドで詳細を見る
  •  コストとライセンス

  • このクイックスタートリファレンスデプロイの実行中に使用した AWS のサービスおよびサードパーティーライセンスのコストは、お客様のご負担となります。クイックスタートを使用しても追加コストは発生しません。 

    このクイックスタートの AWS CloudFormation テンプレートには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプやストレージなどの設定の一部は、デプロイにかかるコストに影響を与えます。コストの見積もりについては、使用する AWS の各サービスの料金ページをご覧ください。

    ヒント: クイックスタートをデプロイした後、 AWS Cost and Usage Report を作成して、クイックスタートに関連するコストを追跡します。これらのレポートは、お客様のアカウントでの Amazon Simple Storage Service (Amazon S3) バケットへの請求メトリクスを提供します。毎月の使用量に基づいてコストを見積もり、月末のデータを集計します。レポートの詳細については、 AWS Cost and Usage Report とはを参照してください。