熱きCIOと、そこに集った志士たち 総力で「AWS All in」を目指す ―生活協同組合コープさっぽろ

「うちは超レガシーだから」――。そんなセリフを口にして、クラウド移行を先送りにしているCIOは少なくない。だが、同様の状況から先進的なアマゾン ウェブ サービス(AWS)環境への大規模移行に挑んでいる組織が存在する。それがコープさっぽろだ。目指すのは、約650のサーバー上で動く約190システムをすべてAWS化する「AWS All in」。その取り組み内容を紹介する。

レガシーシステムをAWSに全移行し、ネットワークもシンプル化

生活協同組合コープさっぽろ デジタル推進本部システム部 インフラチームリーダー 若松 剛志氏
生活協同組合コープさっぽろ
デジタル推進本部システム部
インフラチームリーダー
若松 剛志

「人と人をつなぐ」「人と食をつなぐ」「人と未来をつなぐ」。この「3つのつなぐ」をビジョンに掲げ、スーパーと宅配サービスを軸とした多様な事業を展開する生活共同組合コープさっぽろ(以下、コープさっぽろ)。事業を支えるシステムについて、同組織の若松 剛志氏は次のように語る。

「元々はかなりレガシーなシステムで、古いOSが数多く動いていました。組織が縦割りだったため、基盤も乱立。当然のようにネットワークも複雑化していました。およそ190ものシステムが、約650台のサーバー上で動いていたのです」

既に一部のシステムはAWS上で運用されていたものの、中核となるオンプレミスのシステムは3つのデータセンターで稼働し、ルーターがコープさっぽろの本部内にある構造。設置された巨大なルーターにインターネットやデータセンター、工場、店舗がすべて接続されているという、「柔軟性に欠ける、今考えると恐ろしい状況」(若松氏)だったという。このままシステムを運用し続けていけば、システムの存在が負債となり、ビジネスを圧迫してしまう。どうにかして脱却することが、全組織の重要課題になっていた。

では実際にどうするか。コープさっぽろが出した答えは「すべてAWSに移行する(AWS All in)」だった。具体的には、図1右側のようなシステム構成を最終ゴールとして目指すことにしたのだ。

図1 現状のシステム構成と、目指すシステム構成

図1 現状のシステム構成と、目指すシステム構成

本部を中心とした構造を脱却し、すべてをAWS上で動かす「AWS All in」を目指す。あらゆる場所からインターネット経由でアクセス可能にする

[画像のクリックで拡大表示]

この意思決定の背景には、コープさっぽろ CDO(最高デジタル責任者)の対馬 慶貞氏、そしてCIO(最高情報責任者)の長谷川 秀樹氏の存在があった。特に長谷川氏は、東急ハンズやメルカリでCIOを務め、小売業のDXを知り尽くした人物。その彼がAWS All inの方針を決め、全体に発信し続けたという。

コープさっぽろ CIOの長谷川 秀樹氏(左)とCDOの対馬 慶貞氏(右)

コープさっぽろ CIOの長谷川 秀樹氏(左)とCDOの対馬 慶貞氏(右)

このリーダーの存在が、その後コープさっぽろに多くの優れたAWSエンジニアを引き寄せる要因にもなった。実際、若松氏自身も取り組みに惹かれて入協したエンジニアの1人。過去にはAWS認定をすべて取得し、12冠を達成。2019年と2020年には「APN AWS Top Engineers※1」に選ばれた敏腕エンジニアである。2020年の入協後、今では本組織の取り組みに欠かせないエンジニアの1人となっている。

「全部コピーせよ」の号令のもとリフトtoシフトを推進

また、クラウド移行の成否を分けるポイントになるのが事前の計画だ。コープさっぽろはどのように進めたのか。

「まず行ったのはアカウント設計です。『AWS Organizations』をどう設計するのか、ID管理やログイン管理をどうするのか、ポリシーに違反しているリソースをどう検出するかなどを最初の段階から決めておきます。これを後から行うのは非常に困難なので、始めから複数アカウントを運用する前提で全体を設計すべきと考えました」(若松氏)

ネットワーク構成の検討も重要視した。これについてコープさっぽろは、AWSアカウントの間は「AWS Transit Gateway」、AWSとオンプレミスの間は「AWS Direct Connect」を採用して接続することにした。

また、オンプレミスからの移行に関する基本的な考え方は、長谷川氏が明確に示したという。

「『既存システムの中身を完璧に理解することなど不可能なのだから、全部コピーしてしまえ』というのが長谷川の考え方です。まずV2V(仮想環境から仮想環境)/P2V(物理環境から仮想環境)でAWSにコピーし、そのあとAWSの世界の中でどうするかを考える。いわゆるリフト&シフトではなく、リフトtoシフトですね。当組合のような複雑化したレガシーシステムにおいて、これは理にかなったアプローチだと感じました」と若松氏は述べる。

V2V/P2Vのツールは、「AWS Server Migration Service」と「AWS CloudEndure Migration」という2つの選択肢から後者を選択。主な理由は、①ダウンタイムが少ない ②AWS Direct Connect経由での移行が可能 ③帯域制限が可能 ④「Amazon Virtual Private Cloud(Amazon VPC)」に直接コピー可能、の4つだ。また、使用に際して「Amazon Simple Storage Service (Amazon S3)」の利用が必須ではないことも後押しになったという。

さらに、既存システムはWindowsサーバーが多く、Active Directory(AD)が使われていた。そのためADも一緒にAWSへ移行することを決めた。ここで利用することにしたのが「AWS Directory Service for Microsoft Active Directory」だ。これにより、OSレイヤーを意識することなく、マネージドサービスとしてADを運用できるようになる。

「諸々の計画と準備を済ませたら、あとはひたすらコピーするだけです。もちろん、OSが古くてCloudEndure Migrationが導入できない、DBライセンスをどうするか、クラスタが組まれているためまずは解除が必要、といった問題は起こりました。このような問題はパターンごとに整理して対応しながら、全コピーの完遂を目指しているところです」と若松氏は現状について話す。

AWS上で稼働中のシステムのリファクタリングも実施

生活協同組合コープさっぽろ デジタル推進本部システム部 インフラチーム 山﨑 奈緒美氏
生活協同組合コープさっぽろ
デジタル推進本部システム部
インフラチーム
山﨑 奈緒美

加えて、コープさっぽろは、ここまで紹介したプロジェクトと並行して、既にAWS上で運用されていたシステムの内部構造を整理するリファクタリングにも取り組んでいる。それが、コープさっぽろが顧客向けに展開する宅配サイトのインフラに関する取り組みだ。

以前はオンプレミスで稼働していたが、既にAWS環境で稼働していたスマホアプリのバックエンド環境に相乗りする形でサーバーレス構成のフロントエンドを実装し、わずか4カ月でサイトリニューアルした。これが「トドックサイト」である。

「しかし、短期間でリニューアルしたものの、本番・検証・開発環境が同一のためオペレーションミスが発生しやすい、アカウントがAWS Organizationsに入っていないためリソース共有などの制約がある、データセンターとVPN接続をしている、スケールしにくいとった新たな課題が見えてきたのです」。そう語るのはコープさっぽろの山﨑 奈緒美氏である。山﨑氏は、AWSのユーザー会JAWS-UGで「AWS Samurai※2 2015」に選ばれたエンジニアだ。

コープさっぽろは、これらの課題を解決するため、まずアカウントの分離を行った。本番・検証・開発環境を分離したほか、機能ごとの分離も行い、すべてAWS Organizationsへ組み込んだ。さらにデータセンターとの通信手段は、VPNからAWS Transit GatewayとAWS Direct Connectへと変更。インスタンスの最適化、スケールイン/アウトの自動化も図り、サイトへの急なアクセス増にも対応しやすい仕組みを構築したという。

「トドックサイトは今後も継続的に機能強化を続けていきます。そのため、予期できる問題への対応方針はあらかじめ決めました。例えばコンピュートリソースについては、まず『AWS Lambda』で出来るかを検討。ダメならコンテナ、Amazon EC2の順に検討します。またDBについても、検討するAWSサービスの順を決めておき、速やかに対応できるようにしています」と山﨑氏は話す(図2)。

図2 サービス選定時の検討方針を事前に決定

図2 サービス選定時の検討方針を事前に決定

検討すべきAWSのサービスや手法をあらかじめ決めておくことで、意思決定の迅速化を図っている。基本方針は「スケールしやすいものを選ぶ」ことだという

[画像のクリックで拡大表示]

このように、AWSの全方位的かつ徹底的な活用が進められているコープさっぽろ。だが本組織は、これは決して特別なことではないと位置づけている。

「私たちの取り組みを見た方の中には、『長谷川さんがいたからできたのでは』とおっしゃる方もいます。しかし、そんなことはありません。もちろんキーパーソンは重要ですが、エンジニア一人ひとりが情熱をもって取り組めば、どんな会社でも同様のことは実現できると思います」と山﨑氏は強調する。事業会社こそAWSスペシャリストを積極的に採用すべきであり、そうすることで、最新のビジネスをドライブできるAWS上で稼働するシステムを、情報システム部門主導で具現化できるようになるという。

コープさっぽろの事例は、これから企業が目指すべきクラウド活用の、1つの理想形といえるだろう。AWS All inの実現と、その先の取り組みにも注目したい。

※1
AWSの各種認定を保有する技術者の中でも、AWSジャパンから技術力や実ビジネスでの実績などを評価されたAWSパートナー企業に所属する個人を表彰するプログラム
※2
JAWS-UGの活動への卓越した貢献、JAWS-UGやAWSクラウドの認知度の向上に寄与した人を表彰する制度

AWSで情報教育サービスを展開 「学び」に集中できる仕組みを追求 ―ライフイズテック

2020年に小学校で必修化され、2021年には中学校の技術・家庭科での充実が図られているプログラミング教育。今後は高校での必修化、大学入試への情報科目の追加も予定されているなど、今、日本のIT教育は大きな転換期を迎えている。この状況への対応を進める教育現場を、多様なITサービスで支援するのがライフイズテックだ。中学校、高校向けのプログラミング学習教材「ライフイズテック レッスン」の導入や、先生向け研修を含めた活用支援を行っている。アマゾン ウェブ サービス(AWS)を用いた最新の学習環境とそのメリットとは。

プログラミング教育の推進に当たり、情報セキュリティが課題に

ライフイズテック株式会社 サービス開発本部 チーフテクノロジスト サービス開発本部長 奥苑 佑治氏
ライフイズテック株式会社
サービス開発本部
チーフテクノロジスト
サービス開発本部長
奥苑 佑治

ものごとを順序立てて考え、試行錯誤して解決につなげる「プログラミング思考」は、これからの社会を生き抜く上で欠かせないスキルの1つといえるだろう。その習得を促進するため、国が推し進めているのがプログラミング教育の拡充だ。2020年に小学校での必修化がスタートし、その後中学校、高校、大学へと広がりを見せている。

ただ、こと公立学校においては、これが悩みの種にもなりつつあるという。中高生向けのITプログラミングキャンプ、オンライン学習サービスなどで多くの提供実績を持つライフイズテックの奥苑 佑治氏は次のように語る。「プログラミング教育は、システムを導入すれば実現できるというものではありません。中でも課題になっているのは、生徒の個人情報などを守るための情報セキュリティをどう担保するかです」。

参考にすべきガイドラインは存在するが、2019年12月には「情報教育セキュリティポリシーに関するガイドライン」が改定。旧版ではガイドライン記載の具体的な対策例を一言一句遵守することが目的化してしまった結果、クラウド活用などの急速な技術的進展に対応できず、IT利活用に硬直性が生じるという弊害が生じていた。このため改訂版では、具体的な対策基準の例はあくまで「参考資料」と位置付けられた。その上で、各教育委員会においてセキュリティポリシーを策定・改訂するに当たっては、現場の実態を踏まえ、参考資料はあくまで参考としつつ、関係者と十分に議論を行って柔軟に対応していくことが求められることとなった。

プログラミング教育は、教職員側の経験がまだ十分ではないこともあり、外部事業者のスキルやサービスに大きく依存する傾向がある。つまり、ライフイズテックのような事業者側からみれば、自治体ごとに異なるポリシーに素早く・的確に対応し、最適なサービスを提供するための体制を整えることが必須になっていたのだ。

「そこで当社は、基本となるセキュリティポリシーや対策内容を明確化し、自治体に説明可能な状態にしておくことが重要だと考えました。方向性は大きく3つ。組織的・人的脆弱性のリスクに備える『組織的対策』、データ破壊や不正アクセスに対応する『物理的対策』、インターネットアクセス、生徒の情報アクセス、外部への情報資産持ち出しなどのリスクに備える『技術的対策』です。これらを満たし、セキュアなサービス運用を具現化する環境として、当社はAWSをサービス基盤に採用しています」と奥苑氏は説明する。

AWSの多様なサービスを駆使し、生徒が授業に集中できる環境を実現

AWSは、同社が学校向けシステムに求めるセキュリティ要件を総合的に満たしていたという。

ホストオペレーティングシステムと仮想化レイヤーから、サービスが運用されている施設の物理的なセキュリティに至るまでの要素をAWSが運用、管理、および制御し、ゲストオペレーティングシステム (更新とセキュリティパッチを含む)、そのほかの関連アプリケーションソフトウエア、および AWS が提供するセキュリティグループファイアウォールの設定に対する責任と管理をユーザーが担う。この「責任共有モデル」(図1)により、対策実施のフォーカスポイントを絞りこむことができ、負荷を削減できると考えた。「また、AWSでは、マネージメントコンソール上でAWS カスタマーアグリーメントの変更契約締結が行えるため、準拠法を日本法に変更し、さらに、同契約に関するあらゆる紛争に関する第一審裁判所を東京地方裁判所に変更することもできます。この点も高く評価しました」と奥苑氏は付け加える。

図1 責任共有モデル

図1 責任共有モデル

AWSとユーザー、それぞれの受け持つ責任範囲が明確化されている。これにより、ユーザーは管理のためのリソースの最適化を図りつつ、高度な運用が実現しやすくなる

[画像のクリックで拡大表示]

さらに、同社がAWSを評価するもう1つの理由が、プログラミング教育とAWSの親和性の高さだ。

例えば、情報の授業を実施するための環境でまず意識する必要があるのが、各生徒のカリキュラムの進め方には「一定の決まりがある」ということである。1コマ目でシステムの基本操作の習得、2コマ目で動作環境のセットアップ、3コマ目でプログラミング授業、4コマ目でアプリケーション完成という授業があった場合、2コマ目のセットアップでつまずいてしまうと、その後のプロセスがすべて遅れてしまう。サービス提供事業者は、この問題を技術的に解決しておく必要がある。

「この問題は、各個人に個別のシステム環境をあらかじめ割り当てておくことで解決できます。そこで当社は、動作環境がセットアップ済みである統合開発環境『Cloud9』を用意。『Amazon Relational Database Service(Amazon RDS)』で、授業に必要なデータセットが入ったデータベースも構築しました。さらに、カスタムラベルがプリセットされた機械学習環境も『Amazon Rekognition』で用意しています」と奥苑氏は説明する。

同時に、外部サービスを組み合わせた「ID Federation」によって、各環境へのシングルサインオンを実現(図2)。これにより、Cloud9の機能で、ソースコードの編集が行えるエディタ、データベース、機械学習環境といったそれぞれの環境に生徒がログインする際の手間を省き、授業に集中できるようにしているという。

図2 各サービスへのシングルサインオンのイメージ

図2 各サービスへのシングルサインオンのイメージ

「AWS Identity and Access Management」のアカウントと認証アカウントをシングルサインオン可能にすることで、生徒は AWS マネージメントコンソールを介さずにWeb教材へのアクセスと同じアカウントで AWS 内の技術アセットへアクセスできるようにしている(図中赤矢印)

[画像のクリックで拡大表示]

また、同社自身が継続的にサービスを提供する上では、AWSの利用コストをなるべく抑えることも重要だ。これについては、コンピュートやストレージなどのリソースを自動で最適化する仕組みを構築しているという。

「高度な学習環境を提供しようとすればするほど、どうしてもコストは膨らみます。そこで、なるべく無駄なコストを発生させないよう、一定時間使われなかったリソースを自動的に解放する仕組みを構築しています。データは事前にスナップショットで残しておき、再び環境が必要になったときに自動的にリソースを調達してデータを戻します。これにより、生徒がいつでも必要な環境にアクセスできる状態を、省コストで提供できるようにしています」と奥苑氏は話す(図3)。

図3 AWSのリソース使用を自動で最適化

図3 AWSのリソース使用を自動で最適化

この仕組みによって、高度な学習環境を省コストで継続的に提供できるようにしている。クラウドならではの特性を生かしたものといえるだろう

[画像のクリックで拡大表示]

学習環境を用いて、生徒自らがAIサービスを開発した例も

高度なデジタル環境を整え、学び方のDXを図る――。ライフイズテックが推進するような取り組みによって、現在の教育現場、教育体験は大きく変化しつつある。

「クラウド上で常に最新、最適な教材が用意できれば、学びは高度化できるでしょう。ただ、それだけでは不十分だと私たちは考えています。教材に加え、学びに必要な『準備』も、サービスの中で完結していることが重要だからです。つまり、本質的には学びと無関係な『ログイン』『セットアップ』『教材の準備』などのプロセスをサービス側で担って初めて、先生・生徒は、本来の目的である学びにフォーカスできるのです」と奥苑氏。ここまで紹介したようなライフイズテックのサービスは、まさしくこれを体現したものといえるだろう。

既に、生徒の学びにも多くの成果が出ている。一例が、教材として提供している「AI笑顔判定」だ。このシステムでは、Amazon Rekognitionを利用し、画像データから顔を抽出した上で、「笑顔度」を定量的に判定して表示できる。機械学習を実現するための仕組みをことさら意識しなくても、直感的に扱える環境を用意することで、生徒自身がアイデアを素早くかたちにし、“AI企画力”を身に付けられるようにと考案されたものだ。

「これからも、多様な言語、多様なライブラリ、多様なPaaSに対して、準備も含めたシームレスな教育・学習環境を提供していきます。そうすることで、先生・生徒にはできるだけ学びにフォーカスしてもらい、大きな成果につなげてもらいたい。これが私たちのミッションであり、目指している世界なのです」(奥苑氏)

目指すのは自律的な知識の獲得 がんゲノム解析で進むAWS活用 ―国立がん研究センター

日本人の2人に1人がなるといわれる、がん。より効果的な治療方法を探る上で、不可欠なものとなっているのがクラウドテクノロジーだ。強力なコンピュートリソースや、データ分析機能を駆使することで、がんの発生要因となるゲノム変異を探索する。アマゾン ウェブ サービス(AWS)を活用し、そのための取り組みを展開する国立がん研究センターの活動と、ここまでの成果について紹介する。

先進テクノロジーを駆使し、世界中で進むゲノム解析

国立がん研究センター 研究所 ゲノム解析基盤開発分野 分野長 白石 友一氏
国立がん研究センター
研究所 ゲノム解析基盤開発分野
分野長
白石 友一

がんは日本人の国民病といわれる。これはゲノム変異によって生じることが分かっており、予防や治療の方法を探る上でゲノム解析がカギになるということも広く知られるようになってきた。これについて、国立がん研究センター 研究所の白石 友一氏は次のように語る。

「ゲノムとはDNAの文字列で表される遺伝情報のことで、いわば“細胞の設計図”です。生まれたときは、我々の体のどの細胞も同じゲノムを有していますが、年を重ねるにつれ、放射線やウイルスなどの影響による変異が蓄積してきます。この変異のほとんどは無害なのですが、ゲノムの特別な場所に入ってしまうと、がん細胞を生じさせる要因になります。そのため、がんのゲノムのどこに変異があるかを調べることで『がんの原因となる遺伝子』が分かること、さらにはがんの治療や予防につながることが大きく期待されています」

がんのゲノムを網羅的に調べることの重要性はずいぶん昔から提唱されてきたが、当時は技術が未発達だったため現実的ではなかった。しかし、この30年ほどでゲノムを読み取るシークエンス技術は目覚ましく進化。かつては、ヒト一人分のゲノム情報を決定するだけでも国際的な一大プロジェクトであったが(国際ヒトゲノム計画)、最近は数万~数十万人規模のデータのシークエンス解析プロジェクトも珍しくない時代になっている。さらに研究のみならず、患者個人のゲノムに生じている遺伝子異常を網羅的に調べて、オーダーメイドの治療を行う「がんゲノム医療」の実装も進んでいる。

「この流れはどんどん加速しています。例えば、世界最多クラスのゲノム情報を持つ英国政府下のGenomics England社は、2018年時点では500万人規模の全ゲノムを解析する計画を標榜していました。また日本の厚生労働省も10万人規模の患者の全遺伝子情報を網羅的に調べる計画を発表しています」と白石氏は紹介する。

引用元 https://www.genomicsengland.co.uk/matt-hancock-announces-5-million-genomes-within-five-years/

クラウドは今やゲノム研究の現場にとって欠かせないものに

ゲノム変異を見つけるためのシークエンスデータ解析には、強力な処理能力を備えたコンピューティング環境が必須になる。また、膨大なデータを蓄積・共有するには、多くのストレージリソースを柔軟に利用できる基盤も必要だ。

そこで国内外で活用が進んでいるのがクラウドである。特に、クラウド上でデータを共有するモデルは期待を集めている。これまでのデータ共有モデルでは、シークエンスデータを自らの環境にダウンロードして解析を行う必要があった。しかし、データの規模の膨張が進む中で、ユーザー側でデータを蓄積することが不可能になりつつあり、このモデルは破綻しつつある。

そこで、解析環境を備えたクラウド上でデータを共有することで、ユーザーはデータをダウンロードすることなしに、解析可能となるモデルの実装が各地で進みつつある。「このようなアプローチは“Data Visiting”とも呼ばれています。このフレームワークによって高い処理能力を備えたマシンを保有していない小規模研究室でも、大規模なゲノム解析を行いやすくなり、ゲノム解析の裾野が広げられることが理想的な未来型です」と白石氏は説明する。

2020年度に国立がん研究センターは、AMED(国立研究開発法人日本医療研究開発機構)の支援のもと、約3,000人分の遺伝性腫瘍の疑いがある患者の全ゲノムを解析するプロジェクトに取り組んだ。このプロジェクトの目的は、未知のがん遺伝子やゲノム変異の発見すること、そして全ゲノムデータを使った新しい患者還元の形を模索することなどが挙げられる。

実現に向けては、高度なデータ解析を支える情報基盤を用意する必要があった。同センターが掲げた要件は、「①短期間で環境構築・運用が可能であること」「②低コストであること」「③セキュリティガイドラインを遵守できること」の3つだ。これを満たす環境として、採用したのがAWSである。ポイントを順に見ていこう。

AWSならインフラを短期間で構築でき、解析コストも最適化できる

①短期間での構築・運用が可能であること

単年度の研究プロジェクトであったために、短期間でのインフラ構築が可能であることが不可欠だった。AWSの様々なマネージドサービスをフル活用することで、図1のような体制/プロセスを構築し、解析を実施したという。

図1 「遺伝性腫瘍疑いの患者の全ゲノム解析」に向けて構築されたシステムのイメージ

図1 「遺伝性腫瘍疑いの患者の全ゲノム解析」に向けて構築されたシステムのイメージ

短期間で解析インフラを構築し運用するため、インフラ基盤にAWSを積極的に活用した

[画像のクリックで拡大表示]

まず、国立がん研究センターで取得した検体試料を外部の委託会社に輸送し、ゲノムの塩基配列を決定するシークエンスを行う。結果は、「AWS Direct Connect」経由で、その委託会社のアカウント内にある「Amazon Simple Storage Service(Amazon S3)」に格納。次に、クロスアカウントレプリケーションによって国立がん研究センターのアカウントにあるAmazon S3へ転送し、ここでゲノム変異の網羅的な検出などの解析処理を実行する。「解析の結果はオンプレミス環境に送られ、さらなる関連解析にかけられます」と白石氏は紹介する。

②低コストであること

大量のコンピューティングリソースが必要になる解析作業を、なるべく安価に行う必要があった。解析プロセスは複数の処理工程・モジュールからなっている。そこで同センターは、各モジュールをDockerコンテナ上のバッチ処理として実装。1つのモジュールにおける処理が終わった段階で計算リソースを解放すること、モジュールの処理内容に応じて最適なインスタンスを利用できるようにすることでAWS利用料の削減を図った。また、各処理を短時間で集中的に実行することで、安価なスポットインスタンス※1も積極的に利用できるようにしている。

「上記のアイディアを実装するために、AWSに特化した自前のバッチジョブエンジンも構築しました。サーバーレスアーキテクチャ※2によって手作業でのジョブ実行の制御プロセスを不要にし、スポットインスタンスのインスタンスタイプやアベイラビリティゾーン※3も自動選択されるようにしています。またジョブの異常終了時には、アラート通知がSlackの専用のチャンネルに送付されます」と白石氏は説明する。

様々なセキュリティ上のガイドラインを遵守して運用

③セキュリティガイドラインを遵守できること

ゲノムデータは個人情報に当たり、解析を行うシステムは、セキュリティに十分な配慮をすることが必要になる。客観的な見地から、所属期間のセキュリティ運用規定に加え、厚生労働省が策定している「医療情報システムの安全管理に関するガイドライン」など、各種ガイドラインに適合することを重視した。一方で、このプロジェクトはコロナ禍の真っ只中で進められ、テレワークを前提とした運用環境の整備も必要であった。そこで構築した運用フローの概要が図2である。

図2 セキュリティガイドラインを遵守するために作られた運用アーキテクチャ

図2 セキュリティガイドラインを遵守するために作られた運用アーキテクチャ

テレワークで処理を行う運用者は、VDI経由で解析環境を利用すると共に、個人情報であるゲノム情報にはアクセスできないようになっている

[画像のクリックで拡大表示]

自宅などのテレワーク環境から、患者の個人情報であるゲノムデータを閲覧できるようにするには、セキュリティやガイドラインなどの観点から一定の障壁がある。そこで、扱うデータをセキュリティのレベルに合わせて分類し、アクセス元ごとにアクセス可能なデータを整理した。例えば、テレワーク環境からは、解析実行準備と各種ログ確認は可能であるが、ゲノム情報の中身自体にはアクセスできないように設定し、運用を進めた。解析処理上、何らかの問題が生じた場合は、職場に出勤しているメンバーが実際のデータの中身の確認を含めて対応するという形をとった。このような作業手順を確立することで、ガイドラインを可能な限り遵守した形での運用を行ったという。

「今回はデータを処理するための基盤を中心に構築しましたが、さらにシステムを発展させることで、クラウド上で患者のレポートを生成することや、解析結果のまとめをWeb上で閲覧できるポータルサイトを構築したりすることは近い将来に達成できると考えています。また、ゆくゆくはクラウド上に蓄積されたゲノム情報に臨床情報を加味して、自律的に知識が蓄積されていくシステムを実現したいと思います。他にもAWSは無限の可能性を秘めていると考えています」と白石氏は期待を込める。

AWSの多彩なサービス/機能を組み合わせることで、高度なゲノム解析を具現化した国立がん研究センター。常にアップデートされ続けるクラウドテクノロジーが、がんの新たな治療法や、これまでにない知見の発見、人びとの健康的な暮らしの実現に貢献している。

※1
AWSのサーバー上の未使用リソースの一部を利用できるオプションアイテム
※2
インフラストラクチャを管理する必要なく、アプリケーションとサービスを構築、実行する方法
※3
データセンターの集積の中で運営されている各個別データセンター
お問い合わせ

公共機関における AWS 導入のためのお役立ちサイト
https://aws.amazon.com/jp/government-education/worldwide/japan/

お問い合わせはこちら
https://pages.awscloud.com/Public-Sector-Contact-Us.html?Languages=Japanese&trkCampaign=ps&trk=2021jpsumad