バイオインフォマティクスの再発明

私たちは、今日のゲノミクス産業の絶えず変化するニーズに対応するために、バイオインフォマティクスをゼロから再発明しています。次世代シーケンシング (NGS) および最先端の Software-as-as-Service (SaaS) アーキテクチャに関する当社の専門知識は、科学的洞察を得るまでの時間を短縮するだけでなく、ゲノミクスが命を救う研究を支える方法も変革しています。

• 私たちのビジョン: すべてのライフサイエンスの専門家が科学者になり、すべての科学者が専門家になるよう支援することで、ゲノム データの可能性を解き放つこと。より多くの人々がゲノムデータの意味を理解できるようにすることで、私たちはコミュニティとして科学的な進歩をさらに加速することができます。
• 当社のプラットフォーム: Nkarta Therapeutics や Arima Genomics などの世界有数のバイオ医薬品およびゲノム技術のスタートアップ企業だけでなく、Vitrolife やTakara Bio などの大規模なライフサイエンス企業も支援しています。同様に、ハーバード大学、MD アンダーソン大学、イェール大学などの学術医療センターにおける世界クラスの研究もサポートしています。

Basepair プラットフォームの中核は、研究者や臨床医に健康と病気の根本的なメカニズムを理解するための強力な方法を提供します。しかし、ゲノム データの価値と機密性は非常に個人的なものであるため、高度なセキュリティ手順で保護する必要があります。当社は、業界のほとんどの企業と一線を画す高度なデータ ガバナンスとセキュリティ戦略を開発し、お客様に高レベルのセキュリティとデータ プライバシーを保証します。このホワイトペーパーでは、Basepair がソフトウェア開発に対する多層的なセキュリティバイデザインアプローチを使用してゲノムデータをどのように保護するかに焦点を当てています。

プラットフォーム内のデータフロー

データガバナンスに対する当社のアプローチを理解するには、まずプラットフォームがゲノムデータにどのようにアクセスして分析するかを理解することが重要です。

従来の商用データの共有および分析のアプローチには、ホストされたバイオインフォマティクス製品の集中環境への機密データの移動が含まれます。ただし、これらのアプローチでは、多くの場合、過度に機能的なユーザーインターフェースが提供され、コスト効率よく拡張できず、最も重要なことに、データを移動するたびにデータ セキュリティが危険にさらされます。究極のセキュリティを実現するには、データを顧客が直接制御できる範囲内に留めておく必要があります。 Basepair では、その自由を提供します。

お客様が独自のクラウドアカウント内で必要とするコンピューティングリソースとストレージリソースを活用できるように、お客様の設定を構成できます。このアーキテクチャにより、データと分析アルゴリズムの両方が安全なクラウド環境の境界とセキュリティ ファイアウォール内に安全に保持されます。Basepair プラットフォームは ID アクセス管理 (IAM) の役割を引き受け、一連のアプリケーション プログラミング インターフェイスを介して顧客の既存の環境と接続します。 (API) 呼び出しにより、コンピューティング インスタンスを起動し、顧客のクラウド ストレージ バケットに対する読み取り/書き込み操作を実行します。

私たちはこれをコネクテッドクラウド アーキテクチャと呼んでいます (図 1 を参照)。バイオインフォマティクス業界におけるこの独自の実装により、コンプライアンス、セキュリティ、データ プライバシーに関する懸念の 90% が解消されるだけでなく、お客様はクラウド アカウント内の他のツールやリソースに接続したままクラウド コストを制御できるようになります。まさにwin-winです。

セキュリティを損なうことなくインサイトを得るまでの時間を短縮

データ管理プラットフォームは、データを安全に保持し、データ暗号化や研究者/ユーザーのアクティビティを追跡する機能などの業界標準の制御を備えている必要があります。データは保存中と転送中の両方で匿名化され、暗号化される必要があります。 Basepair は、アクセス、データ、プライバシーなどの重要な分野に基づいて堅牢なセキュリティ計画を確立するために、内部統制、自動化されたプロセス、モニタリング、およびリスク評価の統合システムを設計しました。その仕組みは次のとおりです。

アクセス

当社のプラットフォームとデータにアクセスするユーザーを制限および監視するために、プラットフォームには次の保護手段が含まれています。

ユーザー認証と階層型アクセス

電子メール検証プロセスを通じて、承認され検証されたユーザーのみがプラットフォームにアクセスできるようにします。さらに、プラットフォームは厳格な制御を実施して、ユーザーが表示を許可されたデータのみにアクセスできるようにします。認証されたユーザーは、特定のプロジェクト、サンプル、または分析を他のユーザーと共有することで権限を指定できます。さらに、PingIdentity PingOne などの ID 管理サービスを使用することで、プラットフォームはシングルサインオン機能をサポートし、組織内のユーザーが Active Directory アカウントを使用してログインできるようになります。また、さまざまな場所にいる複数のユーザーにわたるコンプライアンスも維持します。ユーザーエラーによって引き起こされる可能性のあるセキュリティとコンプライアンスの問題を回避するために、特定のアクションをロールバックすることもできます。

最小アクセスポリシー

当社は、意図された所有者または明示的な共有同意によるユーザーのみがデータにアクセスできるという、最小限のアクセスポリシーを適用しています。

認証されたユーザーは、自身で所有しているデータ、あるいは、明示的に共有されているプロジェクト、分析、あるいはサンプルなどの特定のサブセットのみを閲覧することができます。

Basepairはクライアントと協力して、データ、ユーザー、別々の環境のプロジェクトを複数の組織間で分離するソリューションを設計します。これにより、高性能な統合システムを維持しながらも、厳格なコンプライアンス要件を満たすことができます。

ユーザーが監視するロギングと監査

このプラットフォームには、研究環境内の分析とデータセットを追跡および監査するための多層監視機能があります。これらのサービスは、すべてのユーザーと、プラットフォームおよびデータ固有の情報を含むクラウドアクティビティを監視（モニター）および記録（ログ）します。クライアントがデータセキュリティをリアルタイムでプロアクティブに監視して、不正なデータアクセス、データ漏洩、または異常なアクティビティなど疑わしいデータを特定できるように、監査データは企業に提供することができます。ログで検出された不審なアクティビティはすべて、クライアントに直接報告されます。

データ

当社のコネクテッドクラウド機能はフェデレーテッドアーキテクチャの一種として機能するため、お客様は常にデータの完全なセキュリティを維持できます。すべてのデータと関連する分析は、お客様の環境のセキュリティファイアウォールと境界の内部に留まります。

これは、データの送信と移動を最小限に抑えるためのより重要なアプローチであり、権限、データの保存場所、またはその他の理由でゲノムデータをエクスポートできない場合でも、ゲノム データへのアクセスと分析を可能にします。

暗号化

このプラットフォームには、SSL/TLS をベースラインとして使用する強力なデータ暗号化標準も備えています。データは、保存中 (データがストレージにあるときなど)、転送中 (データがストレージ バケットとコンピューティングマシンの間で移動しているときなど)、および分析中に暗号化されます。データの暗号化を解除できるのは認証されたスタッフのみであり、セキュリティネットワークにより、暗号化されたファイルにアクセス、表示、または編集できるユーザーに関して追加の制約が課されます。

データの整合性

すべてのゲノムデータは、HIPAA、GDPR セキュリティ規則、および保健福祉長官のガイドラインに準拠するために暗号化されます。当社のアーキテクチャでは、使用状況やその他のメタデータを含むユーザーのすべてのデータも暗号化されており、侵害やその他の脅威に対する複数の層の保護のためにゲノムデータから分離されています。

仮想プライベートクラウド (VPC)

元のデータソースは変更されず、プラットフォームには分析可能なデータの別のプールを作成する一方向の取り込み機能があるため、お客様はデータソースの整合性とセキュリティが確実に保護されます。

さらに、下流のコンピューティング環境はコンピューティングのためだけに起動され、その後すぐに破棄されるため、データは研究に直接関連する目的を超えて保持されません。さらに、ID は、個々のサンプルの生体材料データから個人の健康情報を匿名化するために使用されます。

セキュアなAPI

顧客がゲノムデータを Basepairホスト型サービスにアップロードしたい場合、HIPAA および GDPR コンプライアンスが組み込まれたアマゾン ウェブ サービス (AWS) を利用した非常に安全な Virtual Private Cloud (VPC) にデータが保存されるため、安心してご利用いただけます。

当社のエンドツーエンドのデータ暗号化により、開発者は安全な API を備えたDockerなどのツールを使用して、シンプルな環境で新しいエンタープライズアプリケーションをアップグレードまたは構築できます。このプラットフォームは、次のようなシステム全体のレベルで高パフォーマンスの操作を維持および監視します。

• セキュリティインシデント対応のための事業継続性と災害復旧計画。セキュリティとインシデント対応計画の継続的改善の一環として、当社はサイバーセキュリティ ポリシーの年次見直しを完了し、変化するベストプラクティスと法律を常に最新の状態に保っています。
• 脆弱性と侵入テスト – Basepair は継続的な脆弱性スキャンを実施し、認定された独立プロバイダーによって実行される年次侵入テストを含む厳格なテスト体制を採用しています。継続的に 99.98% 以上の平均稼働時間を維持することで、当社は常に最新のサイバー脅威に注意を払っています。さらに、脆弱性を特定すると、定期的にテストしてパッチを適用します。

プライバシー対策

コンプライアンス

Basepair では、HIPAA および GDPR の仕様を満たすか、それを超えるようにプラットフォームを細心の注意を払って設計しました。プラットフォーム自体は CAP/CLIA または 21 CFR Part 11 の認定を受けていませんが、Basepair は米国食品医薬品局 (FDA) によって施行される GxP 規制に準拠しているため、お客様にとってコンプライアンス プロセスが容易になり、認定ソリューションの作成に役立ちます。さらに、ゲノムデータの取り扱いについては dbGaP セキュリティベストプラクティスに従い、クライアントと積極的に協力して機密データ要件を遵守し、組織が業界標準を満たし、それを超えていることを保証します。

スタッフとベンダーの要件

Basepair のすべてのスタッフは身元調査を受けており、入社時および年に一度のセキュリティ トレーニングを完了することがすべてのスタッフに義務付けられています。機密データを処理するベンダーは、サプライヤーのリスク評価とデューデリジェンスプロセスの対象となります。

AWSパートナーネットワークと基礎技術レビュー (FTR)

当社は AWS Foundational Technical Review (FTR) に合格し、AWS パートナーネットワークのメンバーとして認定ソフトウェアステータスを取得しました。 FTR は、データガバナンスとセキュリティに対する重要なサポートを提供し、組織の AWS 環境の包括的な評価を提供します。これにより、環境が AWS のベストプラクティスと業界標準に確実に準拠するため、顧客は自分のデータが安全であると信頼できます。

FTR は、ネットワークアーキテクチャ、ID、アクセス管理、データ保護、モニタリング、ロギング、コンプライアンスなど、AWS インフラストラクチャのさまざまな側面を評価します。このレビューを実施することで、AWS は顧客が潜在的なセキュリティ脆弱性を特定し、適切なアクセス制御を確保し、強力なデータ保護措置を確立できるように支援します。

AWS は FTR を通じて、暗号化、データ分類、アクセス制御を実装することにより、データ ガバナンスの安全な基盤の確立を支援します。データ ガバナンス ポリシーの定義、データ所有権の確立、プライバシーとコンプライアンスの管理の実装に役立ちます。業界をリードするセキュリティ標準とベスト プラクティスを遵守することで、FTR はデータ ガバナンスを強化し、機密情報を確実に保護します。

FTR を使用すると、組織は AWS 環境を監視することもできます。これは、セキュリティ インシデントを迅速に検出して対応するためのログ記録および監視機能を確立するのに役立ちます。レビューでは組織のインシデント対応プロセスが評価され、プロセスが明確に定義され、テストされていることを確認します。全体として、AWS Foundational Technical Review は、データ ガバナンスとセキュリティをサポートします。

まとめ

Basepair では、ゲノムデータは非常に貴重であり、その規模と機密性がデータ共有に特有の課題を引き起こす可能性があることを理解しています。

そのため、当社はあらゆる規模の企業が科学データを保護できるように、持続可能で回復力のあるバイオインフォマティクスプラットフォームを作成しました。当社はセキュリティ ポリシーを継続的に見直し、お客様が変化する規制や法的要件を確実に満たせるようにします。

科学データの安全性を確保するために私たちがこれまで以上に取り組んできた措置は、命を救う研究のためにゲノムデータを分析できるようにするという私たちの取り組みの証です。

この記事は「The Basepair Approach to Data Governance and Security」を翻訳したものです。