IBM Cloud Docs
IBM Cloud の医療ユース・ケース

IBM Cloud の医療ユース・ケース

以下のユース・ケースでは、Red Hat® OpenShift® on IBM Cloud® 上のワークロードがパブリック・クラウドから得られる利点について説明します。 これには、隔離されたベアメタル上のセキュア・コンピュート、クラスターを簡単に開始して開発を加速する方法、仮想マシンからのマイグレーション、クラウド・データベース内でのデータ共有が含まれます。

医療機関が、報告システムと患者システムのワークロードを、効率の悪い VM から Ops 対応コンテナーにマイグレーションする

ある医療機関の IT 責任者は、業務報告システムと患者システムをオンプレミスで管理しています。 これらのシステムの機能拡張サイクルは遅いので、患者へのサービス・レベルが向上しない原因になっています。

患者サービスを向上させるために、このプロバイダはRed Hat OpenShift on IBM Cloudと IBM Cloud® Continuous Deliveryに注目しました。 この医療機関で使用度が高い SaaS システム (患者記録システムと業務報告アプリの両方で構成される) は更新を頻繁に必要としていました。 しかし、プロバイダーの開発者にとって、ハードウェア、ネットワーク、さらには Kubernetes スタックを自分たちで管理することは大きな負担となっていました。 また、この医療機関は、増加し続ける人件費と減少し続ける予算への対応策も必要としていました。

この医療機関はまず、自社の SaaS システムをコンテナー化し、それをクラウド内に配置しました。 その最初のステップから、プライベート・データ・センター内の過剰に構築されたハードウェアからカスタマイズ可能なコンピュートへと移行したので、IT の運用、保守、労力が削減されます。 SaaS アプリをホストするために、自社の CPU、RAM、ストレージのニーズに合うように、簡単に設計できる Kubernetes クラスターを使用しました。 IBM Cloud Pak for Data を使用して、オンプレミス環境からの、使い慣れた分析ツールを提供しました。 人件費削減に貢献した別の要因は、IBM が Kubernetes を管理していることです。これによって、この医療機関はより良い顧客サービスの提供に注意を集中できるようになりました。

この IT 責任者にとって、勝利の鍵となるのは開発の加速です。 パブリック・クラウドに移行することで、開発者は Node.js SDK で実験を簡単にできるようになり、開発とテスト用のシステムの変更をプッシュして、個別のクラスターでスケールアウトすることができます。 これらのプッシュは、オープン・ツールチェーンと IBM Cloud® Continuous Delivery により自動化されました。 低速でエラーが発生しやすい構築プロセスで苦労しながら SaaS システムを更新するということがなくなりました。 開発者は今では毎日、またはそれ以上の頻度で、ユーザーにのインクリメンタル更新を配信できるようになりました。 また、SaaS システムのロギングとモニタリングは、特に患者のフロントエンド・レポートとバックエンド・レポートが対話式にやり取りする方法については、システムに迅速に統合されます。 開発者は、時間をかけて複雑なロギング・システムをビルドしなくても、稼働中のシステムをトラブルシューティングすることができます。

セキュリティーを最優先: Red Hat OpenShift on IBM Cloud のベアメタルを使用することで、機密性の高い患者ワークロードは、従来から備えていた独立性と、パブリック・クラウドの柔軟性とを兼ね備えるようになりました。 そのコアから、脆弱性アドバイザーが次のようなスキャンを行います。

  • イメージの脆弱性スキャン
  • ISO 27000 に基づくポリシー・スキャン

患者データを安全に保護することは、患者の満足度の向上に役立ちます。

context

  • 技術的負債 (リリース・サイクルが長いことに関連がある) は、この医療機関の業務に不可欠な患者管理と報告システムの障害になっています。
  • 事務職員と医療職員が使用するカスタム・アプリは、オンプレミスによる一体構造の仮想マシン・イメージで提供されています。
  • プロセス、方式、ツールをオーバーホールする必要がありますが、どこから手を付けたらよいか分かりません。
  • 技術的負債は増大の一途をたどり、市場の需要に歩調を合わせた高品質ソフトウェアをリリースすることがますます難しくなっています。
  • セキュリティーが主要な懸念事項となっており、この問題が製品を配信する上での重荷を増し加え、配信がさらに遅れる原因になっています。
  • 資本経費の予算は厳しく管理されており、IT 部門は、社内システムでは必要なテストやステージングの展望計画を作成するための予算やスタッフを割くことができないと考えています。

ソリューション

コンピュート、ストレージ、I/Oサービスは、オンプレミスの企業資産に安全にアクセスできるパブリッククラウドで実行されます。 CI/CD プロセスと IBM Garage Method の他のパーツを実装して、配信サイクルを劇的に短縮します。

ステップ 1: コンピュート・プラットフォームを保護する

  • そのコアから、脆弱性アドバイザーがイメージ、ポリシー、コンテナー、およびパッケージの脆弱性スキャンを行います。
  • シンプルな Ingress アノテーションを使用して、サービスと API に対するポリシー駆動型の認証を一貫して実施します。 宣言型セキュリティーでは、App ID を使用してユーザー認証とトークン検証を保証できます。

ステップ 2: リフト・アンド・シフトを行う

  • パブリック・クラウド内の Red Hat OpenShift on IBM Cloud で実行されるコンテナー・イメージに仮想マシン・イメージをマイグレーションします。
  • 開発者が使い慣れた分析ツールをクラウド上で使用できるように、IBM Cloud Pak for Data をデプロイします。
  • 標準化された DevOps のダッシュボードとプラクティスを Kubernetes を介して提供します。
  • 実行頻度の低いバッチやその他のバックオフィスのワークロードに対して、コンピュートリソースのスケーリングを可能にします。
  • IBM® Secure Gateway for IBM Cloud® を使用して、オンプレミスの DBMS へのセキュア接続を維持します。
  • プライベート・データ・センターやオンプレミスの資本コストは大幅に削減され、ワークロード需要に基づいてスケーリングされるユーティリティー・コンピューティング・モデルに置き換えられます。

ステップ 3: マイクロサービスと Garage Method

  • アプリを協調的なマイクロサービスの集合に再構成する。 このセットは、品質の問題が最も多いアプリの機能領域に基づいて、Red Hat OpenShift on IBM Cloud 内で実行されます。
  • IBM Cloudant を使用します。クラウドにデータをキャッシュするために、お客様が提供したキーを使用します。
  • 継続的な統合とデリバリー (CI/CD) 手法を採用し、開発者はマイクロサービスをバージョン管理するとともに、必要に応じて定めたスケジュールでリリースします。IBM Cloud® Continuous Delivery では、コンテナー・イメージのイメージ作成と脆弱性スキャンを含む CI/CD プロセスのワークフロー・ツールチェーンを提供しています。
  • IBM Garage Method のアジャイルな反復型開発手法を採用し、ダウン時間なしで、新機能、パッチ、フィックスの頻繁なリリースを可能にします。

テクニカル・ソリューション

  • Red Hat OpenShift on IBM Cloud
  • IBM Cloud Pak for Data
  • IBM Cloudant
  • IBM® Secure Gateway for IBM Cloud®
  • App ID

機密性の高いワークロードの場合は、クラスタをRed Hat OpenShift on IBM Cloudでホストしてベアメタルにすることができます。 業界標準のコンテナ技術を使用することで、アーキテクチャを大きく変更することなく、アプリケーションを素早くRed Hat OpenShift on IBM Cloud上でリホストすることができます。 この変更は、スケーラビリティー上のメリットを即座にもたらします。

定義されたルールと自動化されたKubernetesオーケストレータを使用することで、アプリをレプリケートしたりスケールしたりできる。Red Hat OpenShift on IBM Cloudは、スケーラブルなコンピュートリソースと、アプリやサービスを作成、スケール、ティアダウンするための関連DevOpsダッシュボードを提供します。 この医療機関は、Kubernetes のデプロイメント・オブジェクトとランタイム・オブジェクトを使用することで、アプリのアップグレードを確実にモニターして管理することができます。

IBM® Secure Gateway for IBM Cloud®は、Red Hat OpenShift on IBM Cloudで実行するために再ホストされるアプリのために、オンプレミスのデータベースとドキュメントへのセキュアなパイプラインを作成するために使用されます。

IBM Cloudant は、最新の NoSQL データベースで、キー/値のような単純な文書から複雑な文書指向のデータ・ストレージや照会に至るまで広範囲のデータ駆動型ユース・ケースに適しています。 事務室の RDBMS に対する照会を最小限に抑えるために、IBM Cloudant を使用してアプリ間のユーザーのセッション・データをキャッシュします。 これらの選択によって、Red Hat OpenShift on IBM Cloud 上のアプリ間でフロントエンド・アプリの使いやすさとパフォーマンスが向上します。

コンピュート・ワークロードを IBM Cloud に移行するだけでは十分ではありません。 プロバイダーも同様に、メソッドの変換を経る必要がある。 IBM Garage Method の手法を取り入れることによって、提供者は、CI/CD など DevOps の最新の手法に対応したアジャイルで反復的なデリバリー・プロセスを実装できます。

CI/CD プロセス自体の多くは、IBM のクラウド内の継続的デリバリー・サービスで自動化されます。 提供者は、コンテナー・イメージの準備、脆弱性がないかの確認、Kubernetes クラスターへのデプロイという一連のワークフロー・ツールチェーンを定義することができます。

結果

  • この医療機関はまず、既存の一体構造の VM をクラウド・ホスティング・コンテナーにリフトしたことで、資本コストを削減して最新の DevOps 手法の学習を開始することができました。
  • デプロイされた Cloud Pak により、プロバイダーは、データ分析ツールのフルスタック・サポート (それらのツールのライフサイクル管理も含む) を IBM にオフロードしました。 それで開発者は、運用タスクにではなく、新しい機能と更新のための作業に集中できるようになりました。
  • 主要なモノリシックアプリをきめ細かいマイクロサービス群に再構成することで、パッチ、バグ修正、新機能のデリバリー時間を大幅に短縮した。
  • それと同時にこの会社は、既存の技術的負債に対処するために、単純な反復バージョンを開発するタイム・ボックス方式を採用しました。

非営利研究機関が、パートナーとの研究を進めながら、機密データを安全にホストする

ある非営利の疾患研究機関の開発責任者は、学界と産業界の多くの研究者と交流がありますが、そうした研究者は研究データを容易に共有できません。 研究内容は、現地のコンプライアンス規制と中央化されたデータベースのせいで、世界中のさまざまなリージョンに隔離された状態になっています。

Red Hat OpenShift on IBM Cloudは、オープンなプラットフォーム上で機密処理とデータ処理をホストできるセキュアなコンピュートを提供する。 そのグローバル・プラットフォームは、近くのリージョンでホストされています。 それで、データは現地の法規制に準拠しているため、患者と研究者は、自分たちのデータが現地で保護されていて、健康の向上に役立つという安心感を得ることができます。

context

研究非営利団体のための疾病データの安全なホスティングと共有

  • それぞれの研究機関では開発環境が大きく異なるので、研究者は、データを共有するための統一された方法を持ち合わせておらず、コラボレーションのペースがスローダウンします。
  • セキュリティー上の懸念がコラボレーションを行う上での重荷を増大させて、研究の共有が一層低下する原因になっています。
  • 開発者と研究者は世界中に広がり、組織の垣根を越えて分散しています。こうしたことを考えると、PaaS と SaaS がそれぞれのユーザー・グループにとって最良のオプションです。
  • 医療規則のリージョン的な相違によって、一部のデータとデータ処理がそのリージョン内に留まるように要求されています。

ソリューション

研究非営利団体向けの疾病データの安全なホスティングと共有。

その非営利研究機関は、世界中の癌研究のデータを集約したいと考えています。 そこで、研究者用のソリューションに特化した部門を作成することにしました。

  • INGEST - 研究データを取り込むためのアプリ。 研究者は現在、研究結果を記録するために、スプレッドシート、文書、市販の製品、独自または自家製のデータベースを使用しています。 この状況は、その非営利機関がデータ分析を一元化しようと努力しても変化しそうにありません。
  • ANONYMIZE - データを匿名化するためのアプリ。 現地の医療規則に準拠するために SPI を削除する必要があります。
  • ANALYZE - データを分析するためのアプリ。 基本パターンは、データを正規の形式で保管してから、AI と機械学習 (ML) テクノロジー、単純回帰などを使用してデータを照会して処理するという手法です。

研究者はリージョンのクラスターに加入する必要があり、アプリは次のようにしてデータを取り込んで、変換し、匿名化します。

  1. 匿名化されたデータをリージョンのクラスター全体にわたって同期するか、または中央化されたデータ・ストアにそれらを送出する
  2. GPU を提供するベアメタル・ワーカー・ノード上で PyTorch などの ML を使用してデータを処理する
INGEST

研究者の豊富なデータ文書を保管する各リージョンのクラスターで IBM Cloudant を使用して、必要であればそこに対して照会および処理を実行できます。IBM Cloudant は、リージョンのデータ・プライバシー法に準拠して、Data at Rest (保存されたデータ) と転送中のデータを暗号化します。

IBM Cloud® Functions を使用して、研究データを取り込んで構造化データ文書として IBM Cloudant に保管する処理機能を作成します。IBM® Secure Gateway for IBM Cloud® には、IBM Cloud® Functions が安全かつセキュアな方法でオンプレミス・データにアクセスするための簡単な方法が用意されています。

結果の手動でのデータ入力、スキーマ定義、研究組織の加入のための Web アプリが、nodeJS でリージョンのクラスターの中に開発されます。 IBM Key Protect は IBM Cloudant データへのアクセスを保護するために役立ち、IBM の脆弱性アドバイザーは、アプリのコンテナーとイメージにセキュリティーの悪用がないかをスキャンします。

ANONYMIZE

新規のデータ文書が IBM Cloudant に保管されたときは必ず、あるイベントがトリガーされ、Cloud Function はそのデータを匿名化し、そのデータ文書から SPI を削除します。 これらの匿名化されたデータ文書は、取り込まれた「未加工」データとは別に保管され、分析のために各リージョン間で共有される唯一の文書になります。

ANALYZE

機械学習フレームワークは高度な数値計算を行うため、その非営利機関はベアメタル・ワーカー・ノードのグローバルな処理クラスターをセットアップしました。 このグローバルな処理クラスターに関連付けられるのは、匿名化されたデータを集約した IBM Cloudant データベースです。 cron ジョブは、Cloud Function を定期的にトリガーして、匿名化されたデータ文書を各リージョンのセンターからグローバルな処理クラスターの IBM Cloudant インスタンスにプッシュさせます。

コンピュート・クラスターが PyTorch ML フレームワークを実行し、集約データを分析するための機械学習アプリは Python で記述されます。 共同グループの研究者たちは、ML アプリに加えて、公開できる独自のアプリを開発して、グローバルのクラスターで実行します。

その非営利機関は、グローバルのクラスターの非ベアメタル・ノードで実行されるアプリも提供します。 このアプリでは、集約データと ML アプリの出力の表示と抽出を行います。 これらのアプリは、パブリック・エンドポイントによってアクセス可能です。パブリック・エンドポイントは、API ゲートウェイによって外部の脅威から保護されます。 これによって、世界中のあらゆる場所の研究者とデータ・アナリストは、データ・セットをダウンロードして、独自の分析を行うことができます。

開発者は Red Hat OpenShift on IBM Cloud を使用して、研究共有 SaaS アプリをコンテナーにデプロイすることから開始しました。 そして世界中の開発者が共同でアプリの改善を素早くデプロイできる、開発環境のクラスターを作成しました。

セキュリティーを最優先: 開発責任者は、研究用のクラスターをホストするためにベアメタルを選択しました。 Red Hat OpenShift on IBM Cloud 用のベアメタルを使用することで、機密性の高い研究のワークロードは、従来から備えていた独立性と、パブリック・クラウドの柔軟性とを兼ね備えるようになりました。 この非営利機関は製薬会社とも提携しているので、アプリのセキュリティーは非常に重要です。 競争は激しいため、企業スパイが潜入する可能性もあります。 そのセキュアなコアから、脆弱性アドバイザーが次のようなスキャンを行います。

  • イメージの脆弱性スキャン
  • ISO 27000 に基づくポリシー・スキャン

保護された研究用アプリが臨床試験への参加の増加につながります。

グローバルな可用性を達成するために、開発、テスト、実動用のシステムが世界中のいくつかのデータ・センターにデプロイされます。 HA に関しては、複数の地理的リージョンに配置するクラスターと、複数ゾーン・クラスターの組み合わせを使用します。 ヨーロッパの現地の法規制に準拠するために、フランクフルトのクラスターに研究用アプリを簡単にデプロイすることができます。 また、アプリを米国内のクラスターにもデプロイして、その地域での可用性を確保してリカバリーできるようにします。 さらに、ヨーロッパ用のアプリを提供し、ワークロードを効率的に負荷分散するために、研究用のワークロードをフランクフルトにある複数ゾーン・クラスター全体に分散させます。 研究者は研究共有アプリを使用して機密データをアップロードするので、このアプリのクラスターはより厳しい規制が適用されるリージョンでホストされます。

開発者は、既存のツールを使用してドメインの問題に注意を集中します。固有の ML コードを作成するのではなく、IBM Cloud サービスをクラスターにバインドすることで、ML ロジックをアプリに貼り付けます。 また、Kubernetes とインフラストラクチャーのアップグレード、セキュリティーなどは IBM が担当するので、開発者はインフラストラクチャーの管理作業から解放されます。

コンピュート、ストレージ、アプリケーションはパブリッククラウドで実行され、必要に応じて世界中の研究データに安全にアクセスできる。 クラスター内のコンピュートは、改ざん防止機能を持ち、ベアメタルに隔離されます。

技術的ソリューション:

  • Red Hat OpenShift on IBM Cloud
  • IBM Cloud® Functions
  • IBM Cloudant
  • IBM® Secure Gateway for IBM Cloud®

ステップ 1: マイクロサービスを使用してアプリをコンテナー化する

  • Node.js アプリを作成するか、サンプルをデプロイします。
  • アプリを、アプリの機能領域とその従属関係に基づいて、Red Hat OpenShift on IBM Cloud 内で実行される一連の連携マイクロサービスとして構成します。
  • 研究用アプリを Red Hat OpenShift on IBM Cloud 内のコンテナーにデプロイします。
  • 標準化された DevOps のダッシュボードを Kubernetes を介して提供します。
  • 実行頻度の低いバッチやその他の研究ワークロード用に、コンピュートリソースのスケーリングを可能にする。
  • IBM® Secure Gateway for IBM Cloud® を使用して、既存のオンプレミス・データベースへのセキュア接続を維持します。

ステップ2:セキュアでパフォーマンス重視のコンピュート利用

  • より高性能のコンピュートを必要とする ML アプリは、ベアメタル上の Red Hat OpenShift on IBM Cloud でホストされます。 この ML クラスターは一元化されているので、各リージョンのクラスターにはベアメタル・ワーカーの費用は発生しません。また Kubernetes デプロイメントのほうが簡単です。
  • 脆弱性アドバイザーが、イメージ、ポリシー、コンテナー、パッケージのスキャンによる脆弱性スキャンを行います。

ステップ 3: グローバルな可用性の確保

  • 開発者は、開発とテスト用のクラスターでアプリを構築してテストを実施した後、IBM の CI/CD ツールチェーンを使用して、世界中のクラスターにアプリをデプロイします。
  • Red Hat OpenShift on IBM Cloud に組み込まれた HA ツールは、自己修復やロード・バランシングなどを行いながら、各リージョン内でワークロードのバランスを取ります。
  • ツールチェーンと Helm デプロイメント・ツールを使用することにより、世界中のクラスターにもアプリがデプロイされるので、ワークロードとデータは現地の法規制を満たします。

ステップ 4: データ共有をする

  • IBM Cloudant は、最新の NoSQL データベースで、キー/値のような単純な文書から複雑な文書指向のデータ・ストレージや照会に至るまで広範囲のデータ駆動型ユース・ケースに適しています。
  • リージョンのデータベースに対する照会を最小限に抑えるために、IBM Cloudant を使用してアプリ間のユーザーのセッション・データをキャッシュします。
  • この選択によって、Red Hat OpenShift on IBM Cloud 上のアプリ間でフロントエンド・アプリの使いやすさとパフォーマンスが向上します。
  • Red Hat OpenShift on IBM Cloud のワーカー・アプリはオンプレミス・データを分析し、結果を IBM Cloudant に保管しますが、IBM Cloud® Functions は変更に反応し、着信データ・フィードのデータを自動的にサニタイズします。
  • 同様に、あるリージョンの画期的な研究成果の通知をデータのアップロードによってトリガーできます。その後、すべての研究者が新しいデータを利用できるようになります。

結果

  • マイクロサービスを使用すると、パッチ、バグ修正、新しいフィーチャーを配信するまでの所要時間が大幅に短縮されます。 初期開発が迅速であるのに加えて、更新を頻繁に行うことが可能です。
  • 研究者は現地の法規則に準拠しながら、臨床データにアクセスし、臨床データを共有することができます。
  • 疾患研究に参加する患者は、自分のデータが大規模な研究チームで共有される場合、そのデータが保護されていて役立つと確信できます。