TCGA大規模がんゲノム解析実施におけるプロトコル定義とその実践

[otiai10]

Related #1

「プロトコルをまとめる」とは

「TCGAを使うときにかかってくる制約がある（DBGAPの利用規約参照（HIPAA））ので、awsubでやるなら、これこれこういうふうにやればいいよ」というのを言語化し、記述する行為。

（実績を付記する必要がある）

• awsubを実際に使って大量のがんゲノム解析（eg. TCGAのデータ）をする。
  • AWSでやる
  • TCGAのデータを使う
  • TCGAのデータをAWSで使う場合の成約を洗い出す
  • 構築し、実行する

[otiai10]

related #1

[otiai10]

眺めたもの

• https://www.ncbi.nlm.nih.gov/books/NBK154410/
• https://www.biostars.org/p/283484/
• https://dbgap.ncbi.nlm.nih.gov/aa/wga.cgi?page=login
• https://era.nih.gov/commons-account-information.cfm
• https://www.ncbi.nlm.nih.gov/projects/gap/cgi-bin/study.cgi?study_id=phs000178.v1.p1
• https://blog.repositive.io/watching-paint-dry-in-the-21st-century-or-applying-for-data-from-dbgap/

[otiai10]

@friend1ws 「HIPAAに準拠したawsubの実行手順を明らかにし、実践しろ」というタスクかと理解したんですが、相違ありますか？

[otiai10]

TCGAに存在している主な（いくつかの）データに関する、Data Use Agreementを読み、どのような要求なのか知る。

→ NIHのCloud利用ポリシー（で一元化されていると都合がよいなあ）

NIHのCloud利用ポリシーについて詳細に知る、そんで実装。

[otiai10]

dbGaPにおけるTCGAのデータセット

• https://www.ncbi.nlm.nih.gov/gap
• https://www.ncbi.nlm.nih.gov/gap/?term=tcga
• https://www.ncbi.nlm.nih.gov/projects/gap/cgi-bin/study.cgi?study_id=phs000178.v9.p8

TCGAというのはstudyのひとつであることがわかる。

Important Links and Information

• As of June, 2016, primary TCGA data is available at NCI Genomic Data Commons. Some data files derived from TCGA controlled-access data that are not part of the official TCGA dataset may be hosted at dbGaP.
• Request access via Authorized Access
  • Instructions for requestors
  • Data Use Certification (DUC) Agreement
• Talking Glossary of Genetic Terms

[otiai10]

そもそもdbGaPとは？その概要

• https://www.ncbi.nlm.nih.gov/books/NBK154410/

[otiai10]

TCGAのデータセットへのアクセス

• https://www.ncbi.nlm.nih.gov/projects/gap/cgi-bin/study.cgi?study_id=phs000178.v9.p8

Data from TCGA projects are organized into two tiers: Open Access and Controlled Access.

• Open Access は、 誰でも 扱える
• Controlled Access は、dbGaP Authorized Access. でのログインが必要

ただしこれ、入手の話。取り扱いについての言及ではない。

[otiai10]

TCGAのデータセットの利用について

Data Use Certification and Agreement

• https://dbgap.ncbi.nlm.nih.gov/aa/wga.cgi?view_pdf&stacc=phs000178.v9.p8

• The terms outlined in this Data Use Certification do not apply to Open Access data.

• Users should review dbGaP policies for securely storing and sharing human data submitted to NIH under the Policy for Sharing of Data Obtained in NIH Supported or Conducted Genome-Wide Association Studies (GWAS),

• but users shall note that TCGA data are not GWAS data and have slightly different policies associated with them as outlined in this Data Use Certification.

---

4. Non-Identification
   • 個人特定の禁止
5. Non-Transferability
   • 譲渡の禁止
6. Data Security and Data Release Reporting
   • セキュリティと漏洩の報告
   • セキュリティ要件
     • dbGaP Security Best Practice を参考にするべし
     • さらに
       1. 利用者は訓練されている
       2. データの物理的保管場所がセキュアである
       3. サーバはインターネットに対してパブリックではない
       4. ポータブルメディア（USB, CD-R etc）を使うべきではない
       5. アンチウィルスソフトは最新に保つ
       6. 脅威の定期的なスキャンを実施する
       7. パスワードはちゃんとする
       8. 複製は破棄する
   • 漏洩など疑われる場合、24時間以内に下記連絡先へ報告する
     • tcgadac@mail.nih.gov

[otiai10]

dbGaP Security Best Practice

https://osp.od.nih.gov/wp-content/uploads/NIH_Best_Practices_for_Controlled-Access_Data_Subject_to_the_NIH_GDS_Policy.pdf

正式なドキュメントタイトル: NIH Security Best Practices for Controlled-Access Data Subject to the NIH Genomic Data Sharing (GDS) Policy

[otiai10]

• 最大要件: TCGAだけではなく、dbGaPにあるデータセットすべての種類を満たせるセキュリティ要件
• wants:
  1. 大量解析したい
     • これに関してだけなら、CCLE/GDCのpublicデータ使えばいい
  2. デリケートなデータを扱いたい
     • TCGAのデータをHIPAA基準で走りますよ
• ② x 1
• ② x 100
• ② x 1000 <- good to have

TODO: @otiai10

• AWSのEC2リクエストリミットについて

[otiai10]

TODO:

• [x] NIH Best Practicesを読んで、日本語で要約
• [x] HIPAA要件を読んで、日本語で要約
• [x] HIPAA on AWSを読んで、要約

[otiai10]

NIH Security Best Practices for Controlled-Access Data Subject to the NIH Genomic Data Sharing (GDS) Policy

https://osp.od.nih.gov/wp-content/uploads/NIH_Best_Practices_for_Controlled-Access_Data_Subject_to_the_NIH_GDS_Policy.pdf

Additional Guidance for Cloud Computing の項目がいちばんだいじ。

• 一般
  • HTTPSなど、暗号化通信をつかうこと
  • データも暗号化して保存すること
  • 必要最低限のinboundを開けたセキュリティグループを設定すること
  • OWASP Top 10 Security Riskをキャッチアップすること
  • アクセスコントロールリストや、セキュリティグループが矛盾しないか確認すること
• 監査と管理責任
  • アクセス許可を得ている者のみアクセスできることを保ち、アクセス権の変更はDARした者かIT担当者によって管理されること。アクセス権変更の通知が仕組みが実装されていること
  • すべてのアクセスはロギングされており、日常的にレビューされること
• OS
  • いかなる既知の脆弱性、マルウェア、ウィルスを含まないこと。Chkrootkit, rkhunter, OpenVAS, Nessus などのスキャニングソフトの導入するとよい
  • rootログインではなく、sudoアクセスのみ許すこと。rootのパスワードはnullじゃだめです。
  • sshなどでログファイルへのアクセスや脆弱性アップデートがかけれるようにしておくこと
• 各クラウドベンダーごとのベストプラクティス
  • Amazon Web Services:
  • http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html
  • http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html
  • http://aws.amazon.com/documentation/ec2/
  • Google Cloud Platforms:
  • https://cloud.google.com/developers/articles/best-practices-for-configuring-permissionson-gcp

---

その他のガイドライン

• Center for Internet Security (CIS)
  • FISMA
  • ISO
  • GLB Act
  • SOX Act
  • HIPAA ←HIPAAはここ！
  • FERPA
• National Institute of Standards and Technology (NIST)
  • SP
  • FIPS
• United States Government Configuration Baseline (USGCB)

[otiai10]

HIPAAについていろいろ

• https://www.hhs.gov/hipaa/index.html
• https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html
• https://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html
• http://smallbusiness.chron.com/hipaa-certification-2810.html
• https://aws.amazon.com/jp/compliance/hipaa-compliance/

[otiai10]

hotsubのNIHのセキュリティ要件対応状況

CC @friend1ws , @aokad

• [x] データと通信の暗号化
  • [x] S3 encryption fig.1
  • [x] Over HTTPS
• [ ] Inboundの制限
• [x] アクセスコントロールとログ fig.2
• [x] OSレイヤーの脆弱性
  • docker-machine にまかせてる
• [x] Applicationレイヤーの脆弱性
  • Dockerイメージにまかせる

---

fig.1

---

fig.2

[otiai10]

SecurityGroupのカスタマイズは、ユーザにやらせるにして、プロトコルが明確に定義されていればよい。

[otiai10]