Oracle Cloud InfrastructureでのクラウドネイティブDICOMストアの実装
現代医学では、医療画像やメタデータを効率的に管理・交換することが患者ケアに不可欠です。
Digital Imaging and Communications in Medicine(DICOM)は、医療画像データの保存、送信、および処理のためのグローバル標準です。DICOMストアは、X線、CTスキャン、MRI、超音波画像などの医療画像を、患者ID、イメージング・モダリティ、スキャン日などの関連メタデータとともに格納する一元化されたデジタル・リポジトリです。
クラウドベースのDICOMストアは、DICOM標準規格に準拠したクラウドに医療画像データを格納および管理するための最新のソリューションです。これにより、医療機関は、スケーラブルでセキュアで可用性の高いクラウド・インフラストラクチャを使用して、DICOM画像およびメタデータをアップロード、アーカイブ、アクセスおよび共有できます。
従来のオンプレミス・システムとは異なり、クラウドベースのDICOMストアは、柔軟性の向上、リモート・アクセス、AIおよび分析ツールとの統合の容易化、インフラストラクチャ管理の削減を実現します。これらのソリューションは、DICOMweb APIと組み合せて、Webおよびモバイル・アプリケーションを介したイメージング・データとのシームレスな対話を可能にし、遠隔医療、マルチサイト・コラボレーション、長期的なイメージ保持などの最新のヘルスケア・ニーズをサポートします。
その中核となるDICOMストアは、専用の医療画像データベースのように機能します。これにより、医療システム、放射線科医および医療ソフトウェアは次のことを実行できます。
- イメージング・データを標準化された形式で格納
- 表示および分析用のイメージの取得
- システム、施設または臨床医間でデータを共有
- PACS(Picture Archiving and Communication Systems)およびElectronic Health Records(EHR)との統合
従来、DICOMストアはオンプレミスでデプロイされ、複数の課題が発生していました。
高いインフラストラクチャ・コスト
- 医療画像は、特にCTおよびMRI画像が大きく、ボリュームは時間の経過とともに急速に増加します。
- サーバー、ストレージ・アレイ、冷却、および物理的なセキュリティに対するインフラストラクチャへの投資は、継続的なコストです。
- スケーリングには物理的なアップグレードが必要で、これは高価で実装に時間がかかります。
メンテナンスとサポート
- ハードウェア、ソフトウェアの更新、バックアップ、コンプライアンス要件を管理するには、専用のITスタッフが必要です。
- 特にディザスタ・リカバリ計画が堅牢でない場合、ハードウェア障害によるダウンタイムのリスクがあります。
セキュリティおよび準拠リスク
- オンプレミス・システムは、ランサムウェア攻撃や不正アクセスに対して脆弱です(適切に管理されていない場合)。
- HIPAA、GDPRおよびその他の規制に準拠するには、強力なアクセス制御、監査および暗号化が必要です。
相互運用性と共有の制限
- DICOM画像を他の病院、専門家、またはシステムと共有することは、サイロ化されたオンプレミスのストレージよりも困難です。
- カスタムVPNまたは安全な転送設定が必要で、これは遅く、互換性の問題になりやすいものです。
AIおよびクラウドベースのワークフローの限定的なサポート
- 最新のAIツールとクラウドベースの診断サービスでは、多くの場合、クラウドDICOMストアまたはAPIとの統合が必要です。
- オンプレミス・システムでは、クラウドネイティブの互換性がないため、イノベーションがブロックまたは遅くなる可能性があります。
アーキテクチャ
このアーキテクチャは、Oracle Cloud InfrastructureにDICOMストアを実装します。
次の図は、このリファレンス・アーキテクチャを示しています。
アーキテクチャには次のコンポーネントがあります。
- Oracle Cloud Infrastructure
Oracle Cloud Infrastructure (OCI)は、クラウドでアプリケーションを構築、デプロイおよび管理するための包括的なサービス・スイートを提供するOracleのクラウド・コンピューティング・プラットフォームです。エンタープライズ・パフォーマンスとセキュリティ向けに設計されたOCIは、Infrastructure as a Service (IaaS)、Platform as a Service (PaaS)、およびAI、機械学習、ネットワーキング、ストレージ、データベース・ソリューションなどのその他のクラウド・サービスを提供します。
OCIは、高パフォーマンス、スケーラビリティ、およびコスト効率を提供し、レガシー・エンタープライズ・アプリケーションからクラウドネイティブ・サービスまで、幅広いワークロードをサポートします。これは、ハイブリッド・アーキテクチャとマルチクラウド・アーキテクチャを強力にサポートする堅牢なクラウド機能を求める企業に最適です。
- クラウドベースのデータ・サイエンス・プラットフォーム
Oracle Cloud Infrastructure Data Scienceは、データ・サイエンティストが機械学習モデルを大規模に構築、トレーニング、導入、管理できるフルマネージド・プラットフォームです。ノートブック、自動モデル・トレーニング、モデル評価、デプロイメントなど、データ・サイエンスのライフサイクル全体に対応する統合ツールを備えた、コラボレーション可能でセキュアな環境を提供します。
データ・サイエンスは、TensorFlow、scikit-learn、PyTorch、XGBoostなどの一般的なオープンソース・フレームワークをサポートし、オブジェクト・ストレージ、データ・フロー、AIサービスなどの他のOCIサービスとシームレスに統合できます。データ・サイエンスは、さまざまなCPUおよびGPUシェイプを支えており、組織がAI開発を加速し、チーム間のコラボレーションを合理化し、クラウドで機械学習モデルを効率的に運用できるよう支援します。
- AIモデルのトレーニングと推論
AIトレーニングと推論は、人工知能モデルのライフサイクルの2つのコア・ステージです。
- トレーニングとは、モデルがパターンを認識したり、予測を行ったり、特定のタスクを実行するために内部パラメータを調整することで、大規模なデータセットから学習するプロセスです。このフェーズは計算負荷が高く、GPUやTPUなどの強力なハードウェア、および高スループットのストレージとネットワークが必要です。
- 推論は、トレーニング済モデルを使用して、新しい未表示のデータに基づいて予測または意思決定を行うステージです。推論は通常、特に医療イメージング、不正検出、仮想アシスタントなどのリアルタイム・アプリケーションで、高速かつスケーラブルである必要があります。
OpenAIやxAIなどの世界をリードするAI企業によって選ばれ、OCI Generative AIインフラストラクチャは、AIモデルのトレーニングと推論のためのリーディング・プラットフォームとして登場し、パフォーマンス、スケーラビリティ、コスト効率の独自の組み合わせを提供します。
- セキュリティおよびコンプライアンス
OCIは、クラウド環境全体のデータ、アプリケーションおよびワークロードを保護するように設計された、包括的なセキュリティおよびコンプライアンス機能セットを提供します。OCIは、ネットワーク・セキュリティ、IDおよびアクセス管理(IAM)、データ暗号化、脅威検出、監視など、すべてのレイヤーに組込みのセキュリティを提供します。
主な機能には、分離されたネットワーク仮想化、お客様が制御する暗号化キー、セキュリティ・ゾーン、継続的な監視と自動化された脅威対応のためのOracle Cloud Guardなどがあります。また、OCIは、ISO、SOC、HIPAA、GDPR、FedRAMPなどの主要な業界標準および規制標準への準拠もサポートしており、組織が厳格なデータ保護およびガバナンス要件を満たすのに役立ちます。
これらの機能により、OCIは、機密性の高いミッションクリティカルなワークロードを安全かつグローバル標準に準拠して実行するための信頼できるプラットフォームとなります。
- オーシャン
Orthancは、医療画像データを管理、保存、共有するために設計されたオープンソースの軽量DICOMサーバーです。これは、病院や研究室で広く使用されており、開発者は重い商用PACS(Picture Archiving and Communication Systems)に依存することなくイメージングワークフローを構築しています。
Orthancは、OCI Object StorageおよびOCI Database with PostgreSQLとシームレスに統合され、ユーザーがRESTful APIを使用してDICOMイメージを格納、取得および問合せできるようにするDICOMweb APIエンドポイントを提供します。
このリファレンス・アーキテクチャでは、OrthancはOCIコンテナ・インスタンスまたはOCIコンテナ・インスタンス(OKE)にデプロイされるため、ヘルスケアのお客様に対するインフラストラクチャ管理のオーバーヘッドがなくなります。
- OCIオブジェクト・ストレージ
実際のDICOMイメージは、OCIオブジェクト・ストレージ・バケットに格納されます。
OCI Object Storageは、あらゆるタイプのデータ(構造化または非構造化)に対して、耐久性と拡張性に優れ、セキュアなストレージを提供します。医療画像のアーカイブ、メディア・ファイルの提供、エンタープライズ・ワークロードのバックアップのいずれであっても、OCI Object Storageは、低レイテンシ・アクセス、組込みの冗長性および階層化された価格設定を提供して、コストとパフォーマンスを最適化します。最新のクラウド・アプリケーション向けに設計されており、AI、分析、DevOpsツールとネイティブに統合され、シームレスなデータ・ライフサイクル管理を提供します。すべて、ハードウェアへの先行投資は不要です。
- OCI Database with PostgreSQL
In this reference architecture, Orthanc is integrated with OCI Database with PostgreSQL to manage and index the non-image metadata associated with DICOM files.Orthancは(組込みのSQLiteエンジンを使用して)外部データベースなしで実行できますが、スケーラビリティとパフォーマンスのために、OCI Database with PostgreSQLなど、より強力なマネージド・データベースと統合することをお薦めします。
- OCI Kubernetes Engine
Oracle Cloud Infrastructure Kubernetes Engine(OCI Kubernetes EngineまたはOKE)は、Oracle Cloudでのコンテナ・オーケストレーションを簡素化する、完全に管理されたエンタープライズ・グレードのKubernetesサービスです。OKEを使用すると、プロビジョニング、スケーリング、更新が自動化されるため、クラウドネイティブ・アプリケーションを少ないオーバーヘッドでデプロイ、実行、管理できます。
OKEでAIワークロードを実行すると、コンテナとKubernetesの柔軟性と、OCIの高パフォーマンス・インフラストラクチャのパワーを組み合わせて、両方の長所が得られます。GPUノードでモデルをトレーニングする場合でも、大規模な推論をデプロイする場合でも、OKEを使用すると、TensorFlow、PyTorch、Hugging Faceなどのお気に入りのツールを使用してAIパイプラインを簡単に管理できます。
自動化されたスケーリング、GPUサポート、統合ロギング、コスト効率の高い価格設定により、OKEは、セキュアでエンタープライズグレードの環境で、本番環境でのAIワークロードの構築、実行、スケーリングをシンプルにします。
- OCI FastConnect
OCI FastConnectは、病院などのお客様のオンプレミス施設とOracle Cloudの間の専用のプライベート・ネットワーク接続を提供し、エンタープライズ・ワークロードに高スループット、低レイテンシ、予測可能なパフォーマンスを提供します。パブリック・インターネットを完全にバイパスし、ハイブリッド・アーキテクチャとマルチクラウド・アーキテクチャのセキュリティと信頼性を向上させます。
しかし、OCI FastConnectの特徴は、コスト・モデルです。OCIは、アウトバウンド・データ転送料金を課すことが多い他のクラウド・プロバイダーとは異なり、Oracle Cloudよりもデータ・エグレスに課金しません。これにより、医療イメージングなどのデータ重いワークロードのコストを大幅に削減できます。
- OCI Roving Edgeデバイス
OCI Roving Edge Device (RED)は、DICOMデータの送信を促進し、ローカル推論に必要なインフラストラクチャを提供するのに役立ちます。Oracle Cloudのパワーをエッジにもたらします。堅牢でポータブルで高性能なノードにより、アプリケーションの実行、データの処理、切断環境やリモート環境でのAIモデルの導入が可能になります。
REDは、OCIサービスとの完全な互換性により、低レイテンシのエッジ・コンピューティングを実現します。仮想マシン、コンテナおよびデータをプリロードし、接続が使用可能な場合はクラウドと同期できます。
レコメンデーション
- 仮想クラウド・ネットワーク(VCN)
VCNを作成するときには、必要なCIDRブロックの数を決定し、VCN内のサブネットにアタッチする予定のリソースの数に基づいて各ブロックのサイズを決定します。標準のプライベートIPアドレス領域内にあるCIDRブロックを使用します。
プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。
VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。
サブネットを設計するときには、トラフィック・フローおよびセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを同じサブネットにアタッチします。このサブネットはセキュリティ境界として機能します。
リージョン・サブネットを使用します。
- クラウド・ガード
Oracleが提供するデフォルト・レシピをクローニングおよびカスタマイズして、カスタム・ディテクタおよびレスポンダ・レシピを作成します。これらのレシピを使用すると、警告を生成するセキュリティ違反のタイプと、それらに対して実行できるアクションを指定できます。たとえば、可視性がパブリックに設定されているOCIオブジェクト・ストレージ・バケットを検出できます。
Oracle Cloud Guardをテナンシ・レベルで適用して、広範な範囲をカバーし、複数の構成を維持する管理上の負担を軽減します。
また、管理対象リスト機能を使用して、特定の構成をディテクタに適用することもできます。
- セキュリティ・ゾーン
最大限のセキュリティを必要とするリソースの場合、Oracleではセキュリティ・ゾーンを使用することをお薦めします。セキュリティ・ゾーンは、ベスト・プラクティスに基づくセキュリティ・ポリシーのOracle定義レシピに関連付けられたコンパートメントです。たとえば、セキュリティ・ゾーン内のリソースには、パブリック・インターネットからアクセスできないようにし、顧客管理キーを使用して暗号化する必要があります。セキュリティ・ゾーンでリソースを作成および更新すると、OCIはレシピのポリシーに対して操作を検証し、いずれかのポリシーに違反する操作を防止します。
- ネットワーク・セキュリティ・グループ(NSG)
NSGを使用して、特定のVNICに適用されるイングレスおよびエグレス・ルールのセットを定義できます。NSGでは、VCNのサブネット・アーキテクチャとアプリケーションのセキュリティ要件を分離できるため、セキュリティ・リストではなくNSGを使用することをお薦めします。