目次 |
医療データや医療機器の取り扱いには、極めて大きなリスクが伴います。患者のカルテが脅威アクターに窃取された場合、単に利用を停止して新しいカルテを発行するというわけにはいきません。これは、侵害によってクレジットカード番号やメールの認証情報が窃取された場合とは異なります。過去には、カルテの窃取が原因で一部のクリニックが廃業を余儀なくされているほか、患者に対する脅迫も発生しています。
また、医師や看護師をサポートする医療技術や IT インフラに対するサイバー攻撃は、サイバーインシデントから現実の医療緊急事態へと即座に発展する可能性があります。
医療分野におけるサイバーセキュリティ
今日、「医療分野のモノのインターネット」(IoMT)とも呼ばれる医療用 IoT は、ナースコールシステムやネットワーク接続型の医療機器/診断装置から、患者のバイタルサインを監視するウェアラブル機器やその他の Wi-Fi 対応デバイスに至るまで、医療分野のエコシステム全体のデバイスとシステムを接続しています。実際、Deloitte 社は、IoMT 市場が 2017 年の 410 億ドルから 2022 年には 1,580 億ドルに達すると予測しています。これらのデバイスの多くはまったく新しいものですが、中にはかなり古いデバイスも存在しているため、状況はさらに難しくなっています。
IoMT の規模と複雑さが増すにつれ、そのセキュリティリスクは飛躍的に高まっています。また、医療分野に対する攻撃も増え続けています。
米国保健福祉省(HHS)によると、医療機関に対するデータ侵害は 2018 年から 2021 年にかけて 84% 増加しています。また、FBI インターネット犯罪苦情センター(IC3)の最新データでは、16 の重要インフラ部門全体のうち、ランサムウェア被害を訴える報告の 25% を医療分野が占めています。
さらに、近年では医療分野におけるデータ侵害の平均コストが 1,010 万ドルに達し、他のどの業界よりも高くなっています。
そのため、複雑な環境を安全に実現しようとする際に直面する課題について、医療業界の声を直接聞くことは極めて重要です。
医療分野における 6 つのサイバーセキュリティ課題
組織で強固なサイバーセキュリティ体制を構築・維持しようと努めるチームにとって、その取り組みの妨げとなるものは何でしょうか。この疑問に答えるため、BlackBerry は米国、カナダ、英国の IT およびサイバーセキュリティリーダー 400 人以上を対象に調査を実施しました。
以下は、医療分野の回答者から寄せられた上位の課題です。
1. 予算の制約
回答者の 83% が、必要なツールやライセンス、人員を理由に、効果的なサイバーセキュリティプログラムの構築にはコストがかかると答えています。
2. インシデント対応計画の欠如
調査対象の業界のうち、サイバー脅威や侵害に対処するためのインシデント管理プロセスがあると答えた回答者が最も少なかったのは、医療分野でした。3 人に 1 人が、侵害への対応準備ができていないと答えています。
3. 限られた検知能力
ゼロデイやその他の高度な脅威を検知して対応するための知識、ツール、可視性が組織に備わっていると答えた回答者は、わずか 45% でした。
4. アラート疲れ
多くの回答者が、セキュリティアラートに圧倒されていると答えています。これはすべての業界に共通する課題ですが、医療分野においては、セキュリティツールから日々大量に生成されるアラートを処理する能力がないと答えた回答者が 50% に上ります。
5. サイバーセキュリティ人材のギャップ
脅威が現れ続けるこの状況の中、10 分の 4 近く(38%)の回答者が、24 時間 365 日体制のセキュリティチームとツールが用意できていないと答えています。
また、77% の回答者が、専任のセキュリティオペレーションセンター(SOC)を設置するための作業量に困難を感じています。
6. クラウドセキュリティに関する課題
回答者の 42% が、デジタル環境での保護が最も難しい 2 つの要素として、クラウドストレージとクラウドアプリケーションを挙げています。
これらはたしかに大きなハードルですが、BlackBerry の調査では、組織がセキュリティ体制の改善措置を講じているという前向きな兆候もいくつか見られます。
マネージドサービスの成長分野の 1 つに、XDR(Extended Detection and Response)があります。XDR ソリューションは、組織のデジタル環境全体で脅威の検知と解析を一元化することで、エンドポイント検知/対処(EDR)ソリューションのコア機能を拡張します。また、セキュリティチームに対し、テクノロジー環境全体についてのまとまりのある総合的な視点を提供します。
しかし、今回の調査でも明らかになっているように、XDR には大きな課題があります。XDR を効果的に導入するには、時間、予算、人員の面で多大なリソースが必要なのです。この点でも、マネージドサービスはギャップの解消に大いに役立ちます(このトピックの詳細については、Midmarket Game Plan: Shore Up Security and Resilience with Managed XDR(ミッドマーケットにおける戦略:マネージド XDR によるセキュリティとレジリエンスの強化)をご覧ください)。
医療分野におけるサイバーセキュリティの未来
米国の政府と民間部門の医療/セキュリティリーダーで構成される「医療産業サイバーセキュリティタスクフォース」は、サイバーセキュリティに関してはトレードオフの状況を避けるよう、業界に対して次のように呼びかけています。
「医療システムが安全でない状態で接続されている場合、この接続性は患者の安全を損ない、患者を不要なリスクにさらし、本人の手に負えない犠牲を患者に強いる可能性がある。我が国は、患者が接続性と安全性の選択を迫られることのないように、解決策を見出さなければならない。」
では、医療分野の保護がますます複雑化し、医療用 IoT の規模が拡大する中、リスクの高いトレードオフを避けるにはどうすればよいのでしょうか。病院やクリニックが最先端の医療技術を採用する必要に迫られ、人員不足のサイバーセキュリティおよび IT チームが「常時稼働」の本番環境でそれらを保護することが期待されている状況では、これはたしかに困難なことです。
医療分野におけるゼロトラスト
1 つのアイデアは、認証上の課題を解決するためにゼロトラストネットワークのアプローチ(ZTNA)を検討することです。米国政府と業界の協力の下で作成された「Report on Improving Cybersecurity in the Health Care Industry(医療産業におけるサイバーセキュリティ向上に関する報告)」によると、病院の臨床医は通常、患者の診療時に施設中の複数のコンピューターにアクセスする必要があり、その回数は各勤務時間あたり最大 70 回に達します。
従来のセキュリティでは、いったんアクセスが許可されると、そのアクセスは永続的に、あるいは一定期間維持されるのが通例です。認証期間を短くしたり、ユーザーがデバイスや場所を変えるたびに手動で再認証を要求したりすればセキュリティは向上しますが、ユーザーエクスペリエンスと生産性に悪影響が生じます。かといって認証期間を長くすると、脅威アクターが侵害したアカウントにアクセスできる時間が増えてしまいます。
これに対し、ゼロトラストはユーザーの行動を継続的に監視し、ユーザーとそのデバイスが「信頼」を維持するための適切な権限と属性を保持しているかどうかを検証することで、認証プロセスを効果的に自動化します。
医療分野におけるマネージドセキュリティサービス
もう 1 つの助けとなり得るのは、マネージドサービスの利用を拡大することです。新たなセキュリティ技術やプロセスの導入には、時間とリソースがかかります。また、医療機関を狙ったサイバー攻撃が激化しているため、医療機関が組織の保護を強化するために必要な変更を実施することは、時間との闘いになっています。
多くの医療機関がマネージドサービスに目を向け、予算オーバーを避けつつセキュリティの「カバレッジ」を拡大し、リスクとスタッフの疲労を軽減しようとしているのは、まさにこの理由からです。もしかすると、これこそが読者の組織が求めていた「処方箋」なのではないでしょうか。
.png)
