Health-ISAC’s Errol Weiss: What Leaders Need to Do Now Around Cybersecurity
Health-ISACの最高セキュリティ責任者であるErrol Weissが、米国の医療サイバーセキュリティの現状について述べた内容の要約です。
- 医療分野におけるサイバー脅威は年々悪化している。脅威者はより高度化し、ランサムウェア、データ漏洩、フィッシング詐欺などが深刻化している。
- Change Healthcareの事例のように、脅威の対象領域が拡大しており、医療機関は想定外の被害に見舞われている可能性がある。
- 病院経営者は、技術とセキュリティ人材への投資を増やす必要があるが、財務状況が厳しい中で困難を極めている。政府からの支援やインセンティブが求められる。
- バックアップの監査、行動監視、セキュリティ運用センター、ネットワークマイクロセグメンテーションなどの高度な対策の導入が遅れている。
- 多要素認証、バックアップ、パッチ適用、脆弱性テストの実施が重要である。CISOの設置も喫緊の課題だ。
- サイバー犯罪者は膨大な資金を持ち、AIの進化と相まって、今後さらに脅威が高まると予想される。
医療分野は脆弱性が高く、リソースが不足しているため、組織的なセキュリティ対策の強化が急務となっている。
Table of contents
サイバーセキュリティ強化のための具体的な取り組みとして、Weiss氏は以下を提言しています。
バックアップ戦略の強化
- ランサムウェア対策として、バックアップデータを犯罪者に無価値なものにする
- バックアップからの迅速な復旧が可能なようにする
- バックアップの定期的なテストが不可欠
脆弱性管理の徹底
- ソフトウェアの最新パッチを適用し、脆弱性を解消
- 脆弱性スキャンと監視を継続的に実施
マルチファクター認証の導入
- 重要システムへのアクセスにおいて、複数の認証要素を要求
セキュリティ人材の確保
- CISOの配置が医療機関で遅れており、優先的に人材を確保する必要
- 他業界から経験者を招聘するのも一つの選択肢
政府や業界団体の支援活用
- 政府から提供されるベストプラクティスなどの情報資源を参照
- 業界団体によるサイバー情報共有に参加
医療分野のサイバーセキュリティ確保は簡単ではありませんが、上記の多層的な取り組みを通じて、リスクを低減することが重要だと述べています。
医療サイバーセキュリティ強化のための追加情報
Errol Weiss氏の提言に加えて、医療機関がサイバーセキュリティを強化するために考慮すべき重要なポイントをいくつか紹介します。
脅威インテリジェンスの活用:
- 最新のサイバー脅威情報を入手し、攻撃手法や傾向を把握することで、より効果的な対策を講じることができます。
- 業界団体や政府機関が提供する脅威情報共有プラットフォームを活用することも有効です。
セキュリティ意識向上トレーニング:
- 従業員に対するセキュリティ意識向上トレーニングを実施し、フィッシング詐欺やソーシャルエンジニアリングなどの手口に対する知識を深めることが重要です。
- 定期的なトレーニングを通じて、セキュリティに対する意識を維持することが大切です。
インシデント対応計画の策定:
- サイバー攻撃を受けた場合に備えて、インシデント対応計画を策定しておくことが重要です。
- 計画には、連絡体制、復旧手順、証拠保全などの項目を含める必要があります。
サードパーティリスク管理:
- 医療機関は多くの外部ベンダーと連携しているため、サードパーティリスク管理も重要です。
- ベンダーのセキュリティ対策状況を評価し、リスクを軽減するための対策を講じる必要があります。
継続的な改善:
- サイバーセキュリティは継続的な取り組みが必要です。
- 定期的にセキュリティ対策を見直し、改善していくことが重要です。
技術的対策:
- 侵入検知・防御システム(IDS/IPS)やエンドポイントセキュリティなどの技術的対策を導入することで、サイバー攻撃の検知や防御を強化できます。
- セキュリティ情報イベント管理(SIEM)システムを活用して、セキュリティイベントの監視や分析を行うことも有効です。
医療機器のセキュリティ:
- 医療機器はサイバー攻撃の標的となる可能性があるため、セキュリティ対策を強化する必要があります。
- 医療機器メーカーと連携して、セキュリティパッチの適用や脆弱性管理を行うことが重要です。
医療サイバーセキュリティのさらなる考察
Errol Weiss氏や私たちの議論に加えて、医療サイバーセキュリティについてさらに深く掘り下げてみましょう。
医療データの価値:
- 医療データは個人情報や金銭情報よりも高値で取引されるため、サイバー犯罪者にとって魅力的な標的となっています。
- 医療機関は、データの価値を認識し、それに応じたセキュリティ対策を講じる必要があります。
規制とコンプライアンス:
- 医療機関は、HIPAAなどの個人情報保護法を遵守する必要があります。
- 法令遵守を怠ると、罰金や評判の低下などのリスクがあります。
サイバー保険:
- サイバー攻撃による損害を補償するサイバー保険への加入を検討することも重要です。
- 保険会社は、セキュリティ対策の強化を条件に保険料を割引く場合があります。
国際的な脅威:
- サイバー攻撃は国境を越えて行われるため、国際的な脅威にも注意が必要です。
- 海外の医療機関との情報共有や連携を強化することも重要です。
将来の展望:
- AIやIoTなどの技術の進歩に伴い、サイバー攻撃の手口もさらに高度化すると予想されます。
- 医療機関は、最新の技術動向を把握し、それに対応したセキュリティ対策を講じる必要があります。
医療サイバーセキュリティの最新トレンド
1. AIとウェアラブルデバイスの台頭:
AIとウェアラブルデバイスが医療サイバーセキュリティを変革しています。AIを活用した医療機器の世界市場は急速に成長しており、2023年の154.2億ドルから2024年には223億ドルに増加すると予測されています[1]。
2. テレメディシンの普及:
COVID-19の影響でテレメディシンの利用が急速に広がっています。テレメディシンは、仮想的な医療サービスを提供するためにクラウド接続を介してデータを共有することがあります。しかし、クラウド接続やリモートデバイスの脆弱性により、セキュリティリスクが増加しています[3]。
3. IoTと接続された医療機器の普及:
病院や医療機関では、ウェアラブル医療機器や監視センサーなど、数十から数百のIoTデバイスを使用しています。これらのデバイスはクラウドベースのネットワークに接続されており、攻撃の標的となる可能性があります。IoTデバイスの増加に伴い、セキュリティの脆弱性も増加しています[3]。
4. AIと機械学習による脅威検知と対応:
医療業界のデジタル化が進む中、新たなシステムを標的とする攻撃も増えています。これに対抗するため、AIや機械学習を活用して脅威の検知と対応を行う取り組みが進んでいます[3]。
5. サイバーセキュリティの予算と教育の重要性:
医療機関は、サイバーセキュリティに十分な予算を割り当てる必要があります。また、従業員の教育や意識向上も重要です。サイバーセキュリティの教育とトレーニングを通じて、従業員がセキュリティリスクを認識し、適切な対策を講じることが求められます[3]。
- Five healthcare cybersecurity trends to monitor in 2024
- The Future of Cybersecurity in Health Care | Deloitte US
- The State of Healthcare Cybersecurity: Top Insights and Trends
Health-ISACのメンバーシップは、公立および私立の病院、診療所、健康保険支払者、製薬/バイオテクノロジー製造業者、検査・診断、医療機器製造業者、医学校、医療研究開発機関、その他の関連する健康セクターの関係者に開放されています。
メンバー組織は協力することでより強靭になり、重要なインフラストラクチャーを持つ健康セクター全体とその重要な役割に利益をもたらします。
