病院の情報セキュリティは、ベストプラクティスとユーザーニーズのバランスが難しい：セキュリティと利便性のトレードオフ

病院のITを担う医療情報部門では、スタッフに不便を感じさせずに患者データのセキュリティを確保する方法を絶えず模索している。課題は、セキュリティとユーザーニーズを満たす妥協点を見つけることだ。

[Reda Chouffani，TechTarget]

　米国司法省公民権局（Office for Civil Rights：OCR）に報告されるセキュリティ侵害の増加というデータは、医療組織がサイバーセキュリティのベストプラクティスを導入し続けなければならないという強力なメッセージを伝えている。2018年最初の2カ月だけで、こうした侵害が50万1325人の患者に影響を及ぼした。その数は2017年同期比224％増になる。ただし、IT部門はエンドユーザーの利便性とデータのセキュリティを厳しく保護することのバランスを取るのは難しいと考えている。

　医療情報システムのセキュリティを強化する場合、さまざまな側面を考えることになる。病院では、保護を強化する過程で以下に示す複数の層のセキュリティ確保を検討する必要がある。

• エンドポイント層：この層は、システムに接続するデバイスの保護に関係する。
• ネットワーク層：この層では、監視とセキュリティの確保が必要な通信トラフィックを全てサポートする。
• インフラ層：全てのサーバを含む。
• クラウドサービス層：この層は、オンラインサービスに関連する全てのワークロードとクラウドベースのワークロードに関係する。
• ID管理層：この層は、アクセス権の所持者とその対象の識別・認証に対処する。

　ID管理層はエンドユーザーの目に最も触れる層の1つだ。この層は、インフラ内のさまざまなシステムやデータへのアクセス権を取得する際に影響する。多要素認証（MFA）の導入、パスワードをより複雑なものにすること、パスワードの有効期限の設定などは、ユーザーに追加の要件を課すことから、これを嫌がるエンドユーザーもいる。ただし、こうしたサイバーセキュリティのベストプラクティスは、不正アクセスや資格情報のリークに対する強力な防御になる。MFAでは、ユーザーが追加の認証を受ける方法について、IT部門が多くの柔軟性を提供できる。テキストメッセージの受信や電話呼び出し、アプリやスマートウォッチからの承認要求などのオプションがある。

併せて読みたいお薦め記事

病院をサイバー攻撃から守る

• 医療機関に求められるサイバーセキュリティ5訓
• 2017年も被害は続く？　病院を狙うランサムウェア攻撃を防ぐ5つのヒント

医療現場のセキュリティは今

• AI技術で全トラフィックを監視　医療データのセキュリティ確保を目指す病院
• SaaSアプリが医療現場のセキュリティリスクを軽減する4つの理由
• なぜ小規模病院やクリニックはサイバー攻撃に対して無防備なのか？

リアルタイム情報保護