検索
特集/連載

医療機関が「セキュリティ評価88点」に安心できない訳 必要なサイバー対策は?医療データセキュリティとリスク管理【第2回】

医療業界は比較的高いセキュリティ評価を得ている一方で、依然としてサプライチェーンを狙う攻撃やランサムウェアなどの深刻なリスクにさらされています。その実態と、必要な対策を解説します。

[藤本 大,SecurityScorecard] PC用表示 関連情報
Share
Tweet
LINE
Hatena

 医療組織に対するサイバー攻撃やデータ侵害は、金銭的損失や評判の低下にとどまらず、患者の生命に直接的な影響を与えるリスクがあります。医療分野におけるリスク管理を強化し、患者の安全と健康を最優先にするためには、最新のサイバー脅威を把握し、効果的な対策を講じることが不可欠です。

 本記事では、

  1. 医療業界のセキュリティ態勢の評価
  2. サイバー攻撃の脅威事例:BlackCat
  3. 医療業界におけるコンプライアンス管理とリスクを軽減するための実践的な戦略

について解説します。

1.医療業界のセキュリティ態勢の評価

 米国の大手ヘルスケア企業500社を対象に、セキュリティ評価サービスを提供するSecurityScorecardが実施した調査によると、2024年上半期における医療業界全体のセキュリティレーティング(セキュリティ態勢を客観的に評価する指標)は「B+」でした(最高ランクは「A」で100点満点)。比較的高い評価を得ている一方で、サプライチェーン(部品やサービスの供給網)を狙ったサイバーリスクが依然として大きな課題となっています。

調査結果の要点

 医療業界のセキュリティ評価に関する調査結果の要点は、以下の通りです。

  • 医療業界のセキュリティレーティングはB+
    • 米国の医療業界の平均スコアは88点となり、予想を上回る結果でしたが、B評価の組織は、A評価の組織よりデータ侵害の被害を受ける確率が2.9倍高くなっています。
  • 医療業界はサードパーティー由来の侵害の影響を最も受ける
    • 2023年に発生したサードパーティー(外部委託先や取引先など)由来の侵害の35%が医療機関に影響を与え、他の業界を上回っています。医療サプライヤーのエコシステムはランサムウェアの主なターゲットになっていて、攻撃者が1つの脆弱(ぜいじゃく)性から複数の医療機関へ同時に侵入する傾向も見て取れます。
  • 医療機器関連企業は侵害リスクが高い
    • 医療機器メーカーおよび医療機器を扱う企業のセキュリティスコアは、業界全体よりも2〜3ポイント低くなっています。他の医療部門と比較してデータ侵害の発生が16%高い結果となっています。
  • アプリケーションセキュリティの脆弱性
    • 医療業界において最も脆弱な分野はアプリケーションセキュリティです。調査対象組織の約48%が最低スコアを記録しました。特にソフトウェアサプライチェーンを標的とした攻撃では、攻撃者がソースコード、構築プロセス、パイプラインツール、またはソフトウェア更新を悪用して、ベンダーやその顧客に対して広範囲な影響を及ぼすリスクが高まっています。
  • 証拠が見つかっている侵害は比較的少ないが、脅威は増大の一途
    • 過去1年間に公的に報告されたデータ侵害における医療機関の割合は5%で、過去30日間にネットワーク上の機器が侵害された証拠が見つかった医療機関は6%でした。しかし、ランサムウェア(身代金要求型マルウェア)は、依然として医療業界にとって大きなの脅威であり、その影響は年々拡大しています。

2.サイバー攻撃の脅威事例:BlackCat

 2024年2月12日、ヘルスケア企業UnitedHealth Groupの中核的な請求処理部門であり、米国の医療請求処理の大手企業であるChange Healthcareがランサムウェア攻撃を受け、一部の病院は1日当たり数百万ドルの損害を被りました。このサイバー攻撃は、米国の医療業界全体の業務の継続性や財務の安定性を大きく揺るがし、甚大な影響を及ぼしました。

 Change Healthcareは犯罪グループ「BlackCat」(ALPHV)が実行したランサムウェア攻撃を受け、100個を超えるシステムの接続を切断せざるを得なくなり、医療請求処理プロセスは完全に停止、多くの医療提供者が廃業の危機に瀕しました。その後、約2200万ドル(350ビットコイン)の身代金を支払ったと発表しています。

 BlackCatは、2021年11月に登場したRaaS(サービスとしてのランサムウェア)グループで、ランサムウェア「DarkSide」の後継として知られています。過去には、石油パイプライン運営会社Colonial Pipelineへの攻撃に関与したBlackMatterの後継と見なされていたこともあります。高度な攻撃手法を用い、米国の企業や機関を標的にしています。

 Change Healthcareがランサムウェア攻撃を受けたことで、企業のセキュリティ担当役員はサプライヤーの監視とセキュリティ対策を強化する取り組みを余儀なくされています。医療サービスの継続のためにどのような対策が必要なのでしょうか。

3.医療業界におけるコンプライアンス管理とサイバーリスク対策の重要性

 上述の調査結果でも明らかになっているように、医療業界は機密性の高い膨大な量の患者データを保有しているため、攻撃者にとって魅力的なターゲットになりやすいのです。デジタル技術の普及により、そのリスクは増大しています。患者のプライバシーを保護し、業務の完全性を確保するには、強固なセキュリティ対策とコンプライアンス(法令順守)の徹底が不可欠です。

 効果的なセキュリティリスク管理プログラムを導入することで、組織はコンプライアンス対応を強化し、ネットワークの安全性を向上させることが可能です。医療ITにおけるコンプライアンスとセキュリティを維持するための重要な戦略は次の通りです。

  • 医療ネットワークの保護
    • 特定のリスクがセキュリティレーティングに与える影響を理解し、戦略に優先順位を設定することで、セキュリティ体制を強化します。
  • サードパーティーエコシステム内の脅威を特定
    • サードパーティーベンダー、販売代理店、サービスプロバイダーのセキュリティを監視し、最もリスクの高いサードパーティーを特定し、適切な対策を講じることが重要です。
  • サプライチェーン全体のリスク管理
    • サプライチェーン全体のセキュリティ管理が必要不可欠です。サードパーティー、さらにフォースパーティベンダーもリスク要因になるため、企業のデジタルエコシステム全体を包括的に監視し、リスクを評価することが不可欠です。
  • セキュリティ対応の迅速化
    • 意思決定を迅速化し、リアルタイムで脆弱性に対処できるシステムを構築することで潜在的な攻撃リスクを最小限に抑えることが可能です。

 さらに、患者ケアのために電子医療記録(EHR)やインターネットに接続された医療機器を活用する施設が増え、病院や診療所などの医療機関は高度なテクノロジーにますます依存するようになっています。その結果として、効果的に医療リスクを管理するためのセキュリティの重要性がこれまで以上に高まっています。今日の医療機関がリスク管理システムを構築する際に考慮すべき重要な点を詳しく見ていきましょう。

医療におけるデータ保護とリスク管理における戦略

 医療業界は、デジタル技術の台頭や患者データのプライバシーに関する懸念の高まりにより、急速に変わりつつあります。医療リスク管理は必要不可欠となっています。医療におけるリスク管理の 3 つの重要な対策をご紹介します。

  • 患者のデータと記録の保護
    • 医療機関は患者や取引先などの機密データを保持していることから、その適切な管理が求められます。データ管理の取扱を誤ると、個人情報の漏えいだけでなく、患者の生命に直接的な危害をもたらす可能性があります。米国では、医療保険の相互運用性と説明責任に関する法律(HIPAA)が患者データの保護に関する明確な要件とガイドラインが定められています。このガイドラインを順守することで、医療機関はデータの安全性を確保し、サイバー脅威からの保護を強化することが可能になります。
  • ネットワークの脆弱性を特定
    • セキュリティの確保は医療機関が直面する最も重要な課題の一つです。特に、多くの医療機関が新しいテクノロジーを導入し、デジタル変革を進めているため、ネットワークの脆弱性を特定して監視することは必須となっています。
  • ビジネスの継続性と患者の安全の確保
    • 医療機関において、サイバー攻撃やシステム障害が発生した場合、患者の安全と業務の継続性をいかに確保するかが重要な課題となっています。適切なリスク管理を実施することで、攻撃発生後も迅速に通常業務に復旧できる体制を構築できます。

 サイバーリスクは、今後も進化し続ける脅威です。医療機関はリスク管理を継続的に見直し、適応し続ける必要があります。次回は、医療データのリスク管理と未来、そして健全な医療システムを構築するための方法について解説し、持続可能なセキュリティ対策の方向性を探ります。

執筆者紹介

藤本 大(ふじもと・だい) SecurityScorecard 日本法人代表取締役社長

1996年に日本電信電話に入社し、東日本電信電話、NTTコミュニケーションズで法人営業に従事。 製造業、サービス業、金融業等の大手日本企業や外資企業を担当し、ネットワークサービスのみならずさまざまなセキュリティサービスを提供。 2017年にファイア・アイに入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。 2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業


関連キーワード

脆弱性対策 | 電子カルテ | 医療IT


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る