脆弱性放置が平均345日 検知はできても直せない「死角」の正体:深刻な人手不足が招くセキュリティの形骸化
ヘルスケア業界ではNIST CSF 2.0導入によりリスク可視化は進んだが、対処が追い付かない現状が浮き彫りになった。脆弱性が平均345日間も放置される背景には、深刻な人手不足がある。ツールで問題を見えるようにしても、直す人がいないと意味がない。
ヘルスケア企業にとって、サイバー脅威の可視化は長年の課題だった。しかしFortified Health Securityの最新レポートは、業界の可視化能力が向上していると指摘する。同社がNIST(米国国立標準技術研究所)の「サイバーセキュリティフレームワーク(CSF)2.0」に基づく評価データを分析したところ、2026年上半期の重要および高リスクの指摘事項は、前年同期比で60%増加した。
一方で、特定したリスクの是正(レメディエーション)は依然として課題だ。レポートによれば、リスク是正率は2025年第1四半期の23.3%から、2026年同期には6.4%へと大幅に低下した。特定されたリスクが解決されるまでの期間は、平均345日に及ぶ。
レポートは「これは単一の壊滅的な侵害の話ではない。可視化のスピードに対応能力が追い付いていない現状の記録だ」と述べている。
問題を可視化しても、直す人がいないと意味がない
本テーマに関連した編集部お薦め記事
明るい材料もある。NIST CSF 2.0を採用したヘルスケア組織が着実に成果を上げていることだ。同フレームワークは、セキュリティの不備を可視化している。脆弱性の特定は対策の第一歩であり、この分野での進歩は明らかだ。
2026年の予測では、サプライチェーンのリスク管理についての指摘事項が2025年比で6倍、ID管理や認証・アクセス制御についての指摘は4倍に達する見通しだ。指摘事項の増加は懸念材料にも見えるが、これまで見過ごされていた脆弱性を把握できている証拠といえる。
Fortified Health Securityは、NIST CSF 2.0の6つの機能(統治、識別、防御、検知、対応、復旧)で業界の現状を評価した。
分析の結果、インシデントの根絶や役割・責任の明確化、インシデントへの対応能力は向上している。一方で、重要サプライヤーのリスク評価や継続的なモニタリング、監視、トレーニングといった分野では依然として改善が遅れている。
こうした不備の背景には、深刻な人員不足などの運用上の制約がある。
「人的資源の課題は今に始まったことではない。最新のツールやフレームワークが、既存の欠陥をより鮮明にしただけだ」とレポートは指摘する。「チームが優先順位を適切に定めても、実務を担う人員がいなければ是正は停滞する。フレームワークで増員の問題は解決できない」
限られたリソースに加え、優先順位の決定も是正を阻むボトルネックとなっている。
セキュリティチームは日々、膨大な脆弱性への対処を迫られる。その脆弱性が進行中のランサムウェア攻撃に関連しているかどうか、患者に直接影響するシステムかどうかなど慎重な判断が必要だ。このプロセスは必要だが、人員が限られる環境では是正を遅らせる要因となる。
総じて、ヘルスケア組織のリスク特定能力は高まっている。次の課題は、それらのリスクをいかに軽減するかである。
「可視化した情報を基に、優先順位の策定や戦略的ロードマップの作成、リソースの配分を行う組織こそが、膨大な課題リストをリスク削減へと変えられる。それができなければ、次の重大ニュースの主役になるだけだ」とレポートは警告している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「ITガバナンス」はなぜ形骸化するのか? 運用現場を動かす“11の鉄則”
「ITガバナンス」と聞けば「面倒な管理業務」を想像しがちだが、その管理を怠れば企業上のリスクに直結する。形骸化したガバナンスを「武器」に変えるためのベストプラクティスと、主なフレームワークを解説する。
サイバー攻撃の損失額を定量的に計算するFAIRモデルとは?
サイバー攻撃の脅威は高まる一方、企業では予算や人員の配分が課題となっている。こうした中、注目されるのがサイバーリスクを定量的に評価する手法だ。その仕組みと、分析に必要なデータの収集方法を解説する。