ヘルスケア CISO の進化

かつては、病院の担当者が電子カルテや接続デバイスの安全性など、IT について心を配る必要はなく、患者のプライバシーを守るための作業といえば、書類棚に鍵をかけることでした。しかし、現在では問題はそんなシンプルではありません。

サイバーセキュリティの現実と、法規制のコンプライアンス要件が高度化する中、医療機関は、機密情報とシステムを保護するための集中的で包括的なアプローチの構築に長けたセキュリティリーダーを必要としています。医療機関の CISO は、破壊的なサイバー攻撃によって、収益が脅かされることだけでなく、患者にサービスや治療を提供できなくなるかもしれない、という危険性に直面しています。医療機関の CISO は、サイバーセキュリティからサイバーレジリエンスに重点を移す必要があるという意識の切り替えに迫られています。 

医療機関の CISO はサイバーセキュリティに大きな対価を費やす 

IBM の「Cost of a Data Breach 2023」レポートによると、ヘルスケア業界におけるデータ漏洩の平均価格は 1,093万ドルで、データ漏洩全体の世界平均コスト 445万ドルの 2倍以上となっているます。また、昨年の報告書で指摘された医療データ漏洩の平均コストは 1,010万ドルでした。この数字の中には、検知やエスカレーション活動、通知、侵害後の対応、ビジネスの損失に関連する費用が含まれています。 

こうした費用の上昇に伴い、多くの医療機関はサイバーセキュリティの専門家を採用し、セキュリティを確保するという課題に直面しています。「<arel="noopener" href="https://www.himss.org/sites/hde/files/media/file/2023/04/03/2022-himss-cybersecurity-survey.pdf" target="_blank">2022 HIMSS Healthcase Cybersecurity Survey」では、セキュリティ専門家の約 61％が、より強固なサイバーセキュリティを実現するための障害としてサイバーセキュリティスタッフの不足を挙げています。当然のことですが、攻撃者が休暇を取って攻撃の手を緩めるということはありません。ランサムウェアやフィッシング攻撃は依然として一般的な脅威であり、世界中の組織で、電子メールやマルウェアの防御力が日々試されています。 

さらに問題を複雑にしているのは、組織が、広範な環境にわたって、保護策を講じなければならない状況です。平均的な病院では、患者用ベッド 1台につき 10台以上の接続機器が存在します。これらの機械は、患者モニターから輸液ポンプまであらゆるものを含み、重要な機能を果たすが、その多くが、攻撃

に対して脆弱な古いバージョンの OS 上で稼動していることがあります。 

Ponemon Institute とセキュリティベンダーの Cynerio が発表したレポート「The Insecurity of Connected Devices in Healthcare 2022」の医療専門家調査では、回答者は、医療用 IoT やその他のコネクテッドデバイスに対する脅威のトップ 3 として、モノのインターネット （IoT） ネットワークに対する可視性の欠如、ゼロデイ脆弱性、フィッシングを選んでいます。また、この調査で、IoT および医療のインターネット （IoMT） 機器によって生じるセキュリティリスクを 1～10段階で評価するよう回答者に求めたところ、71％が「高い」または「非常に高い （7以上）」と回答しました。一方で、自組織の IoT/IoMT セキュリティ活動が「成熟している」と回答したのはわずか 21％でした。 

タブレットやノートPC といったエンドポイントも保護される必要があります。そこから盗まれたデータはダークウェブに流れることもあります。これらのデバイスにはそれぞれ、機密性のある医療情報が含まれている可能性が高く、正確な在庫の追跡と維持は、セキュリティとコンプライアンスの重要な機能でもあります。端末の継続的な可視化と制御がなければ、医療組織はデータ保護を検証できず、個人情報保護法などのコンプライアンス基準の遵守を証明することができません。 

しかし、すべてのサイバー脅威が CISO の目の届く範囲で行われるわけではありません。サイバーセキュリティ戦略は、保護された医療情報にアクセスする可能性のある請負業者のエコシステムｍ考慮しなければならないのです。たとえば、オレゴン・ヘルス・プラン・コーディネート・ケア組織 （CCO） にサービスを提供しているパフォーマンス・ヘルス・テクノロジー （PH TECH） は、今年、MOVEit ファイル転送ソフトウェアの重大な脆弱性を狙った攻撃によって被害をうけました。調査の結果、サイバー脅威者は MOVEit を使用して、PH TECH データファイルをダウンロードしていたことが判明しました。これにより、オレゴン・ヘルス・プランの会員 170万人以上が影響を受けたと報告されています。MOVEit の攻撃に関連する別の事件として、Nuance Commucations の報告が挙げられます。ここでは、複数の医療機関の患者情報を含む情報漏洩が発生しました。 

サイバーレジリエンス、医療機関 CISO の新チャプター 

他の多くの業界とは異なり、医療分野に対するサイバー攻撃は、人々の生命の安全や福祉に直接影響を与える可能性があります。Ponemon Institute と Proofpoint が医療機関の IT およびセキュリティ専門家を対象に実施した調査について考えてみましょう。この調査によると、ランサムウェア、サプライチェーン攻撃、クラウド侵害、ビジネスメール侵害 （BEC） 攻撃の影響を受けた組織の平均 3分の 2が、医療処置による合併症の増加から検査の遅延に至るまで、患者ケアへの混乱を報告しています。 

実際の例としては、複数の州で病院、診療所、外来患者施設を運営するプロスペクト・メディカル・ホールディングス　（PMH）　に対する今年初めのサイバー攻撃が挙げられます。サイバー攻撃の影響で、一部の選択手術、献血、外来予約、献血活動、その他のサービスが保留になったと報じられています。 

このような事件をきっかけに、サイバーレジリエンスの重要性に対する認識が高まっています。CISO にとって、事業継続は、取締役会、CIO、CEOとのセキュリティに関する議論の一部であるべきものです。 

2024年以降のサイバーセキュリティの予兆を改善 

CISO の仕事の重要な側面は、組織のビジネスとセキュリティのニーズのバランスを取ることです。有能な CISO とは、単なる CIO のアドバイザーではなく、主要な利害関係者とコミュニケーションを図り、どのシステムやプロセスがサービスを提供する上で最も重要で、攻撃者から最もリスクを負っているかを明確に報告できる人物であるべきです。事業継続性に焦点を当てる、つまりどのようなセキュリティとインシデント対応の実践が、攻撃発生時のダウンタイムを最小化し、攻撃者が重要なシステムを侵害するために越えなければならないハードルを高くしているのか。それを明確に把握する必要があります。このような活動には、バックアップや災害復旧計画、VPN や電子メールアクセスのための多要素認証などの活動が含まれます。 

たとえば、米国標準技術研究所が定める NIST 800-53 のようなセキュリティフレームワークを導入することで、組織がセキュリティの取り組みに優先順位をつけるのに役立てることができます。効果的なセキュリティ戦略は、物理的セキュリティとデジタルセキュリティを包含すべきです。多くの情報が保護されている以上、機密システムへの不正な物理的アクセスは、ネットワークと同様に厳重に保護されなければなりません。戦略のこの側面は、端末の物理的な管理にもおよびます。紛失した資産を回収し、ネットワークに接続されていなくてもコンプライアンス・レベルを維持できるようにする必要があります。エンドポイントセキュリティと管理テクノロジーを取り入れることによって、端末のインベントリが可視化され、紛失や盗難の際にリモートワイプを可能にするなどの、重要な措置を行うことができます。端末上のセキュリティ制御機能が、ソフトウェアの腐敗や悪意のある行為に起因して不健全な状態にある場合、サードパーティのコントロールを修復できるソリューションにより、リスクを最小限に抑え、端末を安全に使用できるように健全な状態に回帰することができます。 

サイバーレジリエンスを重視することで、CISO は、脅威の検知と予防だけに注力するのではなく、インシデントレスポンスとリカバリ、継続的なリスク評価を含むより広範な戦略にシフトすることができます。脅威の状況、リスク管理、事業継続性を総合的に考えることで、医療機関の CISO は 2024年がもたらす新たな課題にうまく適応できるようになることでしょう。

アブソリュートが医療機関にどのように貢献できるかについての詳細は、ここをクリックしてください。