保険会社がヘルスケアエコシステムの API セキュリティにとって重要である理由
Akamai の インターネットの現状(SOTI)レポートの 10 周年を記念し、ヘルスケアやライフサイエンスなど、弊社がサービスを提供している主要な業界からの知見を共有します。これは SOTI シリーズの最初のブログ記事であり、年内に包括的なレポートにまとめられる予定です。
保険会社は臨床データと金融データの両方に確実にアクセスできるため、ヘルスケアエコシステムにおけるデータ共有の中心であり、その共有を行うためにアプリケーション・プログラミング・インターフェース(API)にますます依存するようになっています。 API を使用すると、ヘルスケア機関、保険会社、患者、その他のサードパーティ(電子カルテシステム、医療機器会社、医療情報交換など)の間でデータを共有できます。
相互運用性を高めることにより、患者のアウトカムと財務上の成果を向上させることができますが、トレードオフも生じます。特に、重要なコンプライアンス要件とセキュリティに関する考慮事項が挙げられます。サイバー犯罪者とアグリゲーターがこれらの機能を攻撃して悪用しており、それによって安全性とプライバシーの両方の問題が生じる可能性があります。
また、API への攻撃はサービスの中断を招く可能性があり、それによって健康保険の申し込みや請求処理に影響が生じ、ダウンタイムに伴う多大なコストが発生し、企業のブランドが損なわれます。
このブログ記事では、API への攻撃に関連する脅威データや傾向を分析して、リスクの程度を把握し、緩和のためのベストプラクティスを提示します。
API 攻撃に関する詳細な調査
Akamai の調査によると、2023 年 1 月から 12 月の間に発生した、ヘルスケアエコシステム(保険会社、ヘルスケア機関、製薬・ライフサイエンス企業)を標的とした API 攻撃の約半数が、保険会社に対するものでした。これは、攻撃者によって API を悪用されるリスクが、他のデジタル中心ではない業種よりも保険会社に集中していることを示しています。
他の規制の厳しい業界(特に決済システムを扱う業界)でも、同様の傾向が見られます。たとえば、金融業界はデジタルトランスフォーメーションがさらに進んでおり、より統合された API をビジネスモデルの一部としてすでに使用しています。オープンバンキングでは API の使用が推進されており、セキュリティリスクが増大しています。そのため、API を狙った攻撃は金融セクターに集中しています。 (攻撃トレンドに関して詳しくは、Akamai の最新のインターネットの現状(SOTI)レポート「 影に潜む脅威:攻撃トレンドで API 脅威を解き明かす」をご覧ください。)
Akamai の研究者が保険会社の API 攻撃データを詳細に調査したところ、特に昨年の四半期ごとの活動に変化が見られましたこの結果には、予測データと実際のデータを調整するために四半期末に実施した、システム間の同期が反映されている可能性があります。
しかし、Akamai の研究者は 2023 年第 4 四半期の初めに活動が急増したことを確認しており、その期間には全体的に活動が増加しました。これは、攻撃者が健康保険の申し込み期間を標的として事業を妨害しようとしたことが原因と考えられます(図を参照)。
規制により API の必要性が増大
データ交換によって財務的成果および臨床アウトカムを確実に向上させることと、データ交換を義務付ける規制要件を遵守しなければならないことは、表裏一体の関係にあります。重要なのは、両方の側面を理解し、両方の側面を最適化することです。
健康アウトカムがアポイントメント数を上回る場合に報酬を与える長期的なアプローチであるバリューベースケア(VBC)への移行が進んでいることは、現在は大量かつ多様な情報を共有する必要があることを示す良い例です。保険会社は長きにわたって、患者やヘルスケア機関の財務データへのアクセス権を保持しています。しかし、VBC データポイント(服薬遵守や入院など)が増加しているため、より 革新的 であるだけでなくより相互運用可能な連続性が必要であり、このデータを共有する手段が求められています。API はそのパイプの役割を担います。
現在、特に API の使用やセキュリティに関する規制はありませんが、数多くの既存の規制に API 要件が含まれています。たとえば、一般データ保護規則(GDPR)、欧州連合の改訂版決済サービス指令( PSD2)、Payment Card Industry Data Security Standard(PCI DSS)です。
API に関する要件は急速に進化しています。特に、2024 年 3 月の PCI DSS v4.0 には、データ侵害リスクの低減を目的とする、システムやソフトウェアの開発と保守における API 使用方法に関する新しい基準が含まれています。
また、 新たな CMS Interoperability and Prior Authorization Rule (CMS 相互運用性および事前認可に関する規則)では、保険会社は次の 3 つの主要カテゴリーの API を維持することが求められます。
患者アクセス API:これにより、保険加入者が自身の医療データにアクセスしやすくなり、保険加入者の満足度が向上する可能性があります
ヘルスケア機関ディレクトリー API:これにより、保険加入者は地理的位置や医療専門分野に基づいてヘルスケア機関や施設を検索できるため、医療へのアクセスが向上します
保険会社とヘルスケア機関の間の API、および保険会社間の API:これらは、医療格差に対処してそれを減らすために役立ち、サービスの重複やコストの削減につながる可能性があります
大きな目的は、管理業務のコストと負荷を減らすことです。特に、事前認可が手作業で処理される場合、患者は特定の治療が保険会社に承認されるのを待ってからその治療を受けなければなりません。遅延により、有害な医学的影響が生じる可能性があり、医療費が増大することも多々あります。
事前認可プロセスなどの複雑な管理業務により、米国のヘルスケア業界では年間 2,656 億ドルのコストが発生しています」
パフォーマンスの向上がリスクの増大につながる可能性
患者はすべてのアプリケーションに同じレベルのユーザー体験を期待しているため、パフォーマンスはますます大きな懸念事項となっています。 つまり、ヘルスケアエコシステムは サービス妨害攻撃 や悪用から保護されている必要があります。
保険会社が API の使用を拡大することにより大きなメリットがもたらされますが、リスクも生じます。 API の無秩序な拡大 により、可視性が損なわれ、アタックサーフェスの拡大に伴ってさらに可視性が悪化する可能性があります。API は複雑なデジタル・トランスフォーメーション・プロジェクトの一部であることが多いため、ヘルスケア機関は API に注目していない場合があります。セキュリティプログラムはなおさら注目されていません。(しかし、 OWASP Top 10 API セキュリティリスクなどの優れた参考基準がいくつかあります。)
日々のビジネス活動に関わるさまざまな種類のデータ(医療データと金融データの両方)は、厳しく規制されているだけでなく、サイバー犯罪者の標的になりやすいため、保険会社にとっての問題が複雑化しています。
可視性によってエコシステムを保護
API セキュリティ は、リスク管理とコンプライアンスの観点から、かつてないほど重要になっています。しかし、API の無秩序な拡大が原因で、ヘルスケア API の特定、カタログ化、保護はますます困難になっています。
4 つの戦略マイルストーン
強力な API セキュリティプログラムを採用することで、 すべての API の可視性 を高め、リスクにさらされていることを把握し、保護を強化することができます。強力な API セキュリティプログラムには、次の 4 つの戦略マイルストーンがあります。
野良 API またはシャドウ API を徹底的に探索することによってインフラの盲点を取り除き、そのような API が廃止されるか、API セキュリティ制御に組み込まれるようにします。
よくあるアラートの種類の分析、API コードの欠陥の修正、誤設定の問題への対処、教訓に基づいて将来の脆弱性を防止するプロセスの実行により、リスクへの対策を確立し、強化します。
通常のふるまいを把握し、API セキュリティアラートの急増に基づいて悪用の可能性を特定することにより、 脅威検知 と対応を強化します。その後、適切に定義された対応手順を実施して、リスクとアラートの量を通常レベルまで引き下げます。
- 事後対応シナリオに移行する前に、起こり得る脅威を特定することを目的とする正式な API 脅威ハンティング 体制を確立することによって、より強力なオフェンスを構築することが重要です。
今こそ行動に移すとき
トランスフォーメーションに終わりはありません。今こそ API を制御するときです。ヘルスケア機関が耐障害性を確保するためには、状況を認識する能力、円滑に調査を行う能力、迅速に対応する能力が必要です。
詳細はこちら
こちらで、Akamai がどのようにヘルスケア機関やライフサイエンス企業と協力し、セキュリティプログラムを強化しているのかを詳しくご確認ください。