保険会社がヘルスケアエコシステムの API セキュリティにとって重要である理由

保険会社は臨床データと金融データの両方に確実にアクセスできるため、ヘルスケアエコシステムにおけるデータ共有の中心であり、その共有を行うためにアプリケーション・プログラミング・インターフェース（API）にますます依存するようになっています。 API を使用すると、ヘルスケア機関、保険会社、患者、その他のサードパーティ（電子カルテシステム、医療機器会社、医療情報交換など）の間でデータを共有できます。 

相互運用性を高めることにより、患者のアウトカムと財務上の成果を向上させることができますが、トレードオフも生じます。特に、重要なコンプライアンス要件とセキュリティに関する考慮事項が挙げられます。サイバー犯罪者とアグリゲーターがこれらの機能を攻撃して悪用しており、それによって安全性とプライバシーの両方の問題が生じる可能性があります。  

また、API への攻撃はサービスの中断を招く可能性があり、それによって健康保険の申し込みや請求処理に影響が生じ、ダウンタイムに伴う多大なコストが発生し、企業のブランドが損なわれます。 

このブログ記事では、API への攻撃に関連する脅威データや傾向を分析して、リスクの程度を把握し、緩和のためのベストプラクティスを提示します。

データ交換によって財務的成果および臨床アウトカムを確実に向上させることと、データ交換を義務付ける規制要件を遵守しなければならないことは、表裏一体の関係にあります。重要なのは、両方の側面を理解し、両方の側面を最適化することです。 

健康アウトカムがアポイントメント数を上回る場合に報酬を与える長期的なアプローチであるバリューベースケア（VBC）への移行が進んでいることは、現在は大量かつ多様な情報を共有する必要があることを示す良い例です。保険会社は長きにわたって、患者やヘルスケア機関の財務データへのアクセス権を保持しています。しかし、VBC データポイント（服薬遵守や入院など）が増加しているため、より 革新的 であるだけでなくより相互運用可能な連続性が必要であり、このデータを共有する手段が求められています。API はそのパイプの役割を担います。 

現在、特に API の使用やセキュリティに関する規制はありませんが、数多くの既存の規制に API 要件が含まれています。たとえば、一般データ保護規則（GDPR）、欧州連合の改訂版決済サービス指令（ PSD2）、Payment Card Industry Data Security Standard（PCI DSS）です。  

API に関する要件は急速に進化しています。特に、2024 年 3 月の PCI DSS v4.0 には、データ侵害リスクの低減を目的とする、システムやソフトウェアの開発と保守における API 使用方法に関する新しい基準が含まれています。 

また、 新たな CMS Interoperability and Prior Authorization Rule （CMS 相互運用性および事前認可に関する規則）では、保険会社は次の 3 つの主要カテゴリーの API を維持することが求められます。

1. 患者アクセス API：これにより、保険加入者が自身の医療データにアクセスしやすくなり、保険加入者の満足度が向上する可能性があります

2. ヘルスケア機関ディレクトリー API：これにより、保険加入者は地理的位置や医療専門分野に基づいてヘルスケア機関や施設を検索できるため、医療へのアクセスが向上します

3. 保険会社とヘルスケア機関の間の API、および保険会社間の API：これらは、医療格差に対処してそれを減らすために役立ち、サービスの重複やコストの削減につながる可能性があります

大きな目的は、管理業務のコストと負荷を減らすことです。特に、事前認可が手作業で処理される場合、患者は特定の治療が保険会社に承認されるのを待ってからその治療を受けなければなりません。遅延により、有害な医学的影響が生じる可能性があり、医療費が増大することも多々あります。 

患者はすべてのアプリケーションに同じレベルのユーザー体験を期待しているため、パフォーマンスはますます大きな懸念事項となっています。 つまり、ヘルスケアエコシステムは サービス妨害攻撃 や悪用から保護されている必要があります。  

保険会社が API の使用を拡大することにより大きなメリットがもたらされますが、リスクも生じます。 API の無秩序な拡大 により、可視性が損なわれ、アタックサーフェスの拡大に伴ってさらに可視性が悪化する可能性があります。API は複雑なデジタル・トランスフォーメーション・プロジェクトの一部であることが多いため、ヘルスケア機関は API に注目していない場合があります。セキュリティプログラムはなおさら注目されていません。（しかし、 OWASP Top 10 API セキュリティリスクなどの優れた参考基準がいくつかあります。） 

日々のビジネス活動に関わるさまざまな種類のデータ（医療データと金融データの両方）は、厳しく規制されているだけでなく、サイバー犯罪者の標的になりやすいため、保険会社にとっての問題が複雑化しています。

API セキュリティ は、リスク管理とコンプライアンスの観点から、かつてないほど重要になっています。しかし、API の無秩序な拡大が原因で、ヘルスケア API の特定、カタログ化、保護はますます困難になっています。

強力な API セキュリティプログラムを採用することで、 すべての API の可視性 を高め、リスクにさらされていることを把握し、保護を強化することができます。強力な API セキュリティプログラムには、次の 4 つの戦略マイルストーンがあります。

1. 野良 API またはシャドー API を徹底的に探索することによってインフラの盲点を取り除き、そのような API が廃止されるか、API セキュリティ制御に組み込まれるようにします。

2. よくあるアラートの種類の分析、API コードの欠陥の修正、誤設定の問題への対処、教訓に基づいて将来の脆弱性を防止するプロセスの実行により、リスクへの対策を確立し、強化します。

3. 通常のふるまいを把握し、API セキュリティアラートの急増に基づいて悪用の可能性を特定することにより、 脅威検知 と対応を強化します。その後、適切に定義された対応手順を実施して、リスクとアラートの量を通常レベルまで引き下げます。

4. 事後対応シナリオに移行する前に、起こり得る脅威を特定することを目的とする正式な API 脅威ハンティング 体制を確立することによって、より強力なオフェンスを構築することが重要です。

トランスフォーメーションに終わりはありません。今こそ API を制御するときです。ヘルスケア機関が耐障害性を確保するためには、状況を認識する能力、円滑に調査を行う能力、迅速に対応する能力が必要です。