X

クラウドコンピューティングが必要ですか? 今すぐ始める

Akamai logo
+1-8774252624
+1-8774252624
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する
製品トライアル
サイバー脅威にお困りの方
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する
Dark background with blue code overlay

ヘルスケア業界が直面するもう 1 つの主戦場:サイバー攻撃

Bridget Meuse

執筆者

Bridget Meuse

November 18, 2021

Bridget Meuse

執筆者

Bridget Meuse

Bridget Meuse は、Akamai の Senior Industry Marketing Analyst です。力を入れている業界は、環境の持続可能性、ヘルスケア、公共部門の 3 つです。これらの業界に関して、主要なトレンドを特定し、データに基づく事例を紹介し、Akamai のソリューションをお客様に活用してもらえるようサポートしています。

ビジネスの経営に携わる人なら誰しも、「飛行しながら飛行機を造る」という言葉をよく耳にすると思います。そして、過去 19 か月間の狂騒のなかで、私たちの多くはこの言葉を実践することになりました。一夜のうちに、まったく新しい現実世界のパイロットやエンジニアにならざるを得なかったのです。

なかでもヘルスケア業界の経験は他と一線を画しています。飛行しながら飛行機を造るだけでなく、飛行パターンを変更し、空港を変えながら、飛行中に新たなスタッフのトレーニングもしていました。つまり、テレワークの実現、バーチャルケアの飛躍的な拡大、ワクチン開発の方法を考え出しただけでなく、これらすべてを、膨大な数のスタッフが数十万人の重篤な患者のケアのために危険な環境で残業を続けるという状況下で行ったのです。 

ヘルスケア業界における、この素晴らしいイノベーションの高まりは賞賛に値します。ヘルスケア業界は、長年の規制による閉塞、技術的負債、業界の懐疑的な姿勢をデジタル体験へと転換し、何十億人もの人々への医療を継続しました。  

しかも、ヘルスケア業界は、増え続ける多種多様なサイバー攻撃にさらされながら、こうした変革を達成したのです。パンデミックのさなか、ヘルスケア業界はもう 1 つの戦場に直面し、そこでも新たなヒーロー集団が生まれました。 

University of Florida Health(UF Health)のスタッフもこのようなヒーローといえます。UF Health は、昨年 6 月、同大学のネットワークの一部に サイバーセキュリティイベント が生じた際、不足する投薬情報を入力するためにスタッフが薬局に問い合わせる事態となりました。スタッフは、外部の医師を使った新たな診療ルートを見つけるために奔走しました。この影響を受けた病院の 1 つで CEO をしている Ed Jimenez 氏は、危機を乗り越えるために尽力したスタッフを次のように称賛しています。「大切な人との時間を犠牲にして何時間も残業し、通常業務の回復にひたむきに取り組んでくれた従業員は、まさに当社のヒーローです。」

パンデミックによる変化を悪用したマルウェア攻撃

米国保健福祉省(HHS)の レポート IBM による調査によると、ヘルスケア業界に対するサイバー攻撃は、パンデミックの始まり以降 50% 増加しました。しかも、それらの攻撃によるコストは非常に高く、インシデントあたりの平均コストは 713 万ドルに上ります。IBM のデータによると、最も頻繁に発生した脅威はランサムウェア攻撃で、迅速な復旧を要する病院や医療システムが狙われました。その次に多かったのはデータ窃盗やサーバーへのアクセスです。ヘルスケアプロバイダーは特にランサムウェア攻撃の魅力的な標的です。 電子健康記録(EHR)は、ダークウェブで 1 件あたり 1,000 ドルで売れます。これは、約 110 ドルのクレジットカード情報や、わずか 1 ドルの社会保障番号と比べてかなり高額です。 

Cybersecurity and Infrastructure Security Agency(CISA)の COVID-19 作業部会を率いる Josh Corman 氏は次のように述べています。「病院のシステムはパンデミックの前にすでに脆弱でした。そしてランサムウェア攻撃は多様化し、より攻撃的になり、要求する身代金も高額になっています。」この状況を受け、2020 年秋には、CISA、連邦捜査局(FBI)、HHS が共同で特別な サイバーセキュリティ勧告 を発行しました。この勧告の内容は、差し迫ったランサムウェア攻撃についてヘルスケア業界のリーダーに警告するとともに、バックアップ方法を助言するものでした。助言とは、重要データのコピーを 3 つ作成し、そのうち少なくとも 2 つは異なる形式で保存して、コピーの 1 つは悪性コードが届かないオフラインの場所に保存するというものです。

しかし、この助言に従うと、ヘルスケア業界の組織の多くは、二律背反ともいえる財務上の難題に直面します。 Association of American Medical Colleges (AAMC)で情報セキュリティの PhD、MBA、シニアディレクターを務める Stephen Lopez 氏によると、ヘルスケア業界の組織はサイバーセキュリティへの投資を先送りする傾向があるとのことです。同氏は、「リソースを情報セキュリティに移すのが難しいこともあります。患者へのサービスを犠牲にしているように見える場合は特にそうです。しかし、このような環境で、ランサムウェアに対する防御を先送りしていると、患者へのサービスがリスクにさらされることになります。」と述べています。同じく CISA も、 2021 年の医療インサイトレポート で、ヘルスケアの提供を支えるインフラが攻撃されたり、身代金の要求を受けたりすると、特に危機的状況や緊急時には、業務の質が急速に低下すると指摘しています。

レベルを問わずあらゆるヘルスケア組織にとって、スタッフの教育が戦いの鍵となります。Lopez 氏はさらに、「フィッシングメールに対するスタッフメンバーの基本的な「セキュリティ衛生」の意識を強化できれば、ほとんどのマルウェア攻撃を回避または緩和できる」と指摘し、実例によってランサムウェアメッセージがどのようなものかを示すような教育プログラムの作成を推奨しています。このようなプログラムを受けることで、スタッフは機微な情報の提供を急かす要求を受けても、すぐに応答せず、いったん立ち止まることができるようになります。

セキュリティ投資の決定はデータストレージとアクセス次第 

たとえパンデミックによって多くの命が奪われている最中であっても、ヘルスケア業界のリーダーは、さらにもう 1 つの戦場に対処する必要があります。では、どこから始めればよいのでしょうか。一般的には、サイバーセキュリティの最優先事項は、ランサムウェアからアクセスポイントを保護すること(フィッシング検知に関するスタッフトレーニングも実施)、EHR で利用可能な保護対象医療情報(PHI)や製薬における知的財産の暴露を減らすこと、そして、こうした情報を外部システム、パートナー、サプライヤー(CDC やその他の保健部門など)と共有できるようにしている接続テクノロジーを保護することです。

ヘルスケア業界の組織の多くは、柔軟性、アクセス性、検索速度を高めるために、EHR、知的財産、その他の医療データをクラウドに移行してきました。しかし、組織的な計画が脆弱なまま急速にクラウドへの移行を進めたため、患者の健康情報や機微な情報がマルチベンダークラウド環境に置かれているケースが少なくありません。この場合、誤設定があるとさらに脆弱な状態になる可能性があります。 

ヘルスケア業界には、継続的な保護と、脅威サーフェス領域の縮小を必要とするデータが多数ありますが、その代表的なものを以下に示します。

  • 電子健康記録(EHR) - 電子カルテ、診療歴、検査結果、その他のデータ

  • 患者または疾患レジストリ - 特定の診断または状態を共有する患者の臨床成果が保存されたデータベース

  • 保険請求データ - ヘルスケアプロバイダーが保険会社に送信した請求コードデータ 

  • 健康調査 - 公衆衛生のリスクを評価し、公衆衛生の政策や実施に関する情報を提供するために、公衆衛生機関が収集したデータ 

  • 医療用画像管理システム(PACS) - 医療用画像撮影装置(CT または MRI スキャンなど)で生成され、医師、研究者、またはその他の承認された医療スタッフがアクセスできるようにアーカイブされたデータ

  • 臨床試験データ - 民間または公的機関の臨床研究結果であり、医療機器、医薬品、その他のイノベーションの開発に使用されるデータ。

脅威対象範囲を縮小し、連邦政府の勧告で推奨されたバックアップ方法(3 つのコピーを作成し、そのうち少なくとも 2 つを異なる形式で保存し、1 つをオフラインにする)を採用したいと考えるヘルスケア業界の CSO の多くは、ハイブリッドアプローチを模索しています。オンプレミスのデータストレージは、セキュリティを制御しやすい一方、コストがかさみ、規模の拡大も難しくなりがちです。特にパンデミックが拍車となって健康データが爆発的に増加し、治療のデジタルトランスフォーメーションが急速に進みつつある現状では、これが大きな問題となる可能性があります。パブリック・クラウド・データ・ストレージは、コスト効果は高いものの、サービスの停止やデータ保護方法に関する透明性の欠如といったリスクが生じます。 

ハイブリッドアプローチであれば、機微な情報はオンプレミスに保持しながら、機密性の低いデータはクラウドに保存することができます。もちろんこれでも完璧ではありません。2 つのストレージタイプ間のデータ転送を保護し、データの転送と表示を許可されている者だけにアクセスを制限するようなセキュリティを整備する必要があります。ヘルスケア業界の組織にとって、 ゼロトラスト・ネットワーク・アクセス・アーキテクチャ を実装するための 7 つの主要な要件に取り組むことはデータの保護に役立ちます。そのためには、ユーザーにそれぞれの役割に必要なアプリケーションのみへのアクセス権を与え、 多要素認証 (MFA)でセキュリティをさらに強化することが必要となります。 

危機を越え、その先へと進むヘルスケア業界をサポート 

ヘルスケアプロバイダーは、21 世紀のデジタル体験を構築しつつあります。患者のケアを支援し、いつでもどこでも高い健康成果を提供できるような画期的な方法を提供することで、Akamai はヘルスケア業界への新たなオンライン時代の到来を支援しています。 

Akamai がどのように ヘルスケア業界を支援しているのかについては、こちらをご覧ください。

Bridget Meuse

執筆者

Bridget Meuse

November 18, 2021

Bridget Meuse

執筆者

Bridget Meuse

Bridget Meuse は、Akamai の Senior Industry Marketing Analyst です。力を入れている業界は、環境の持続可能性、ヘルスケア、公共部門の 3 つです。これらの業界に関して、主要なトレンドを特定し、データに基づく事例を紹介し、Akamai のソリューションをお客様に活用してもらえるようサポートしています。

関連ブログ記事

メタバースは空想の世界のものではありません。未来です。今から備え始めなければならない未来なのです。

ゲーム業界におけるサイバーセキュリティの問題はメタバースの課題の前兆

August 04, 2022
メタバースにより、脅威が大幅に拡大しました。産業のゲーミフィケーションに伴い、ゲームのサイバーセキュリティの問題は将来に向けてのチェックリストになります。
by Jonathan Singer
続きを読む
'All it takes is one successful DNS attack on your domain to permanently impact the integrity of your digital ecosystem, and the reputation of your brand as a whole.'

DNSSEC とその仕組み

June 09, 2022
DNSSEC are cryptographic signatures that get added to DNS records to secure data transmitted over IP networks. Read on to learn how they work.
by Sam Preston
続きを読む

Akamai ブログ | ボットネットへの対応について

December 28, 2021
世界的なパンデミックの広がりに伴い、金融サービスを標的とした、攻撃者やサイバー犯罪者による攻撃の機会が増えたのは周知の事実です。2020 年に、攻撃者は、COVID-19 を発端とする経済的なひっ迫に乗じて、財政的な支援を謳い文句にしたり、財政的苦境に付け込んだりして、世界中の人々に対してフィッシング攻撃を仕掛けるようになりました。
by Gerhard Giese
続きを読む