Novant Health、API のセキュリティを確保してケアのイノベーションを加速

ヘルスケアシステムが地域社会に提供する包括的なケアは、人々の健康や生活の改善にどのような効果をもたらしているのでしょうか。 Novant Healthの場合、その答えは驚異的な数値となります。たとえば、

• 680 万 - 診療所への来院数
• 155,964 - 治療を受けた入院患者数
• 602,590 - 救急科への来院数
• 22,082 - 分娩数

同時に、これらの数値を見れば、「ヘルスケア機関は API 侵害によって機微な情報を狙う脅威アクターから誰を、そして何を守る必要があるのか」が明確にわかります。

Novant Health は、16 の医療センターと 1,900 人以上の医師で構成される非営利の総合システムであり、900 か所を超える拠点で活動を展開しています。ウィンストン・セーラムを本拠地とするこの組織は、36,000 人を超えるチームメンバーと医師パートナーを擁し、ノースカロライナ州とサウスカロライナ州でケアを提供しています。

Novant は、さまざまなデジタルイノベーションの取り組みを通じて、患者ケアをより効果的で効率的かつパーソナライズされたものにしています。API はこのイノベーションの中核であり、アプリケーション、デバイス、システム間における患者データのシームレスな交換を可能にしています。実際、API を非常に重視している Novant は、クラス最高レベルの API 製品を確実に開発できるようにするために、人材、知識、リソースを結集した中核的研究拠点（COE）を構築しました。

Novant のチームは当初から API セキュリティ を最優先課題と捉え、API を標的とする攻撃がヘルスケアプロバイダーに及ぼす影響を調査しました。この調査を通じて明らかになった業界の統計もまた、良い意味ではありませんが驚くべきものでした。たとえば、ヘルスケアデータ漏えいがもたらす平均コストは 970 万米ドルに上り、 79% のヘルスケア組織 が過去 12 か月間に API セキュリティインシデントを経験していました。

API COE チームは、ビジネスの最優先課題として、Novant 全体の API セキュリティを強化する必要があると判断しました。当時 Novant が導入していたソリューションは Web アプリケーションファイアウォール（WAF）だけでした。これらのツールは既知の攻撃からの防御を提供します。しかし、ヘルスケア組織が現在必要としているのは、もっと包括的な API セキュリティ、たとえば以下のような機能です。 

• 組織の IT 環境内に存在する API 数の可視化
• 処理データの種類など、各 API のリスク属性に関する知見
• 攻撃者に悪用される誤設定の検出など、その組織の API 固有のセキュリティポスチャに関する詳細分析
• API ビジネスロジックの欠陥を悪用した攻撃からの防御

さらに、Novant の COE チームは、「シフトレフト」、つまりセキュリティを開発の初期段階に組み入れる取り組みに重大なギャップがあることを特定しました。 Docker コンテナのテスト用ツールはありましたが、API 開発用のソリューションが必要だったのです。患者カルテなどの機微な情報を扱うため、Novant の COE チームは、従業員も製品も API セキュリティを 100% 重視しているベンダーを見つける必要があると考えました。

Novant の COE は、包括的な API 保護対策について学んだのち、Noname Security（現在は Akamai）との面談を開始しました。そして協力しながら、Novant の IT 環境内のすべての API について、詳細なポスチャ管理分析を実施しました。Noname の API セキュリティプラットフォーム（現在は Akamai API Security の一部）を使用することで、セキュリティに大きな影響及ぼす Azure の脆弱性が特定されました。

このプラットフォームの API ポスチャ管理ソリューションを使用したところ、Novant のクラウド環境内の API に対するリクエストの一部が WAF ツールを通らずに 迂回 していることが分かりました。攻撃者は、「オープンドア」を通じて WAF を迂回していたため、WAF ではセキュリティを確保できず、Novant の API は繰り返し攻撃されていました。リスクにさらされていながら気づいていなかったのです。

Akamai が提供した知見は衝撃的でしたが、すぐに効果を発揮しました。Novant Health が API を安全に開発し維持できるかどうかは、完全に保護されたクラウドワークスペースが得られるかどうかにかかっています。Novant の Vice President、Justin P. Byrd 氏と同氏のチームは、Akamai の API ポスチャ管理ソリューションを適用しながら、隠れたセキュリティギャップの発見と緩和の作業に奮闘する、Akamai チームの姿に感銘を受けました。

現在、COE チームは、最初の探索に基づいて Akamai API ポスチャ管理ソリューションの自動化機能を使用できるようになりました。この機能により、API の誤設定や隠れたリスクを継続的にチェックし、プロアクティブな緩和策を講じることができます。これには、機微な情報にアクセスできる API と内部ユーザーを特定する機能も含まれます。 

Novant のように、何百万もの患者とのやり取りなど、広範な健康データを管理する組織にとって、機微な情報に関わる API を知ることは、患者、プロバイダー、規制当局との信頼を構築し維持する上で非常に重要です。

Novant の COE には実務経験を有するエンジニアリングリーダーもメンバーに含まれています。このような COE にとって、API テストにセキュリティを組み入れることも優先課題の 1 つでした。企業が開発するすべての API においてスピードは重要ですが、特に Novant のように API が患者ケアに不可欠な役割を果たしている組織ではさらに開発スピードの重要性が増します。しかし、スピーディな開発を求めるプレッシャーがあると、開発者は本番環境への移行を急ぎ、脆弱性や設計上の欠陥を見落としやすくなります。

COE は、すべての API に実装されているセキュリティ対策を評価するために、信頼できる API テスト機能を求めました。これには、認証メカニズム、認可制御、データ整合性、暗号化プロトコルなど、可変要素の弱点を特定するための包括的なテストが含まれます。

もちろん、新しいセキュリティツールを導入した場合にうまくいくかどうかは、機能だけでなく、主要な関係者との関わり方によっても左右されます。開発者はセキュリティの重要性を理解していますが、スピードに対するニーズがあるため、一般的に、不慣れなツールがもたらす速度低下を警戒します。 

Novant Health でも当初はそうでした。

Novant のチームは Akamai との関わりを深めながら、開発者が安全かつ効率的に業務を遂行するために役立つ多様な機能を特定しました。たとえば、Akamai API Security のアクティブテストでは、プロセスの後半で重大かつ多大な時間を要する問題になると考えられる間違いを、プロアクティブに発見できます。

また、このソリューションを使用することで、COE は、効率性を高めるためのメモを開発者に提供できるようになりました。このソリューションがセキュリティ以外の QA チェックも行うとは知らなかった COE チームメンバーにとって、これは嬉しい驚きでした。たとえば、構築された API が実際に提供している機能がその API の仕様と一致しているかどうかを判断できます。当初は冷ややかだった開発者たちが、セキュリティと効率性のメリットを実感して COE チームに加わり、Akamai API Security との連携を歓迎するようになるまで、それほど時間はかかりませんでした。

「Akamai は初日から、API の探索、保護、テストについて、コーディングから本番まであらゆる段階で信頼できるアドバイザーの役割を果たしてくれました。おかげで、COE はセキュリティと効率性を一度に実現する方法を組織全体に示すことができます」と Byrd 氏は説明し、さらに次のように述べています。「このパートナーシップは製品だけに留まりません。Noname（現在は Akamai）チームのメンバーは、API 開発に関連する当社の事情やビジネス上の推進要因を理解しています」

Novant のリーダーシップも同意し、「問題が発生する前に把握する」という Akamai API Security の機能に注目し、シフトレフトの取り組みに API セキュリティを組み込むことに貢献しました。

現在、Novant は Akamai API Security を使用して、API、そして API を活用したあらゆるデジタルイニシアチブを「自動保護」しています。現在 COE チームは、API の探索、インベントリ、評価、テストに関して Novant が得た能力を基盤としながら、このプラットフォームの包括的な保護機能を Novant が開発する新しい API に適用しています。Novant の開発者が適切なベストプラクティスに基づいて API を構築していること、そして各 API が自動的に保護されていること、これらを COE チームは確信できています。

今後、COE チームは、Akamai API Security の適用範囲を社内の他のチームにも拡大しようと考えています。COE は API 保護の組織横断的協働モデルを目指し、Akamai API Security の使用に関して、COE チーム、Novant Health セキュリティチーム、Novant の基盤構造チームによるパートナーシップを構想しています。

Novant Health は、19 の医療センターと 2,000 人以上の医師から構成される非営利の総合システムであり、900 か所以上の拠点で活動を展開しています。また、多数の外来手術センター、医療プラザ、リハビリテーションプログラム、診断イメージングセンター、地域の保健プログラムを擁しています。Novant Health の約 40,000 人のチームメンバーと医師パートナーは、ノースカロライナ州とサウスカロライナ州で患者とコミュニティのケアに従事しています。