サイバーセキュリティと医療機関:2017 年の予測

    本ページは英語ドキュメントを翻訳したものです。

     


     

    毎年、医療産業ではデータ漏えいによって 62 億ドルの損害が発生しています。Ponemon Institute による 2016 年 5 月の調査では、対象となった医療機関組織の 90 % 近くが、過去 2 年の間にデータ漏えいの被害に遭っていたことが明らかになりました。45 % の組織は当該期間中に 5 回を超えるデータ漏えいを経験しており、サイバー攻撃の平均的なコストは合計 220 万ドルでした。医療機関がこれほどまでにハッカーに狙われる理由は、電子カルテ(EHR)に記載されているデータが原因であることがしばしば言及されています。

    狙われる EHR

    2009 年、「HITECH(Health Information Technology for Economic and Clinical Health, Act(「経済的および臨床的健全性のための医療情報技術に関する法律))」によって、EHR が標準として定められました。これらの電子医療記録には、大量のデータに加えて、クレジット カード番号、保険支払い明細、その他の機密情報といった、重要なデータが含まれています。そのため、ブラック マーケットでは、EHR が 1 件 15 ドルで取り引きされています。

    数百、数千、さらには数百万の患者記録をハッキングすれば多額の利益を手にすることができることから、このような規模の盗難が非常に多数発生するのです。2016 年 3 月、フロリダ州フォートマイヤーズに拠点を置く 21st Century Oncology から、ハッカーたちが 220 万件以上の患者記録を盗み出しました。1 ヵ月後、Premier Healthcare, LLC からは、205,748 件の保護されていない患者記録が保存されたラップトップが、何者かによって盗まれました。

    このような貴重な記録であれば厳重に保護されていたのでは、と皆さんはお考えだと思います。残念なことに、それは誤りです。

    cybersecurity-and-healthcare-a-forecast-for-2017.jpg医療記録のデジタル化に向けた米国の医療機関組織の変革は急速に行われ、IT に多大な時間と費用が費やされました。そのため、こうした記録を保護するためにリソースを割くことができるケースは多くはなかったのです。Affordable Care Act(医療負担適正化法)が破棄されたことの影響が浸透するにつれ、IT リソースに対する圧力が高まりつつあります。

    “「これがセキュリティやプライバシー関連の規制にどのように影響するか、さらには本当に影響を及ぼすのか、現時点でははっきりとは分かりませんが、不確実性はかなり高まるでしょう」と、医療コンプライアンス企業の Ostendio は最近のブログで述べています。”その結果として、おそらく規制対象の組織の一部はさらに大規模なセキュリティ ポスチャの導入を遅らせ続けるでしょう。それは、これらの組織が、今後の成り行きが明らかになるまで待ちたいと考えるためです。”

    これはよい傾向とは言えません。医療情報管理システム学会(HIMSS)が述べているように、サイバー攻撃は医療提供者と社会全体に対して壊滅的な影響を与える可能性があるからです。”

    ランサムウェア

    ランサムウェアは、ハッカーが組織のデータをハイジャックして、そのデータを返すための身代金を要求するという攻撃方法です。このランサムウェアへの対応が、現在、医療機関が対応を迫られているもう 1 つの問題です。Deloitte のレポートによると、2016 年の第 1 四半期では、毎日 4,000 件を超えるランサムウェア攻撃が発生しています。2015 年のランサムウェア攻撃は 1 日に 1,000 件だったため、これは 300 % の増加です。

    EHR の保護とランサムウェアに対する防御、この 2 つこそが、医療機関が対処すべきサイバーセキュリティの懸念事項です。患者の処置に使用される、接続されたデバイスの使用量が増えるにつれ、医療機関に関連したサイバーセキュリティの危険性もさらに高まっているのです。

    接続されたデバイス

    血糖値モニタや心臓モニタなどの接続されたデバイスや、医療処置で使用されるツールのハッキングは、コストやデータ セキュリティの観点から問題であるだけでなく、人の生死に影響を与える可能性もあります。連邦通信委員会は最近、IoT デバイス サプライヤが自社製品の設計にセキュリティを組み込むように提案しました。もちろん、これは単なる推奨であり、必須の慣例や要件が導入されるにはまだ時間がかかるでしょう。

    しかし、デバイス セキュリティへの対応は課題の一部にすぎません。デバイス間のデータを運ぶネットワークの保護に加えて、データベースと管理システムの間の保護も重要なのです。

    規則と規制

    もちろん、サイバー セキュリティは現在まったく導入されていないわけではありません。2015 年の Cybersecurity Act(サイバー セキュリティ法)では、民間企業と連邦政府、または連邦政府内の各局内で、サイバー脅威情報を自発的に共有することが奨励されています。ただし、この法律の範囲と記述は非常に漠然としています。

    米国の新たな政権(大統領戦の間、サイバーセキュリティへの関心について言及していた)の誕生が、この法律が具体性を持つきっかけとなっています。新しい政権がこれらの規制を強要することは期待されておらず、サイバーセキュリティにおける明確な問題も例外になる可能性があります。

    実際に、トランプ大統領はサイバーセキュリティに関する大統領命令に署名すると予想されていました。実際に、ワシントン ポスト紙には、この命令の草案が掲載されました。しかし、1 月 31 日、大統領は署名が期待されていたこの命令に署名しないことを選択しました。理由は明らかにされていません。ただし、大統領は同時に記者会見を開き、サイバーセキュリティの重要性について語りました。今後さらに詳細な情報が公開されることが期待されます。

    しかし、米国を率いるのが誰であれ、セイバーセキュリティに関する規制を作ることで、これらの関係者は、サイバーセキュリティという、あらゆる方面からの注目を集めている大きな問題に対して貢献することができるでしょう。この分野に関しては、すでに大きな動きが見られます。

    cybersecurity-and-healthcare-a-forecast-for-2017.jpgオーストラリアは、行政と民間組織が協力してサイバーセキュリティに取り組むことができるようにするための国家戦略を構築しています。昨年、同国はこの方面に関する主要なリスクおよびイニシアチブについて記述したホワイトペーパーを発行しました。さらに数年前には、オーストラリアのネットワークの侵害に対する保護を強化するために、オーストラリア サイバー セキュリティ センター(ACSC)を設立しました。

    一方、欧州連合は、企業が保護を強化することを要求する、サイバーセキュリティに関する規則を承認しました。この規則では、一部の業種の組織が攻撃について報告することを義務づけており、EU の参加国がネットワーク セキュリティについて協力すべきであることを強調しています。また、EU は非常に強力なプライバシー規則を制定しています。この規則は、2018 年 5 月に発効される一般データ保護規制(GDPR)の導入により推進されると考えられます。

    National Conference of State Legislatures によると、昨年、米国の少なくとも 28 の州で、サイバーセキュリティに関する法律の導入が検討されました。このような法律や法案の多くが、国のインフラストラクチャや行政関連機関を対象としています。ただし、そのうちの一部は、企業の利益を具体的な目的としています。

    たとえば、カリフォルニア州では、あらゆるコンピュータ、コンピュータ システム、またはコンピュータ ネットワークに意図的にランサムウェアを侵入させることを犯罪としています。コロラド州の新しい法律では、州のサイバーセキュリティ協議会を設立して、ポリシーのガイダンスを知事に対して提供することが要求されています。その審議会は、セイバーセキュリティに関して州議会と司法機関の調整も行うものとされています。ユタ州はハッカーを民事処罰の対象としており、ワシントン州はワシントン サイバー犯罪法(Washington Cybercrime Act)を制定しています。

    今後の展望

    こうした状況を受けて、サイバーセキュリティおよび関連する規制に関係がある組織、つまり大半の組織は、今後のこの分野における状況に備える必要があります。サイバーセキュリティに関するディスカッションにまだ参加していない企業は、サイバーセキュリティの規制に関する意思決定がまだ固まっていない現在のうちに意見を表明し、話し合いに加わることをお勧めします。

    それと同時に、企業は、規制はテクノロジーの現状より 3 ~ 4 年後遅れるということを念頭に置いておく必要があります。つまり、サイバーセキュリティに関する規制に従っているだけでは不十分だということです。スマートな組織は、リスク アセスメントの推奨に従って安全性を確保するために、さらに手段を講じる必要があります。

    サイバーセキュリティに関して、あなた個人の健全性はどのような状態でしょうか。シスコの Cyber Ops トレーニングのオプションについて詳しくは、こちらをクリックしてください。

     

    2017CybersecurityReport_LeadGen_Banner.jpg

     

    最新の IT 業界のニュースとシスコだけの教育サービスをご確認ください。今すぐ登録

     

    Tom Gilheany_final_thumb.jpgTom Gilheany は、シスコのセキュリティ トレーニングおよび認定担当プロダクト マネージャです。Fortune 100 の多国籍企業における新規事業に関わった多様な経歴を持っています。Tom はプロダクト マネジメントとテクニカル マーケティング分野に 20 年以上携わり、また 10 年を超える IT および運用部門での経歴を通じて、先進的テクノロジー、サイバーセキュリティ、通信分野で 50 近い製品の発売を指揮してきました。Tom は Certified Information Systems Security Professional(CISSP)であり、MBA を取得しています。また、Silicon Valley Product Management Association と Product Camp Silicon Valley の役員でもあります。

    CLNBanner