Zpedia 

/ 医療業界におけるサイバーセキュリティとは

医療業界におけるサイバーセキュリティとは

医療業界におけるサイバーセキュリティは、医療機関、患者、医療機器のデータをフィッシングやランサムウェアなどのサイバー脅威から保護するために不可欠な存在です。こうした脅威を軽減できなければ、患者の転帰に悪影響を与えるほか、データ侵害やHIPAAの違反につながり、患者の信頼を損なう可能性があります。

ソリューションの概要を読む(英語)
Zscalerの医療業界向けソリューションの詳細はこちら
サイバー脅威対策データ保護
  1. 重要な理由
  2. 主な課題
  3. 主な脅威
  4. 重要なユース ケース
  5. ベスト プラクティス
  6. Zscalerのソリューション
  7. よくある質問
  8. 関連するトピック

医療業界においてサイバーセキュリティが重要な理由

2020年代に入り、医療業界におけるサービスの提供形態は変化しています。遠隔医療サービス、モバイル ワーク、AI、クラウド導入、医療IoTにより、質の高い医療がより身近なものになりました。

一方、こうした新たな医療形態によって、インターネットやクラウド サービスへの依存が高まっています。医療機関は新たなテクノロジーを従来の(多くの場合、数十年前から使用している)インフラに重ねて導入しようとしており、従来のネットワークでは対応が難しくなってきています。結果的に、そのすべてがデータ侵害のリスク増加につながっています。

攻撃者は新しいサービスの脆弱性やAIツールを悪用し、より頻繁に高度なサイバー攻撃を仕掛けています。サイバー攻撃によって、医療機関は患者の信頼を損なう、制裁の対象になる、医療提供の中断を余儀なくされるといったリスクにさらされることになります。

しかし医療機関では、優れた医療の提供、患者の転帰改善、患者データの保護を常に優先しなければなりません。このような使命を果たすためにも、サイバーセキュリティは医療業界にとって戦略的に不可欠なものとなっているのです。

医療業界におけるデータ セキュリティの今後

HIPAAセキュリティ ルールは、米国の医療業界におけるセキュリティの基礎となっているものの、2013年以降の変更は比較的少なくなっています。しかし、米国保健福祉省は改定を予定しており、2024年には3つの重要な変更が行われると見られています。

  1. メディケアまたはメディケイドに加入する医療機関を対象とするセキュリティ要件の追加
  2. 説明責任を強化するためのHIPAAセキュリティ ルールのセキュリティ標準の追加
  3. HIPAAの違反に関する調査と罰則適用を行う公民権局(OCR)の能力強化

これらの改定は、進化するデジタル環境や脅威に対応して患者データを保護するうえで非常に重要です。IoTの発展、クラウドの導入、二重脅迫型ランサムウェアなどの高度な脅威、従来のネットワークの複雑性を背景に、効果的なセキュリティはこれまで以上に重要になっています。

医療業界におけるサイバーセキュリティの主な課題

セキュリティ ギャップの解消に取り組む医療業界のIT部門やセキュリティ部門は、多くの場合、単一目的のソリューションを導入し、長期的に各部分ごとの管理にコストと労力をかける結果になっています。以下のような要因によって、医療業界では統一型の効果的なセキュリティの実現が困難なケースが多くなっています。

  • 多様なITエコシステム:医療機器、医療システム、IoTが混在する環境では、統一されたセキュリティの維持が困難になります。特に、IoTの多くは堅牢なセキュリティ機能を備えていません。
  • 従来のシステム:アップタイム要件の高さから、医療業界の大部分では、最新のセキュリティ機能を備えていない古いシステムやソフトウェアを利用し続けざるを得ず、その多くがすでにサポート切れとなっています。

お客様の声

古くなった医療機器はメーカーによるサポートが切れ、パッチやアップデートが適用されていないため、サイバー攻撃に対して特に脆弱になっています。
FBI Industry Alert
  • 予算の制約:営業利益率の低さから、医療の継続提供が優先され、最新のセキュリティ ツールや人員のための予算は後回しにされがちです。
  • 規制のガイダンス:HIPAAのようなフレームワークが提供するガイダンスは、常に最新の状況に対応している、または状況に応じて調整可能なものであるとは限りません。サイバー脅威の進化は非常に早いため、最新の脅威が考慮されずに特定の制御やツールが優先されている可能性があります。
  • 医療提供の優先:質の高い医療を患者に提供することが最優先事項であるため、利便性や効率性との二者択一が必要な場合は、サイバーセキュリティが後回しになる可能性があります。

医療業界における主なサイバー脅威

取り扱う個人データの多さから、医療機関やそのサプライ チェーン パートナーはサイバー攻撃の主要な標的の一つになっています。攻撃者は、盗んだ認証情報やパッチ未適用の脆弱性を悪用することで、特権情報にアクセスして盗み出し、利益を得ています。

最近では、新型コロナウイルス感染症の流行、生成AI、VPNを悪用した攻撃により、医療業界を標的とした攻撃が爆発的に増加しています。

フィッシング

2022年、多くの患者がコロナ禍で延期していた治療を再開したことを背景に、医療業界を標的としたフィッシング攻撃は250%以上急増しました。また、生成AIによって、フィッシング攻撃はより迅速かつ簡単に仕掛けられるようになっています。

詳細については、2023年版 フィッシング レポートをご確認ください。

ランサムウェア

2022年4月から2023年4月の間に、全業界のランサムウェア攻撃は37%以上増加しました。特に医療業界では165.38%と大幅に増加しています。

詳細については、2023年版 ランサムウェア レポートをご確認ください。

暗号化された攻撃

2023年、全世界の暗号化された攻撃の標的として4番目に多かったのが医療業界で、2022年に比べ29%増加しています。

詳細については、2023年版 暗号化された攻撃の現状レポートをご確認ください。

アプライアンスの悪用

2024年の調査で、過去12か月間にVPNを悪用した攻撃を受けた組織は56%に上りました。外部と接する従来のアプライアンスは、医療業界の主要な攻撃ベクトルの一つとなっており、毎四半期、数多くの脆弱性が新たに発見されています。

詳細については、2024年版 VPNリスク レポートをご確認ください。

医療業界における包括的なサイバーセキュリティの必要性

脅威が拡大する一方、患者や医療機関は、医療をどこからでも安全に利用、管理、監視する方法を必要としています。そこで、この業界の大部分でクラウド移行が進められています。これによって、セキュリティ面や運用面から考慮すべきいくつかの重要な点が浮き彫りになっています。

サイバーリスクの管理

遠隔医療、クラウド、IoTにより、医療データや医療システムへの悪意のあるアクセスに新たな経路が生まれ、医療機関への攻撃が急増しています。

必要な対策

  • 攻撃対象領域を縮小し、医療システムへの悪意のあるアクセスを防止する。その第一歩として、ユーザーとデバイスをネットワークから切り離し、許可されたユーザーのみが最小特権の原則に基づいてリソースに直接アクセスできるようにします。
  • インターネットに公開され、攻撃者の侵入経路となり得るアプライアンスやアプリケーションを不可視化する。

インフラとM&Aのコストとリスク

医療業界ではM&Aを通じた統合が続いており、多くの場合、M&AによってITの複雑さと脆弱性が増大しています。2023年にダラス大学が行った調査によると、米国の病院では合併の前年と翌年にデータ侵害のリスクが2倍になっていることがわかりました。

必要な対策

  • すべてのクラウドとデータ センターに統一されたポリシーを適用する。
  • M&Aに伴う統合中にユーザー、デバイス、アプリを安全に接続する。
  • M&Aに典型的な複雑性、互換性、コストの問題を回避する。

新しい医療モデルと医療IoTの保護

医療システムの進化に伴い、医療サービスはより利用しやすいものになっています。そのシステムは、あらゆる場所やデバイスから機密データへの安全なアクセスを可能にするものでなければなりません。データが広く分散し、脆弱性を抱えている可能性のある多数の医療IoT (IoMT)がエンドポイントとして存在する環境において、これは非常に困難な場合があります。

必要な対策

  • 新しいアプリケーションやデバイスを安全に導入できるよう、IoMTの接続を保護、簡素化する。

場所を問わない働き方の最適化

金融不況の余波、人員不足やスタッフの疲弊が、長期にわたり効果的な医療提供の障害となっています。新しい医療提供モデルやクラウド ソリューションによって、スタッフの満足度、生産性、効率が向上する一方、それを支える医療業界のインフラは老朽化し、限界に近づいています。

必要な対策

  • 従来のファイアウォール、VPN、境界ベースのネットワーク インフラから脱却する。
  • クラウドやハイブリッド ワークに適したスケーラブルで安全な接続の提供を目的に構築されたゼロトラスト アーキテクチャーを採用する。

医療業界におけるサイバーセキュリティのベスト プラクティス

患者データを保護し、医療サービスの完全性と信頼を維持するためには、堅牢なセキュリティ対策が不可欠です。すべての組織が以下の対策を行う必要があります。

  1. 機密データの暗号化:転送中データおよび保存データを暗号化し、不正アクセスを防止します。
  2. インバウンドおよびアウトバウンドのトラフィックの復号:これにより、隠れた脅威をブロックし、機密データを保護します。
  3. 攻撃対象領域の縮小:リバース プロキシ アーキテクチャーを利用して、デバイスとアプリケーションをパブリック インターネットに対して不可視化します。
  4. リスク評価の実施:ITシステム、ネットワーク、IoMTを対象に行い、侵害が発生する前に問題を見つけて対処します。
  5. 最小特権アクセスの適用:多要素認証(MFA)とあわせて運用し、機密情報へのアクセスを許可された場合のみに制限するよう徹底します。
  6. スタッフの教育:セキュリティ ポリシーと、リスクの軽減策(特にフィッシング、ランサムウェア、データの取り扱い)について周知します。
  7. システムの更新の徹底:最新のセキュリティ パッチが適用された状態を維持します。
  8. 強力な監視およびインシデント対応体制の確立:セキュリティ インシデントに迅速に対処して影響を軽減し、より速やかに復旧できる体制を整えます。
  9. ゼロトラスト アーキテクチャーの採用:境界ベースのネットワーク、ファイアウォール、VPNのリスクと課題を軽減し、データとアプリケーションへのアクセスをアイデンティティーに基づいて許可します。

Zscalerのソリューション

Zscalerのゼロトラスト アプローチは、ユーザーとデバイスをネットワークではなく医療システムのアプリケーションに直接安全に接続し、以下のような点で医療機関を支援します。

  • 患者、職員、デバイス、機密データのサイバー攻撃に対する保護
  • 患者データの機密性と完全性の維持
  • HIPAAやHITECHなどの業界規制への準拠
  • 100%のTLS/SSLトラフィックの検査による脅威とデータ流出リスクの軽減

Zscalerを利用して現代の医療を保護し、HIPAAに確実に準拠する方法をご確認ください。

よくある質問