アクロニス、「医療機関のサイバーセキュリティにおける脆弱性トップ７」を発表

サイバープロテクションのグローバルリーダーであるAcronis の日本法人であるアクロニス・ジャパン株式会社（本社: 東京都港区、代表取締役社長：川崎 哲郎、以下アクロニス）は、本日「医療機関のサイバーセキュリティにおける脆弱性トップ7」を公開しました。

これは、アクロニスのグローバル最高営業責任者Katya Ivanova（カーチャ・イワノワ）によるもので、医療機関のサイバーセキュリティを考えた際に弱点になる点、および米国で公開された医療機関のチェックするべきリストを紹介したものです。

「医療機関のサイバーセキュリティにおける脆弱性トップ７」

●公開の背景：

医療機関に託される情報は、サイバー犯罪者にとって非常に価値があるものです。医療記録には機密情報が多く含まれるからです。そのため医療機関への攻撃はサイバー犯罪者の間で流行となっています。医療機関から盗んだ患者のデータなどは、架空請求、脅迫、払戻を受けられると謳う偽の納税申告提出、処方薬や医療機器の注文を装うなどの手段を通じて、収益化しやすいものとなっています。

最近のCanalysによる調査では、脅威の進化を受け、組織はサイバーセキュリティ防衛を強化し、対応を改善するプレッシャーにさらされ続けていることが判明しています。

●医療機関の7つの脆弱性：

医療機関を詐欺や罰金の被害にさらす7つのウイークポイントは以下の通りです。

1. 限られた予算：サイバー防衛を弱体化する主な要因の1つが、予算です。医療機関は、他のセクターに比べ、テクノロジーへの投資が少なく、半数以上の53%が、テクノロジーの予算は予算全体の10%未満と回答しています。

2. ITスタッフの不足：予算が十分でないと、侵害を監視、防止、復旧するスタッフも少なくなります。今日のサイバーセキュリティ攻撃の規模と複雑さにより、医療提供者はこれらの役割を、堅牢な防衛を維持して、患者記録のプライバシーを確実に保護し、医療保険の携行性と責任に関する法律（HIPAA）などの規制基準を遵守できるITベンダーに外注せざるを得なくなっています。

3. 古いシステム：システム更新のコストが高すぎたり、互換性の問題により古いシステムを使い続けることがあります。しかし、メーカーのサポートがないということは、セキュリティパッチが提供されない場合があります。MSP（マネージドサービスプロバイダー）には、古いシステムのリスクを緩和するための対策として、早急に次の3つの対策を講じることが求められます。

• ソフトウェアのバージョンとベンダーの数を減らす
• ネットワークをセグメント（たとえば重要な生命維持装置や同様のデバイスをインターネットから切り離すなど）し、攻撃やインシデントを隔離する
• セキュリティオペレーションセンター（SOC）の具体的な責任を記載したワークフロー図を作成する

4. 医療IoT（IoMT）：クラウドプラットフォームに接続された、患者データを格納・分析するデバイスは大きな脆弱性となります。IBMの調査によると、1床あたり、平均10～15台のデバイスが接続されています。医療機器が侵害されると、患者の安全とプライバシーが脅かされる可能性があるほか、これらのサービスの利用者のセグメント全体について情報漏洩が起こるおそれがあります。

5. 断片化したセキュリティアーキテクチャ：医療機器と同じように、医療提供者は通常、複数のポイントセキュリティソリューションを利用しています。そうした複数のシステムを利用していることで、サイバー犯罪者が機密データにアクセスしたり、ランサムウェアを展開したりする前に、攻撃の潜在要因を特定して脆弱性を修復することが困難になります。

6. フィッシング詐欺：人的要因は、サイバー犯罪者が特に多用する侵入ポイントのひとつであり、電子メールとWebサイトに伴うリスクについての従業員の意識向上の欠落が、医療従事者にとって壊滅的な被害をもたらす可能性があります。米国保健福祉省（HHS）は現在、こうしたフィッシングやハッキング詐欺に関連するケースを何百件も調査しています（参考リンク）。

7. ランサムウェア：病院が主要な標的となるのは、管理者が身代金を払う確率が高いからです。連邦捜査局（FBI）、米国サイバーセキュリティ・社会基盤安全保障庁（CISA）、および米国財務省は、北朝鮮が背後にいるとされるサイバー犯罪者により、「Maui」ランサムウェアを使用して医療および公衆衛生（HPH）機関が攻撃されている、とする共同の勧告を発行しました。Security Magazineによるレポートでは、一部の医療提供者が急いで身代金を支払うのは、各種記録やインターネットに接続された医療機器にアクセスできなければ、患者の命に大きく影響するためということが判明しています。

このような背景により、医療機関は広範な侵入経路を持つ存在となっており、サイバー犯罪者にとってさまざまな方法でネットワークに侵入して混乱を引き起こしやすいものとなっています。

●サイバーセキュリティのベストプラクティスのチェックリストの紹介 ：

人間が定期的な健康診断の受診を推奨されることと同様に、医療機関自体のエコシステムも定期健診を受けるべきです。米国保健福祉省は、医療機関のサイバーセキュリティ体制を改善するため、すべてのシステムとデバイスの継続的な脆弱性スキャンなどの組織全体でのリスク分析と一連のベストプラクティスの実施を推奨しています。

医療機関だけではなくすべての組織が、基本的なレベルと高度なレベルの両方でセキュリティ管理の優先順位を付ける必要があります。AT&Tによる医療業界に注目したサイバーセキュリティ調査では、利用可能な最も効率的かつ効果的なセキュリティ管理サービスとして、侵入検知および脅威検知、多要素認証、保存データの暗号化、エンドポイントおよびデバイスの監視が回答の上位に挙がっていました。

今回アクロニスが紹介するのは、医療情報管理システム協会（Healthcare Information and Management Systems：HIMMS）によるもので、基本的なセキュリティ管理に必要な項目を以下のように定義しています。

• ウイルス対策
• ファイル／データのバックアップと復元
• データ損失防止
• 電子メール／Webゲートウェイ
• 保存済み／アーカイブ対象のファイル／転送中データの暗号化
• ファイアウォール
• インシデント対応計画
• セキュリティ意識向上トレーニング／ポリシーと手順
• 脆弱性管理
• モバイルデバイス管理

高度なセキュリティ管理には次の項目が加わります。

• 盗難防止デバイス
• 事業継続および障害復旧計画
• デジタルフォレンジック
• 多要素認証
• ネットワークの区分
• ペネトレーションテスト
• 脅威インテリジェンスの共有
• 脆弱性スキャン

これらのリストは、米国だけではなく、世界中の医療機関でも活用する意味があると考えています。こうしたチェックリストを活用し、ITインフラストラクチャに継続的に投資し、患者の個人情報を保護し、すべての規制要件を継続して順守することが必要なのです。医療機関のITチームだけで問題を解決するのが難しければ、MSPやMSSP（マネージドセキュリティサービスプロバイダー）のサポートの下で対策を行うことも必要です。そのようにしてシステムの脆弱性を特定し、修復し、医療機関のエコシステムを回復することで命を救う役割を果たすことができます。規模にかかわらず、すべての組織がサイバーセキュリティに後から対応するのではなく、事前に取り組んでおけるようにすることが、現在のセキュリティベンダーに求められていることです。

また、Acronis Cyber Protect Cloudは、Active Protectionによりランサムウェアを検知してブロックするほか、バックアップおよび障害復旧ソリューションによって、医療機関の迅速な復旧を支援します。その他、さらに詳しいランサムウェアの被害情報に関する情報はブログ（https://www.acronis.com/ja-jp/blog/posts/cost-of-ransomware/）でご覧いただけます。