医療関係IT部門のセキュリティ:留意点トップ5

3月 26, 2017 セキュリティとコンプライアンス, MOVEit

医療機関は重要な個人データを大量に扱うので、セキュリティに関してはある意味広告塔のような役割も担います。Infosecurity Magazine では、2016年の医療データの違反が前年より63%増加したと報告されています。 このように医療機関はサイバー犯罪者のターゲットになりやすいですが、特に問題が発生しやすいのはどういった状況でしょうか?

1.移動中のデータ

機密情報が悪意あるハッキングの最大のターゲットの1つであることは驚くことではありません。医療機関は、X線画像、電子健康記録(EHR)、支払い情報など、慎重に扱わなければならない機密データをやりとりします。

機密データは多岐にわたり、様々な部門がアクセスを必要とするので、セキュリティ管理がおろそかになりがちな面があります。送信元または送信先に関係なく情報を保護して送信する統一された方法がなければ、複数の部門とユーザーが異なるセキュリティ手段を使用して機密データにアクセスするので、誤った取り扱いによって脆弱になる可能性があります。その結果、不適格なユーザーがアクセス可能になったり、データがセキュアでない/暗号化されていない形式で送信されたりします。別の言い方をするなら、ハッカーの餌食になりやすくなります。

2.保管中のデータ

保護されていないネットワークを介して送信されるデータが脆弱なのに加え、保管中の重要な医療データもしっかり保護されていなければ同じように脆弱だと言えます。多くの場合、ハッカーは、脆弱なシステムを直接攻撃しようとはしません。代わりに、場所や形式に関係なく、検出されてアクセスがシャットダウンされるまでデータを盗み続ける「スマッシュ・アンド・グラブ」手法を使用します。

したがって、医療機関では、常にすべてのデータのセキュリティを確保する必要があります。地理的に分散された施設を備えた医療機関は、保管中のデータの脆弱性をなくすために、データを暗号化し、すべてのユーザーと環境におけるアクセスを集中管理するデータ・セキュリティ・ソリューションに統合することを考えるべきでしょう。

3.データにアクセスするユーザー

移動中のデータと保管中のデータに共通の留意点があります。データにアクセスし、処理するユーザーです。医療機関にとっては、ユーザー関係のセキュリティは特に複雑になります。 異なるベンダーによって供給される複数のデータソースは、さまざまな独自のシステムにつながります。ユーザーが複数のシステムに頻繁にアクセスする必要がある場合、ミスが発生しやすいのは当然でしょう。

データにアクセスするユーザーに関する2つの主要な問題は、古過ぎるパーミッションとユーザーの怠慢です。ハッカーは、古いアカウントや弱い認証手段を利用してシステムにアクセスすることができます。怠慢なユーザーは、間違った受信者にデータを送信してしまったり、データを保護されない状態のままにしてしまったりする可能性があります。これらの脆弱性に対処するには、データにアクセスするユーザーとそのセキュリティ処理を一元的に管理する手段を工夫する必要があります。

4.外部ユーザー

外部ユーザーが重要なデータに接するような場面は、他の多くの分野ではあまり見られません。患者に情報を開示しなければならない病院における状況はかなり特異で、ホテルにたとえるなら、すべての部屋にそれぞれの利用者の請求情報を含むコンピュータを配置しているようなものです。

アクセスポイントが施設全体に広がっているので、ソーシャル・エンジニアリングの魔手にかかりやすくなります。合法的なユーザーとその所属先の数の多さは、この問題をより複雑にします。ある人物が自分が誰であるかを名乗ったとしても、本当にその通りなのかどうか知ることは困難です。

5.ネットワーク接続への依存性

サイバー攻撃の一種であるランサムウェアがはびこっているので、基本的な業務プロセスをネットワーク・アクセスに大きく依存している業界は特に脆弱です。

Health Data Management の2016年11月の記事は、ランサムウェアとボリューメトリック DDoS 攻撃との関係について説明しています。 医療機関の特に機密性の高いデータとネットワーク要件が、ネットワークを壊滅させてしまう DDoS 攻撃とランサムウェア注入の主要なターゲットにしていることがわかりました。

Joe Hewitson