医療分野の セキュリティ対策の今後
この 10 年、医療分野は遠隔医療や遠隔患者モニタリングなどの新たなサービスを提供し、患者と医療従事 者双方の利便性を高め、治療効果を大きく改善するイノベーションを支援してきました。抜本的なデジタル 変革が起こったのです。現代のデジタル医療機関はデータと IT にかつてなく依存しています。また、従来 の急性期外来の現場を超えて、院外の在宅入院の現場でも医療提供が始まりつつあります。このように医療 提供モデルが拡大を続ける中で IT 部門は今後も重要な役割を果たし、患者プライバシーとデータ セキュリ ティの侵害を受けない安全な手法で高いビジネス成果を後押しする任務を負います。
パンデミックは医療サービスのデジタル化をさらに発展・加速させました。コロナ危機の発生から数日のう ちに、医療機関は従業員がリモートで働けるだけでなく医療サービスの提供をオンラインで継続できる環境 を構築する方針転換を強いられたのです。しかし、業務と医療提供のための新たな環境を構築した結果、セ キュリティ対策が必要なアタックサーフェスも大幅に拡大しました。
現在の医療分野におけるセキュリティ対策の主要課題
医療分野でのデジタル変革の結果、患者と医療従事者の新しい可能性が数多く生まれましたが、それは攻撃 者も例外ではありません。今日の医療機関の責任者は以下のリスクを考慮する必要があります。
ランサムウェア : 医療業務のデジタル化を攻撃者も認識しており、医療分野はランサムウェアの主要な標的 になっています。こうした攻撃は成功すれば事業どころか生命を脅かす形で病院運営に影響を与える恐れが あります。2021 年には米国フロリダ州とテキサス州の病院チェーンで大規模な顧客情報の流出が発生しま した。この事例では、患者の個人情報を含むファイルのほか、診断結果や保険会社宛書状の大量のスキャン データをハッカーがダーク Web に投稿しています。
IoT/IoMT: 医療業界が直面しているもう 1 つの課題は、病院ネットワークに接続された医療機器が医療環境 に大量に存在することです。こうしたコネクテッド医療機器 ( 患者モニターや輸液ポンプなど ) の多くは登 場からかなりの年月が経過しています。そのため、病院、急性期医療施設、外来診療所などの医療環境に何 世代もの医療機器が存在する場合があります。
旧式の機器が大量に存在すると、医療機関がコネクテッド医療機器をすべて特定しようとする際に可視性の 問題が生じます。また、ただでさえ最小限のセキュリティ機能しかない医療機器が多い上に、潜在的なセキュ リティ脆弱性の修正アップデートが必要になるため、課題はいっそう悪化します。こうした脆弱性から、医 療 IoT 機器はマルウェア攻撃やランサムウェア攻撃の格好の侵入口となります。しかし、本当の問題はいず れかの機器に侵入できれば攻撃者が病院ネットワークを横移動できる点で、その結果甚大な被害が発生しか ねません。例として、パッチ未適用の医療機器がサイバー攻撃の標的になる事例が増加し、病院の運営機能、 患者の安全、データの機密性・完全性に悪影響が生じていると FBI が警告しています。
ハイブリッド環境 : 多くの医療従事者が現場とリモートの両方で働くようになった結果、解決が必要な新し いセキュリティ課題が生じています。すなわち、在宅勤務など働く場所を問わず医療施設内と同等のセキュ リティを医療従事者に提供する必要があります。また、十分なレベルの治療を提供するには、医療記録にア クセスする際の通信速度と遅延も医療施設内と同等でなければなりません。
医療セキュリティの新たな原則
医療機関が直面するセキュリティ課題から、一連の治療の流れを通じて包括的なセキュリティを提供する計 画的で予防的なアプローチの必要性が明らかになりました。言い換えれば、医療機関は適切なインフラを導 入し、医療環境で稼働するアプリケーションに不可欠なセキュリティ機能を持たせる必要があります。また、 治療提供時に情報へアクセスするユーザーを保護してセキュリティを確保することも必要です。
- ゼロ トラストの実装 : 医療機関が自身のサイバーセキュリティ リスクを包括的に可視化することは何よ りも重要です。一流の医療機関は医療環境のセキュリティ対策にゼロ トラスト アプローチを採用してい ます。ゼロ トラストとは、セキュリティ体制を継続的に検証して暗黙の信頼の排除を目指すサイバーセ キュリティ戦略を指します。
- oMT ( 医療 IoT) の可視化と保護 : 医療機関は保有する医療機器を予防的に管理する必要があります。一 方で、生体医工学チームや臨床工学チームは医療機器を管理する苦労を身に染みて理解しています。その ため、保守と復旧の業務負荷を軽減しつつ資本計画をよりスマートに判断する能力を与えるべきです。
- 安全なハイブリッド ワークの実現 : 接続性を確保して医療従事者がどこからでも安全に医療サービスを提 供できるようにすることは最優先事項です。
- クラウド環境の保護 : 医療分野ではクラウド利用が拡大しています。クラウド移行では、ワークロードを 利用できるよう適切なセキュリティ コントロールと可視性を確保することが不可欠な要件です。
- コンプライアンスの確保 : 法規制への準拠は医療分野で避けて通れない課題です。適切な投資を行って HIPAA などの規制に準拠し続けることは医療機関の責務です。
- サイバー自動化の活用 : 医療分野では人材とリソースが著しく不足しています。安全な運営、エンドポイ ント デバイス、クラウド / ハイブリッド勤務環境、セキュリティ オペレーション センターを支援する自 動化を取り入れることで、医療リソースを最適化できます。
セキュリティは決して後付けにすべきではありません。パンデミックが次第に終息してどのような形であれ ニュー ノーマルに移行する中で、セキュリティ部門をコストセンターではなく医療組織を構成する重要ビ ジネス パートナーとして捉えるべきです。パロアルトネットワークスの医療機関向けソリューションの詳 細は Web サイトをご覧ください。