ヘルスケアは、近年サイバー犯罪者が特に狙いを定めている業種の一つだ。特にどういった攻撃が多いのか、ESETは調査会社と共同で、現場に携わっている関係者から聞き取り調査を行い、その実態を明らかにした。
この記事は、ESETのブログ記事を基に、日本向けの解説を加えて編集したものである。
ヒューリスティックエンジンをはじめとして、20年以上にわたってプロアクティブ保護技術を積極的に開発してきたITセキュリティのパイオニアであるESETと、プライバシーと情報管理の調査会社であるポネモン研究所は、ヘルスケア組織のサイバーセキュリティについての最新の研究を公表した。同研究によれば、ヘルスケア組織は1カ月に1度はサイバー攻撃に遭っており、調査に回答した担当者の約半分(48%)が、過去12カ月で1度は、患者の情報が暴露されてしまうインシデントを経験したと回答した。こうした事故がある一方で、自らの所属組織でインシデントへの対策を実地運用していると答えたのは、たった半分の回答者だけだった。
スティーヴン・コッブ(Stephen Cobb、ESETシニアセキュリティ研究者)は、「テクノロジーの発展とそのアップデートの遅れがヘルスケアITのセキュリティで『最悪の状況』をつくり出すかもしれません」と語る。
「ヘルスケア部門は、サイバー犯罪者に対して現在と将来の脅威に対抗できるようにすべく、健康についてのデータを守る上でインシデント対応のプロセスを整理しなければなりません。ヘルスケア組織であればどこでも、最初の一歩として、インシデント対応のプロセスを実践に移すのがいいでしょう。包括的なバックアップや災害時の復旧メカニズムの導入などです。さらには、DDoS攻撃への対策やマルウェアからの防御、強力な認証システム、暗号化と、ソフトウェアアップデートのパッチ管理も明らかに必要です」
調査結果の要点だけを整理すると、以下のようになる。
エクスプロイト攻撃
既存のソフトウェアの脆弱性を突くエクスプロイト攻撃、そして、Web感染型のマルウェア攻撃が、最もよくあるセキュリティのインシデントである。調査に答えた担当者の78%によれば、最も一般的なセキュリティのインシデントは、発見後3カ月以上たっている既存のソフトウェアの脆弱性を突いた攻撃だった。
APT
組織は平均して3カ月に1度の頻度で「APT」(先進的で持続的な標的型攻撃)にさらされている。調査に協力した担当者らは、2015年には3カ月ごとにAPT攻撃を受けた。63%の担当者が、APT攻撃とゼロデイ攻撃の影響を受け、そのうち46%は、患者への対応を深刻なリスクにさらしてしまいかねない、サービスを提供できなくなるITの休止時間が発生したと回答した。
患者の情報の窃取
クラッカーたちは患者の情報を盗み出すことに最も高い関心を示している。不正アクセスにとって最も魅力的で有利なターゲットは、患者の医療記録だという。調査に回答した担当者の81%がそう答えた。
システム障害
ヘルスケア組織は、システム障害を最も懸念している。79%の担当者が、システム障害はトップスリーに入る組織が直面する脅威の一つだと認識している。2位以下には「サイバー攻撃者」(77%)と「安全ではない医療機器」(77%)がシステム障害に次ぐ位置を占めている。
最新技術の導入への懸念
技術導入は患者の情報管理において、従業員の過失よりも大きなリスクを抱えている。過半数(52%)の担当者は、レガシーシステムに対してクラウドやモバイルの活用、ビッグデータ、IoTといった新たな技術を導入すると、患者の情報の脆弱性を高めると捉えている。従業員の過失を懸念する向きも46%の担当者が示し、 患者の情報セキュリティを保護するためのHIPAA (米国における医療保険の相互運用性と説明責任に関する法令)の実効性に対して懸念を表明している担当者は45%に上る。
DDoS攻撃
DDoS攻撃は平均で132万ドルの被害を過去1年間で引き起こした。回答者の37%が、自分の組織はDDoS攻撃を経験し、運営の混乱やシステムの一時中断を4カ月に1度は経験している。これらの攻撃は平均で132万ドルの被害をもたらしており、生産性の低下や社会的評判の毀損、あるいはブランドイメージも被害を受けている。
セキュリティへの投資
ヘルスケア組織は、技術に投資できる十分な余力を持たなければならない。ヘルスケア組織の担当者は平均して2,300万ドルをITに掛けている。その12%をセキュリティに対して用いている。DDoS攻撃対策だけに130万ドルほど掛けており、攻撃の成功回数を減らすために技術への投資機会を増やしている。
ラリー・ポネモン(Larry Ponemon、ポネモン研究所会長・創業者)氏は、「調査研究に基づけば、ヘルスケア組織は多様な脅威に対抗しようと闘っていますが、リスク、脆弱性、攻撃を最小化する能力については悲観的にならざるを得ません」と述べている。
「保険やヘルスケアシステムのデータ侵害が過去数年間のニュースの見出しを飾ってきたことから分かる通り、ハッカーたちは、患者の医療記録を最も採算性の高い情報と認めています。その結果、ヘルスケア組織はかつてないほどにサイバーセキュリティ戦略を練り直さねばならない時期にきているのではないでしょうか」
なお、研究結果の詳細な内容については、以下を参照。
New Ponemon Study: With Cybercrime Still on the Rise, It’s Time to Take Action
研究手法
米国内の中小規模のヘルスケア組織で働く535人のIT、ITセキュリティの実務家を対象に調査を行った。64%の回答者はHIPAAでカバーされている組織の従業員で、36%は実務面に関わっていた。88%の組織は、100~500人規模であった。
ポネモン研究所について
ポネモン研究所は世界中で、企業や政府機関とともに、先進的な情報セキュリティ、データ保護、プライバシー、責任ある情報管理の実務について、独自の研究と教育を指揮している。使命は、情報資産やITインフラに影響する重要な問題について、高品質で、実証的な研究を行うこと。米国の市場調査組織であるCASROのメンバーとして、厳格なデータの機密性、プライバシー、そして倫理的な研究基準を有している。 www.ponemon.org.
