医療組織の「やるべきこと」リストの最上位はセキュリティ

「ヒューストン、問題発生です。」 これは、ヒューストンにいようと、ボストンにいようと、セントルイスにいようと、サンフランシスコにいようと、医療組織にとっては新しいことではありません。サイバーセキュリティの面では、2015年の医療業界は悪い意味で当たり年でした。医療システムに対する攻撃の増加により、多くの安全でない攻撃対象領域、不正アクセスを受けた機密データ、壊滅的な被害を招く可能性など、セキュリティの短所が明らかになったのです。

2016年は、同じようなことがもっと起こるでしょう。医療組織は、患者や自分たちを危険にさらすことのないよう、セキュリティ面での取り組みを急がなければなりません。2015年は複数のデータブリーチ(侵害)がありました。AnthemやPremeraもその中に入っています。また、Hollywood Presbyterian Medical Center(ハリウッド長老教会派医療センター)へのランサムウェア攻撃は大々的に報道されました。2016年もこれらの傾向が続くでしょう。実際、Hollywood Presbyterianへの攻撃は、あのランサムウェアの性能試験だったのかもしれません。これが2016年にはより大規模で、より被害の大きい攻撃に移される可能性があります。

幸いにも、医療界のリーダーたちの間で、セキュリティこそ彼らの「やるべきこと」リストの一番上に来るべきものであるという認識が広がっています。ファイアウォールだけではもはや、患者情報を保護するのに十分ではありません。Internet of Medical Things(医療モノのインターネット)が広まったことで、ネットワークの境界線がなくなってしまいました。複数の場所で使用されており、安全を確保しなければならない機器には、以下のようなものがあります。

  • ウェアラブルのフィットネストラッカーや血糖モニターなどの個人の機器
  • 輸液ポンプや心臓モニターのような、院内の機器
  • 医療機関が高いレベルの治療を提供するのに役立つタブレット
  • これらの情報のすべてが格納されており、アクセス、共有されているデータベース

これらの機器のうちどれか1つでも、攻撃ベクトルを与えてしまうことになります。FDAは医療機器とセキュリティニーズに以前よりも注目しており、1月にはこう述べています。「ますます多くの医療機器が、患者の治療促進のためにネットワーク化できるよう設計されています。その他のネットワーク化されたコンピュータシステム同様、ネットワーク化された医療機器はサイバーセキュリティの脅威に脆弱な可能性があるソフトウェアを組み込んでいます。脆弱性の悪用は、医療機器の安全性と有効性へのリスクを示すものであり、そうした悪用からの十分な保護を行うには、通常、製品のライフサイクルを通して継続的なメンテナンスが必要になります。医療機器におけるサイバーセキュリティのリスクにプロアクティブに対処することが、患者の安全への影響および公衆衛生への包括的なリスクを低減させることにつながります。」

患者は自分たちのプライバシーを大切にしており、自分たちの情報が保護されることを望んでいます。とは言え、医療の結果をめぐって態度は変わります。結果が重視されるのであれば、データのプライバシーの侵害ははるかに受け入れられやすいものになるのです。これを、医療以外の文脈から考えてみてください。最近の検索クエリに関連するバナー広告を配信するコンテンツアウェア型サーチエンジンは、誰かが見守っていてくれるような感覚を与え、こうしたレベルの侵害を重視する人はほとんどいません。この同じコンテンツアウェア型サーチエンジンは、最近購入した飛行機の便のチェックインの時間をユーザーに伝えることもできます。多くの人はこの機能を役立つものだと考えています。これは同じデータのプライバシーの侵害ですが、結果は全く異なります。だからこそ、医療組織ではプライバシーがより困難なものになるのです。2016年も、この件ではより多くの意見が交わされるでしょう。

現実を言えば、データブリーチや攻撃に備わるリスクは本物であり、これらは深刻なものです。アタッカーがメインシステムにアクセスしてしまえば、彼らはマルウェアをインストールし、システムのアクセスを停滞させ、患者の機密情報を収集するか、機器の制御を奪い、そして患者の命を危険にさらすことができるのです。すべての機密情報(そしてその延長線上で言えば、そのデータの背後に存在する、慎重に扱うべき状況に置かれた人々)を保護する最善の方法は、階層型のセキュリティアーキテクチャです。高度な脅威保護ツール、セグメンテーションファイアウォール、マルウェア/アンチウイルス保護などが必要になります。

今年のHIMSSカンファレンスでは、昨年始まった議論および作業が継続されました。セキュリティが大きな焦点となり、プレゼンテーションや会場でも、攻撃のリスクやセキュリティの選択肢に関する話題で持ちきりでした。今こそ、行動を起こさなければなりません。医療組織の皆さんには、セキュリティの検討や計画の際に、途方に暮れず行動してほしいと思います。専門家を呼び、彼らのアドバイスを真剣に受け止めるようにしましょう。組織内でのセグメンテーションや多層セキュリティなど、可能な限り多くのセキュリティ対策を実行してください。そして止むことのない複雑で巧妙化した攻撃から可能な限り最善の形で保護を行うためには、セキュリティの追加、見直し、調整を続けてください。