パスワードがデータ漏洩で侵害され、ダークウェブで利用
医療保険の携行性と責任に関する法律(HIPAA)は、患者の健康情報に関するプライバシーを保護し、データ漏洩を防ぐことを目的として、政府がプライバシーとセキュリティ基準を設定するために作成された米国の法律です。 生命保険会社や業務提携先を含むヘルスケア関連のすべての組織は HIPAA 規制の対象です。つまり、HIPAA コンプライアンス要件を遵守しなければならないことを意味します。
HIPAA のセキュリティに対する認識とトレーニングを規定した項では、組織には「パスワードを作成、変更、保護するための手順」が必要であると明記されています。 パスワードマネージャーは、強力なパスワードを生成し、暗号化されたボルトに安全に保存することで、組織が HIPAA に準拠している状態を確保します。
ここでは、HIPAA のパスワード要件およびパスワードマネージャーがその要件を満たすためにどのように役立つかについて、さらに詳しく説明します。
HIPAAのパスワード要件
HIPAA はパスワードマネージャーの使用を義務づけていませんが、パスワード管理を HIPAA コンプライアンスプランに含めることを義務づけています。 HIPAA のパスワード要件に関する米国標準技術研究所(NIST)のガイダンスに適合した認証セキュリティの慣行は、以下の通りです。
- パスワードの複雑さ:HIPAA では、パスワードの複雑さに関する特定の要件は規定されていませんが、NIST では強力かつ一意のパスワードを作成する方法およびそれらを保護する方法について従業員が理解することを推奨しています。
- パスワードローテーション:HIPPA では現在、パスワードの変更を義務づけておらず、NIST では従業員が定期的にパスワードを変更することを推奨していません。 しかし、NIST はパスワードが侵害された場合にはすぐに変更することを推奨しています。
- 多要素認証(MFA):NIST では、MFA が利用可能な場合は必ず MFA を有効にすることを推奨しています。
- パスワードの共有:HIPAA ではパスワードの共有について特に規定していませんが、NIST では電子的に保存され、保護された健康情報(ePHI)を含むシステムやデータに関連するパスワードを共有しないことを強く推奨しています。
- モニタリングおよびロギング:IT 管理者は、ユーザーのログインアクティビティを監視し、ユーザーが職務上無関係の記録やシステムにアクセスすることがないようにしなければなりません。
- オフボーディング:組織はオフボーディングの手順を定め、ユーザーが会社を退職したり転職したりする際は、パスワードや PHI にただちにアクセスできないようにしなければなりません。 NIST では、自発的に退職する従業員と不本意ながら退職する従業員とで異なる手順を定めることを推奨しています。
HIPAA コンプライアンスにパスワードマネージャーを使用することのメリット
HIPAA コンプライアンスにパスワードマネージャーを使用することのメリットには、以下のようなものがあります。
強力なパスワードを作成する
多くの人が直面する困難のひとつに、さまざまなアカウントで強力なパスワードを作成することがあります。 この困難さは、サイバー犯罪者が容易に推測できる脆弱なパスワードの使用につながる場合が少なくありません。 あるいは、複数のアカウントで同じパスワードを使い回すことで、ひとつのアカウントのみが侵害された場合でも、複数のアカウントがリスクにさらされることになります。 パスワードマネージャーは強力なパスワードの作成をサポートするため、ユーザーは自分で強力なパスワードを作成する必要がなくなります。 さらに、組織は各従業員が強力なパスワードを使用して組織のアカウントやセンシティブデータを保護する状態を確保できます。
多要素認証(MFA)
利用可能なすべてのアカウントで MFA を有効にすることは困難な場合がありますが、HIPAA コンプライアンスを求められつつも、多くのユーザーは依然として MFA を有効にしていません。 パスワードマネージャーを使用することで、IT 管理者はすべてのアカウントにおいて MFA を使用させることができます。 Keeper® のようなパスワードマネージャーの中には、MFA コードを安全なデジタルボルトに保存できるものもあります。これにより、MFA を有効にしたサイトやシステムへのログインプロセスが簡単になります。
役割に応じたアクセス制御(RBAC)
最高レベルのパスワードマネージャーの中には、IT 管理者が役割に応じたアクセス制御(RBAC)を設定し、使用させることができるものもあります。 RBAC を使用することで、ユーザーが組織を離れたり、職務が変わったりした場合でも、IT 管理者はアクセスレベルを簡単に調整でき、アカウントを無効にすることができます。 RBAC はセキュリティを強化し、HIPAA コンプライアンス要件を満たすだけでなく、コストや管理上のオーバーヘッドの削減にも役立ちます。
安全なストレージ
最高レベルのパスワードマネージャーは、パスキー、ファイル、文書などパスワード以外のものも保存できます。 ゼロ知識のパスワードマネージャーに保存されたものは、保存時や転送時に暗号化され、許可されたユーザーのみがアクセスできるようになります。 これは、データがサイバー犯罪者の手に渡らないように保護するものであり、適切なアクセス権を持つ人々のみアクセスを許可するという HIPAA のコンプライアンス要件を満たします。
HIPAA に準拠したパスワードマネージャーに求められること
すべてのパスワードマネージャーが同じように作成されているわけではありません。 HIPAA に準拠したパスワードマネージャーに求められることは、以下のとおりです。
強力な暗号化
パスワードマネージャーは、自身が提供する暗号化と同じくらい強力です。 組織の保護に使用するパスワードマネージャーは、ゼロトラストおよびゼロ知識の両方である必要があります。これにより、許可された個人のみがパスワードマネージャーのボルトにアクセスする手段を確保し、暗号化と復号化は常にユーザーのデバイスでローカルに実行されます。 さらに、パスワードマネージャーには AES 256 ビット暗号化と楕円曲線暗号(ECC)を使用したデータの保護も求められます。これはサイバーセキュリティ業界で最も堅牢な暗号化であると考えられています。
2FA サポート
選択されたパスワードマネージャーは、二要素認証(2FA)もサポートしている必要があります。 パスワードマネージャーのアカウントで 2FA を有効にすることで、追加のセキュリティレイヤーにより保護され、不正アクセスを防ぐことができます。 パスワードマネージャーは、以下の 2FA オプションを提供しなければなりません。
- SSO 認証
- FIDO2 WebAuthn ハードウェアセキュリティキー
- パスキー
- 生体認証(FaceID、Touch ID、Windows Hello など)
メールの自動プロビジョニング
メールの自動プロビジョニングを使用することで、パスワードボルトをメールアドレスのドメインが一致する多数のユーザーにプロビジョニングできます。 このため、大規模な組織でもパスワードマネージャーを従業員に簡単に展開できます。
HIPAA に準拠したパスワードマネージャーとして Keeper を選択する
Keeper のようなパスワードマネージャーは、強力なパスワードを生成したり、MFA を使用および有効化したり、役割に応じたアクセス制御を実装したり、安全なストレージを提供したりすることで、HIPAA のパスワード要件に準拠した組織づくりに役立ちます。 Keeper はユーザーデータにアクセスできないため、ビジネスアソシエイト契約(BAA)には HIPAA コンプライアンスは求められません。
Keeperは、パスワード関連のデータ漏洩からヘルスケア組織を保護し、HIPAA コンプライアンスを確保するのに役立ちます。
まずは、Keeper の 14 日間無料トライアルをお試しください。