サイバーセキュリティ 
クラウド環境の導入やテレワークが普及したことによって
医療業界においてサイバーセキュリティは不可欠です。患者の医療情報を保護することで、不正ユーザーに個人データが抜き取られるのを防ぐことができるためです。 患者の医療データには、病歴、処方箋、診断などの情報が含まれているため、そのようなデータへのアクセスを得た不正ユーザーが、身元情報の窃盗や医療保険詐欺を犯すために悪用する可能性があるのです。
Verizon社の2024年データ漏洩調査レポートによると、医療業界はサイバー攻撃や情報漏えいに最も狙われやすい業界の1つであり、サイバー犯罪者の98%は、その動機が金銭上の利益を狙ったものであることがわかりました。
ここでは、医療データの保護が重要である理由、医療業界が直面する一般的なセキュリティ課題、そして医療データの安全を確保する上での最善策について説明します。
KeeperPAM(特権アクセスマネージャー)で企業内の
セキュリティを可視化し、企業の安全を支えます!
医療データの保護が重要な理由
医療機関は、患者に関する機密データを大量に保存しているため、サイバー犯罪者や患者の医療記録への不正アクセスを企む人物にとって、医療データは非常に価値の高いものです。 患者の詳細な病歴に関する情報が悪意のある人物の手に渡ると、個人情報の盗難や保険詐欺につながる可能性があります。 多くの医療機関では、紙カルテから電子カルテに切り替えているため、情報漏えいやサイバー攻撃で医療データが盗難に遭う全体的なリスクは、劇的に増加しています。
最近のマルウェア攻撃や主要な医療機関における情報漏洩、例えばChange Healthcareで発生した情報漏洩などは、医療データを最高レベルのセキュリティで保護すべき理由を浮き彫りにしています。
医療業界における一般的なサイバーセキュリティのデータ保護における課題
医療業界内の組織は、時代遅れの技術や脆弱なパスワード、トレーニングが不足など、医療データを安全に保つ上でのいくつかの課題に直面しています。
レガシーシステムなど古いパッチのシステム
多くの病院や医療機関では、時代遅れのレガシーシステムなどのテクノロジーに依存しています。それは、アップデートするのに費用がかかりすぎる、あるいはアップデートが単に優先事項ではないことなどが挙げられます。しかし、医療従事者が古いテクノロジーを使用すると、古いハードウェアによっては最新のソフトウェアアップデートを処理できないため、セキュリティの脆弱性にパッチが適用されないことがあります。 時代遅れのテクノロジーが情報漏洩でサイバー犯罪者に悪用されやすいのは、これが理由です。
脆弱なパスワードの使用
医療機関が脆弱なパスワードを使用していると、情報漏洩や医療データの侵害につながる可能性があります。 各アカウントに強力で固有のパスワードを使用することを従業員に徹底させましょう。 従業員のパスワードは少なくとも16文字で構成されたもので、大文字と小文字、数字、記号が組み合わせられている必要があります。 パスワードに文字や数字の繰り返しを使用したり、あるいは個人情報を使用したりすると、ハッカーに容易に推測されてしまうため、そのようなパスワードを使用しないこと従業員に徹底しましょう。 病院や医療機関で働く従業員が脆弱なパスワードを使用している場合、アカウントが漏洩する可能性が高く、結果として患者データへの不正アクセスにつながる可能性があるのです。
サイバーセキュリティトレーニングの欠如
医療従事者の多くは忙しく、適切なサイバーセキュリティ慣行を学ぶための時間が取れないことがあります。そのため、医療従事者にセキュリティトレーニングを実施することが重要です。 特に、数百人、あるいは数千人もの従業員を抱える組織では、サイバーセキュリティのベストプラクティスを全員に理解させるのは難しいかもしれません。 従業員がパスワード衛生のガイドラインを遵守し、フィッシング攻撃を見破る方法を身につけることで、組織が情報漏洩の被害に遭う可能性を減らすことができます。
安全ではない方法によるPHIの共有
保護対象の医療情報 (PHI) を送信する際は、エンドツーエンドの暗号化を備えた安全な共有方法のみを使用するべきです。 メールやメッセージングアプリを介した情報送信は暗号化されていないため、こうした手段による医療保険情報の送信が可能な医療機関では、患者の個人情報の安全性が脅かされることになります。 暗号化されていない手段で機密情報を共有すると、不正ユーザーが情報を傍受して保険詐欺や身元情報の窃盗を犯す発端となる可能性があります。医療従事者がPHIを共有する際は、安全なファイル転送や暗号化されたメッセージングなどの安全な共有方法を使用すると良いでしょう。
ヒューマンエラー
人は時には間違いを犯すものですが、医療業界でのサイバーセキュリティに関する人的ミスの影響によって、患者の健康やプライバシーが侵害される可能性があります。 人的ミスにより、組織はデータの損失、サイバー攻撃、情報漏洩、そして重大な経済的損失の被害に遭う恐れがあるのです。 人的ミスの原因となりうる要因には、従業員による脆弱なパスワードの使用、フィッシング詐欺に騙されること、正しくない相手との機密データの共有、セキュリティに関するトレーニングの不足などが考えられます。
医療業界でサイバーセキュリティを確保するためのベストプラクティス
幸いなことに、医療機関は、最小権限アクセスの実装やエンドツーエンド暗号化の使用、強力なパスワード慣行の実施によって、内部データや患者のデータを確実に保護することができます。
最小特権アクセスの実装
最小権限アクセスは、許可されたユーザーがアクセスできるのは、業務を完了するために必要な情報のみとすることです。 個々の従業員が組織のデータすべてにアクセスする必要はないため、最小権限の原則を実行することは重要です。 例えば、すべての患者の医療記録や医療従事者の給与データへのアクセス権を持つ従業員のログイン認証情報が漏洩した場合、サイバー犯罪者は組織の機密データすべてにアクセスできる可能性があります。
KeeperPAM®のような特権アクセス管理 (PAM) ソリューションを通じて、従業員の役割に応じてアクセスを制限することで、情報漏洩の可能性と深刻度を軽減することができます。 PAM ソリューションは、財務データや医療データなどの機密情報への特権アクセスを備えたアカウントを保護し、それらを厳重に監視することで、機密データの流出や漏洩のリスクを軽減します。
エンドツーエンドの暗号化でデータを保護
エンドツーエンドの暗号化は、メッセージを暗号化して機密に保つことで、第三者があるシステムから別のシステムに送信されたデータにアクセスできないようにするものです。 従業員がPHIを共有する場合、データは常に暗号化されている必要があります。暗号化を実行すると、サイバー攻撃を仕掛けた不正ユーザーが患者情報を閲覧したり、改ざんしたり、盗んだりしづらくなるためです。 データの暗号化は、読み取り可能なデータを暗号文に変換します。これは、データが複合化されるまで、人間も機械も読むことのできない一連のランダムな文字列です。 これにより、PHIの共有プロセス全体を通じて安全性が維持されるため、PHIの転送中や保管中にデータがサイバー犯罪者に傍受されることはありません。
強力なパスワードとMFAを強制する
従業員は、強力なパスワードを使用し、すべてのアカウントで多要素認証 (MFA)を有効にして、患者データや組織データの漏洩を防ぐ必要があります。 強力なパスワードの使用を強制することで、脆弱なパスワードの使用やパスワードの再利用の習慣が排除され、パスワード関連のサイバー攻撃のリスクが軽減されます。 多くのPAMソリューションは、強力なパスワードを生成し、それらを安全に保存できるパスワードマネージャーを備えています。
従業員は、強力なパスワードを使用することに加えて、可能な限りMFAを有効にすることで、保護を強化する必要があります。MFAは、ユーザーがアカウントにアクセスする際に、ユーザー名とパスワードの他に追加の認証形式を求めるものです。 強力なパスワードを使用することでアカウント漏洩のリスクを軽減できますが、MFAを有効にすると、ユーザー名とパスワードを知られた相手によるアカウントへのアクセスを阻止できます。ログインするためには別の独自の認証形式が必要となるためです。
定期的なペネトレーションテストを実行する
組織は、情報漏洩やデータの流出から保護するために、ペネトレーションテストを定期的に実行すると良いでしょう。 サイバー犯罪者は、機密データにアクセスする目的でセキュリティの脆弱性を悪用するため、ペネトレーションテストを実施して実際のサイバー攻撃を想定し、サイバー犯罪者に悪用される可能性のある脆弱性を組織が評価するのに役立ちます。 組織がセキュリティの欠陥を把握すると、あらゆる脆弱性にパッチを適用して、機密情報を不正アクセスから保護することができます。 組織は、セキュリティシステムの強度を定期的にテストすることで、セキュリティ対策を改善する方法についての深い理解を得られるようになります。
インシデント対応計画を策定する
インシデント対応計画は、情報漏洩やサイバー攻撃が発生した場合に、医療従事者が従うべき役割の割り当てや手順の概要を示すものです。 インシデント対応計画が導入されていると、組織はサイバー攻撃の発生経緯、漏洩したデータの内容、今後の攻撃を防ぐ方法などを特定するための体制が整うようになります。 情報漏洩やサイバー攻撃に遭った場合でも落ち着いて対応できるようにするため、何らかの問題が発生する前に、組織でインシデント対応計画を作成しておくことは有益です。 インシデント対応計画を導入することで、サイバー攻撃が発生してから発覚するまでの期間を短縮し、攻撃によって組織のデータが被る損害を最小限に抑えることができます。
セキュリティ意識に関してスタッフを教育し、トレーニングを実施
従業員は、フィッシング詐欺やオンライン詐欺などのセキュリティ意識向上トレーニングを定期的に受ける必要があります。 医療機関はPHIや機密データを扱うため、従業員は患者データの盗難につながる可能性のあるフィッシング詐欺から身を守る方法について、知識を身につけなければなりません。 セキュリティ意識についての教育は定期的に行われないため、従業員は情報漏洩の観点で組織内で最も脆弱な糸口であることが多々あります。そのため、フィッシングやサイバー脅威などを見破る方法について、全員が教育を受けることが重要です。
まとめ:医療機関のサイバーセキュリティを強化して個人情報を保護
エンドツーエンド暗号化の使用や強力なパスワード慣行の徹底、万が一に備えたインシデント対応計画の策定などを実施して、組織や患者の情報を保護しましょう。 医療業界がいかにサイバー攻撃の標的となりやすいかについて考えると、組織の機密データを保護することは不可欠です。 KeeperPAMのようなPAMソリューションへの投資は、組織のパスワードを管理し、不正ユーザーによる侵害から特権アカウントを保護するのに役立ちます。
今すぐKeeperPAMのデモをリクエストして、PAMソリューションが医療組織の機密情報を可視化し、制御する方法をご確認ください。
KeeperPAMが貴社をサイバー攻撃のリスクからどのように保護するか、デモにて弊社の担当の者が詳しく説明致します。
