PAM (特権アクセス管理) 
ランサムウェアと盗まれた認証情報は、金融機関を標的と
遠隔医療 (テレヘルス) とリモートワーク (在宅勤務) は、現代の医療提供において重要な役割を担うようになっています。 現在、臨床医、ITチーム、外部ベンダーは、ホームオフィス、モバイルデバイス、分散環境から電子カルテ (EHR) および請求プラットフォームにアクセスして業務を遂行しています。 その結果、医療機関は、従来のオンプレミス環境の範囲を大きく超えて、保護された医療情報 (PHI) へのアクセスの安全性を確保する必要に迫られています。 リモートアクセスの管理が不十分である場合、その影響はコンプライアンス違反にとどまらず、患者の安全と組織の信頼にまで及んでしまいます。Keeper®は、ゼロトラストセキュリティを適用し、機密性の高い患者データを保護し、認可されたユーザーに最小権限アクセスを付与することで、遠隔医療および医療分野におけるリモートアクセスの安全性を確保します。
以下では、医療機関がリモートアクセスを安全に保つために求められる対応と、Keeperが医療分野のセキュリティ強化にどのように貢献できるかをご紹介します。
遠隔医療が医療分野のセキュリティにもたらした変化
遠隔医療は、医療の中核をなす要素となり、在宅勤務する医師や分散型の医療チームは、今では一般的な存在となっています。 そうした現場では、医師は自宅で検査結果を確認し、看護師はモバイルデバイスでバーチャル訪問を行い、専門医は場所を問わずリアルタイムで診療を行います。 この変化により、医療システムへのアクセスは、今や病院だけでなく、家庭のWi-Fiネットワーク、モバイルエンドポイント、私有ITデバイスの業務利用 (BYOD) 環境にも広がっています。
従来の境界ベースのセキュリティモデルは、遠隔医療が主導する環境ではもはや明確なネットワーク境界がないため、それだけでは不十分なことがよくあります。 リモートユーザーが仮想プライベートネットワーク (VPN) 経由で接続する場合、従来のツールの多くは広範なネットワークアクセスを提供するため、万が一認証情報が漏洩した場合、機密性の高い患者データが漏洩する可能性があります。 現代の医療提供においては、IDと最小権限に基づいて構築された安全なリモートアクセスが求められます。これにより、ユーザーは、許可されたシステムのみにアクセスできるようになります。
医療分野のリモートアクセスにおけるセキュリティリスク
医療分野の従業員がリモートワークを行う場合、臨床医が重要なシステムや機密性の高い患者データに接続することになるため、医療業界におけるセキュリティリスクは特に深刻になっています。 ここでは、リモート医療環境における最も一般的なリスクをいくつか紹介します。
- 認証情報の漏洩: 共有された管理者認証情報と恒常的な常時アクセスは、PHIの漏洩および医療データへの不正アクセスのリスクを高めます。
- 侵害された医療用IoT (IoMT) デバイス: 輸液ポンプや患者モニターなど、インターネットに接続された医療機器には古いソフトウェアが稼働している場合があり、悪用されることで患者の安全に直接影響を及ぼす可能性があります。
- 内部脅威: リモートの医療ワークフローでは、ユーザーが過剰なアクセス権を付与されることが多くあるため、偶発的なデータ流出や特権の不正利用のリスクが高まります。
- 外部ベンダーによるアクセス: ベンダーや外部の遠隔医療パートナーは、付与される許可が一時的でなく自動的に取り消されない場合、必要以上に長くアクセスを保持することがあります。
- クラウドの設定ミス: クラウドストレージや遠隔医療アプリケーションの設定を誤ると、大量の医療レコードが漏洩する可能性があり、深刻なプライバシー侵害やコンプライアンス違反につながる場合があります。
- コンプライアンス違反: 医療保険の携行性と責任に関する法律 (HIPAA) では、適切なアクセス制御と監査能力が義務付けられていますが、組織に一元的な可視性が欠けている場合、これを実現するのは困難です。
Keeperが、遠隔医療および医療分野におけるリモートアクセスを保護する方法
クラウドネイティブのゼロトラストアイデンティティセキュリティ管理ソリューションとして、Keeperは、重要な医療システムへのアクセスを許可する前に、特権アクセスリクエストを検証するのに役立ちます。
EHRと臨床システムへの特権アクセスを保護
Keeperは、認証情報をゼロ知識型暗号化ボルトに保存することで、ユーザーがパスワードを露出させることなく重要なシステムに接続できるようにします。 また管理タスクに対しては、Keeperによってジャストインタイム (JIT) アクセスが強制されるため、ユーザーは必要な時だけ、特定のタスクのためにアクセス権を付与されます。 これを具体的にイメージするには、リモート勤務のIT管理者が、EHRデータベースに関連する遠隔医療システムのパフォーマンス問題をトラブルシューティングする場面を想像してみてください。 認証情報を共有したり、常時アクセスを許可したりする代わりに、Keeperはその管理者に一時アクセスを提供し、すべてのアクティビティを自動的に監視します。 パフォーマンス問題が解決されると管理者のアクセス権が取り消され、永続的な権限が排除されるため、詳細な監査証跡を維持することができます。
リモートエンドポイントで最小権限アクセスを適用
Keeperでは、リモートエンドポイント全体で最小権限アクセスを徹底することにより、常時アクセスを排除できます。 そうすることで、医療従事者は必要なときに、承認された業務に限り、特権アクセスを付与されます。 例えば、遠隔医療の看護師が、リモート勤務のシフト中にエンドポイントで特定のアプリケーションの更新を実行する必要があるとします。 Keeperなら、デバイスへの完全な管理者権限を看護師に与えるのではなく、そのタスクのために時間制限付きアクセスを許可することで、誤ってシステムを変更してしまうリスクを軽減します。
SSOとMFAで遠隔医療のアクセスを保護
Keeperでは、シングルサインオン (SSO) と統合し、多要素認証 (MFA) が強制されるため、医療従事者の認証が簡素化されると同時に、認証情報が漏洩した場合でも不正ログインを防止できます。 遠隔医療の看護師のログイン認証情報データが漏洩した場合、ダークウェブで売買される可能性がありますが、MFAが有効になっている場合、サイバー犯罪者はユーザー名とパスワードだけで看護師のアカウントにアクセスすることはできません。 またKeeperでは、連邦政府の施設で働く医療従事者向けにPIVカード認証もサポートしています。
医療現場における複雑な役割をRBACで管理
医療機関は、医師や看護師からIT管理者、請求担当スペシャリストまで、それぞれに異なるレベルのアクセス権を必要とするさまざまなロールを管理しています。Keeperはロールベースのアクセス制御 (RBAC) を適用し、職務機能に応じたアクセスを適用することで、認証されたユーザーのみが職務の遂行に必要なアクセス権を付与されるようにします。 ある医師が、フルタイムのオフィス勤務から遠隔医療サービスを提供するためにパートタイムのリモート勤務に移行した場合、Keeperの管理者は、新しい役割に基づいてアクセスポリシーを更新することができます。
患者ケアを犠牲にすることなく、安全な遠隔医療を実現
医療分野においてリモートアクセスが十分に管理されていない場合、医療ケアの提供が中断し、PHIが危険にさらされ、正確でタイムリーな治療を必要とする患者のリスクが高まるなど、壊滅的な事態を招く可能性があります。 遠隔医療が成長を続ける中、医療機関は、ゼロトラストセキュリティと最小権限の原則に基づいた安全なリモートアクセスを必要としています。 Keeperを使用することで、医療機関は、患者ケアの質を損なうことなく、患者の医療データを保護し、コンプライアンス基準をサポートし、遠隔医療を安全に拡大することができます。
ぜひKeeperのデモをご依頼いただき、医療機関におけるテレヘルスおよびリモートアクセスをゼロトラストセキュリティで保護する取り組みを今すぐご開始ください。
