医療分野におけるサイバーセキュリティの課題
新型コロナ感染症のパンデミックの初期段階において、医療分野はサイバーセキュリティの成熟度の大きなギャップに直面し、激動の時期への対応に苦慮しました。患者の急増と新型コロナウイルスへの組織的対応が、医療分野に急速なデジタル化をもたらし、それが業界の脆弱性を浮き彫りにしました。このデジタル化への移行によって、堅牢なサイバーセキュリティインフラの欠如、脆弱なインシデント対応計画、および病院のIT/OT部門におけるサイバーセキュリティ専門家不足が明らかになりました。このような欠点と市場価値が高い医療データが相まって、医療機関はハッカーにとって格好の標的となりました。
この期間、医療分野では重大なサイバーセキュリティ侵害が相次ぎました。2021年5月、アイルランドの保健サービス局(HSE)がランサムウェア攻撃を受け、政府によってシステムがシャットダウンされる事態が起こりました。攻撃者は、ロシアのサイバー犯罪グループが運用していると報じられたランサムウェア「Conti」を使用していました。2022年5月、ロシアのハッカーがNATO諸国やウクライナを標的に、イタリアの医療機関を含むウェブサイトにDDoS攻撃を仕掛けました。同月、グリーンランドの医療システムでネットワークがクラッシュし、医療サービスが大幅に制限されましたが、幸いにも民間人のデータが侵害されることはありませんでした。
2022年6月、米国で、医療分野を含むさまざまな業界を標的としたフィッシングキャンペーンが発生し、Microsoft Office 365とOutlookのアカウントが侵害されました。2022年9月、メキシコ国防省で重大なセキュリティ侵害が発生し、健康情報を含む機密データが漏洩しました。2022年12月までに、ロシアに関係するハッカーは、主に情報の窃取と混乱を狙って、各国の医療ネットワークを利用してウクライナを攻撃しました。
2023年2月、北朝鮮のハッカーグループが各国の医療を含む業界を標的としたスパイ活動を秘密裏に行い、大量のデータを引き出しました。2023年6月には、イリノイ州のある病院がランサムウェア攻撃を主な理由として完全に閉鎖される事態に陥りました。これで、このような侵害が財政に壊滅的な影響をおよぼすことが明らかになりました。
さらに2023年7月5日には、テネシー州を拠点とするHCA Healthcareが攻撃を受け、1,100万人以上の患者の個人情報が流出しました。盗まれたデータは後にダークウェブで公開され、被害を受けた患者はHCAに対し、データ保護が不十分であったとして損害賠償を求める集団訴訟を起こしました。2022年10月に大阪急性期・総合医療センターが。サイバー攻撃によって、電子カルテを含む同院のシステムに障害が発生し、受付、や予定手術を停止せざるを得ない状況に陥いったことも日本では衝撃的なニュースとなりました。
これらの事件では、医療分野でサイバーセキュリティ対策を至急強化する必要性があることが明確になりました。デジタル医療ソリューションがますます不可欠になっているこの時代において、データ保護の重要性は極めて重要になっています。こうした課題に対する医療分野の対応は、デジタル医療における患者の安全と信頼を確保する上で重要なことです。
医療における運用制御技術の役割
医療分野では、医療機器の機能性と効率性を高める運用制御技術(OT)が重要な役割を果たしています。医療におけるOTは、ガートナー社の定義では、「物理的な装置、プロセス、イベントを直接監視かつ/または制御することによって、変化を検知する、または変化を引き起こすハードウェアおよびソフトウェア」としており、基本的な監視ツールから、MRIスキャナー、CTスキャナー、生理学的モニター、人工呼吸器、輸液ポンプなどの高度な診断機器まで多岐にわたります。自動化とデジタル化の加速により、これらのOTテクノロジーが医療機関のケア効率を向上させ、コスト削減が可能になりました。
さらに、大規模な医療施設のOT環境には、エネルギー管理、エレベーター、HVACシステム、医療用流体システムなど、医療機器以外の要素もあります。医療分野を標的とするサイバー攻撃のほとんどは、保守やアップグレード用として広範なアクセス権を持つサードパーティのサービスプロバイダーに的を絞っています。このような他者への権限付与が、セキュリティの低い接続性と相まって、関連するサイバーリスクを大幅に悪化させます。
需要の観点から、ITネットワークのセキュリティは、主に個人の医療情報の保護(PHI:Protected Health Information)やその他の個人データの保護に対応しており、これらは特にサイバー攻撃の深刻度や範囲が増大する中、医療のサイバーセキュリティの維持に欠かせません。しかし、病院のエネルギー管理、エレベーター、空調、医療用流体、駐車場のゲート、施設設備に広く存在するOTシステムについても優先度を考慮する必要があります。OTサイバーセキュリティには、重要な資産において固有の要件があります。たとえば、OTセキュリティは物理的な世界での運用の信頼性を保証するのに対し、ITセキュリティは保存データや転送中のデータを保護します。定期的で中断のない更新が行われるITシステムとは異なり、OT環境において、パッチ更新は歓迎されず、複雑なものになる場合があります。さらに、ITセキュリティが標準的なプロトコルに依存しているのとは対照的に、OTサイバーセキュリティでは、さまざまな独自の特殊な通信プロトコルを使用します。
医療分野において包括的な保護を実現するには、ITセキュリティとOTセキュリティのギャップを埋めることが不可欠です。それぞれに明確な要件があることを認識して対策を講じることが、現代の医療施設の基盤を形成する複雑な機器とシステムのネットワークを保護するための鍵となります。この業界では、データの保護と医療業務の物理的な整合性の両方を確保するために、ITとOT、両方のサイバーセキュリティをバランスよく考えたアプローチを優先させなければなりません。
医療IT/OTシステムの脆弱性
医療分野では、特に運用制御技術(OT)システムにおける、サイバーセキュリティの脆弱性がますます深刻になっています。コネクテッド医療機器やインフラ制御システムなどのOTテクノロジーでは、堅牢なセキュリティ対策が欠如し、十分なデータ暗号化、パスワード管理、または認証なしに、時代遅れのシステムで動作している場合があります。医療におけるITとOTシステムの融合は、相互接続によってネットワークの隔離が排除され、重要なシステムへのアクセスが増加する可能性があるため、攻撃対象領域を拡大します。多くの医療機関では、サイバーセキュリティに対する認識やトレーニングが十分でないため、ランサムウェアなどのサイバー攻撃のリスクが高まっています。患者のデータや機密性の高い医療情報を保護することは非常に重要であり、脆弱性はデータ漏洩や不正アクセスにつながる可能性があります。
セキュリティの問題は、医療機器やシステムの保守や更新を担当するサードパーティのサービスプロバイダーにも生じます。これらのプロバイダーが、特に広範なアクセス権を持つ場合、サイバー攻撃の媒介役となる可能性があります。当初、医療IT/OTシステムへのサイバー脅威は、主にデータ窃取や損害につながる外部からのソフトウェア感染や侵入によるものでした。このような脅威に対抗するためには、サイバーセキュリティ対策が不可欠です。感染はUSBメモリ、CD/DVD、スマートフォンなどのメディアを介して発生することが多く、マルウェアの起動は電子メールの添付ファイル、リンク、ネットワーク攻撃を通じて行われます。検知が困難な初期段階の侵入は、しばしばランサムウェアの下地を作り、ファイルを暗号化して業務を妨害します。
コネクテッド医療機器のリスクはますます大きくなっています。多くの機器は、重要なセキュリティ機能を欠いた旧式のソフトウェアで動作しており、メーカーや地域の医療技師が保守しています。このことが、サイバー攻撃に対して脆弱なインフラを生んでいます。メーカーが安全性の低いリモート接続ツールに依存することで、ITシステムはさらに危険にさらされます。マルウェアやランサムウェアが侵入すると、医療機器が完全に麻痺する可能性があり、こうなると単なるデータ流出や情報窃盗だけでなく、患者の命まで脅かされます。
医療のサイバーセキュリティ向上のための世界的な規制への取り組み
医療が深刻化するサイバー脅威に直面する中、医療サイバーセキュリティの強化に向けた規制当局の取り組みも活発化しています。重要な対策としては、権限を有するユーザーのアクセス確保や、ネットワークへの不正侵入を防ぐための対象コンピュータでの権限制御などが挙げられます。運用制御技術(OT)ソリューションを導入する医療機関は、機器と権限付きソースを厳格に保護しなければなりません。MITRE ATT&CKやISA/IEC 62443などの国際規格は、2024年に予定されている欧州のNIS2指令に代表されるように、OT保護に重点を置いたセキュアな手法の導入を後押ししています。米国保健社会福祉省(HHS)も、医療におけるサイバーセキュリティ対策にリソースとインセンティブを提供するとともに、コンプライアンス違反に対する規制罰則を強化しています。
IT/OTの統合によって攻撃対象領域が拡大し、攻撃者はこれらの環境間で移動できるようになります。たとえば、日本の『医療情報システムの安全管理に関するガイドライン第6.0版』では、物理的保護と個人的保護が重点的に扱われていますが、OTセキュリティにはさらに重点を置く必要があります。IEC 62443のような規格に準拠すると、グローバルなサイバーセキュリティ規範への適合と、OT環境の保護に役立ちます。サイバー攻撃からシステム障害に至るまでの緊急事態に対しては、多様な対応策が必要になります。事業継続計画(BCP)の策定、継続的なトレーニング、定期的なレビューが非常に重要です。BCPでは、ネットワークイベントを第一のリスクとして優先させるべきで、高度な医療IT/OTシステムには、堅牢なユーザー認証および承認プロセスが必要となります。
デフォルトですべてのアクセスエンティティを信頼しないものとして扱うゼロトラストモデルは、OTセキュリティにとって不可欠です。ゼロトラストでは、効果的なサイバーセキュリティインシデント対応のために、資産、プロトコル、プロセス、およびネットワーク活動に関する包括的な知識が必要になります。
現代の医療環境においては、クラウドサービスを含むアウトソーシングや外部サービスの利用が一般的に行われています。その場合、有能な医療IT/OTシステムおよびサービスプロバイダーを選択することが重要で、そこで外部環境におけるデータ管理の専門知識を確保する必要があります。外部ストレージを適切に利用することで、医療機関の情報取扱能力を高めることができます。
サービスの継続性、メーカーの保証、OT機器の陳腐化などの課題には、従来のITアプローチを超えた、具体的なソリューションが求められます。サイバー脅威の頻度と深刻度が増す中、変更管理やユーザーの啓発とともに医療機器の導入時におけるセキュリティの統合が不可欠となります。
医療分野における5つの重要なセキュリティ対策
現代の医療分野では、サイバーセキュリティの脅威に対処するためには、サーバー、端末、ネットワークなどの物理的な機器だけでなく、さまざまなシステム構成要素や、それを使用するユーザーや管理者の管理も含めた包括的なアプローチが必要です。この包括的な捉え方においては、医療IT/OTシステムと相互作用するあらゆる資産とアカウントのリスト化と管理が必ず必要になります。これらのシステムが協調的に機能するという性質を考えると、システム自体を管理可能な実体として捉えることが重要です。
この対策の中心は、これらのコンポーネントとアカウントの正常な動作を確保し、異常な振る舞いを監視する強固なガバナンスです。異常を検知すれば、直ちに予防措置を講じなければなりません。しかし、ガバナンスだけでは不十分であり、危機の際にもサイバーセキュリティインシデントが発生することを想定することも重要です。そのためには、事業継続計画(BCP)の一部として、緊急時の運用ポリシー、基準、および手順を定義しておく必要があります。包括的な備えのためには、あらゆる運用面とシステム面において、システムとデータの冗長性やバックアップを実施することが不可欠です。
ガバナンス
外部サービスやオンラインメンテナンスを利用することが多い現在の医療IT/OTシステムの複雑な環境は、リスクは接続されたルータやデバイス、さらには外部ベンダーが管理する通信回線にまでおよびます。これらの外部システムの脆弱性が、医療IT/OTシステム全体に重大な脅威となりえます。外部サプライヤを直接管理することは実現不可能かもしれませんが、医療機関は接続状況を常に把握し、契約を通じてセキュリティ上の抜け穴がないことを確認する必要があります。たとえば、部門ごとのシステムのメンテナンスなどは、医療機関本体はほとんど関知せずに、各部門がサプライヤと直接交渉を行う場合があります。このような場合、責任あるセキュリティ対策を通して患者の安全を確保することは困難になります。医療機関は、強固で効果的なサイバーセキュリティ対策を維持するためには、接続状況を認識し、それらを管理しなければなりません。
構成管理
医療情報システムのサイバーセキュリティを維持するには、効果的な設定管理とアクセス制御が不可欠です。これには、システムやサービスを構成する機器およびネットワーク構造を包括的に理解し、分類しておくことも含まれています。適切なネットワーク接続機器と経路を確保することで、不適切な機器接続、ソフトウェアまたはデータの統合、および異常なデータ通信を防止することができます。特にネットワークセキュリティの観点からは、論理的または物理的な構成セグメンテーションの実行、接続機器の制御、および通信データの管理を行い、セキリティの整合性を維持させることが求められます。
アクセス制御
アクセス制御では、医療情報システムの使用や管理に関わる人員について詳細にリストアップしておく必要があります。特に各担当者がどのようなアクセス権限をもち、どのように各システムに関与しているかを把握しておくことが極めて重要です。関連するサービスプロバイダーを含めたシステム管理者には、悪意のあるソフトウェアがシステムの脆弱性を悪用して管理者権限を奪い、防御を破ることのないように厳密なアカウント管理が必要となります。万一管理者権限が侵害された場合には、Active DirectoryやLDAPなどの認証制御システムが乗っ取られる恐れがあります。しかし、運用システムとバックアップシステムのセキュリティ認証情報を分離しておくことで、対応する時間を稼ぐことができ、バックアップシステムやセキュリティシステムを守ることが期待できます。
今日の複雑な情報システムでは、さまざまなシステムが自動的に接続し、サポートして、制御し合っています。アカウント管理には、システムやアプリケーションなどのソフトウェアも含めなければなりません。WindowsなどのPC用OSやLinuxなどのサーバー側システムのいずれにも、インストールして、自動起動できる機能やプロセスが多数あります。脆弱性のあるプロセスはサイバー攻撃の侵入地点となり得るため、医療情報システム内で必要とされない機能は作動させるべきではありません。医療機関は、不必要なプロセスやプログラムを削除するか、または起動しないようサービスプロバイダーに要請し、これらの不必要なプロセスがうっかり始動されていないかどうかを注意深く監視する必要があります。削除あるいは無効化していたプロセスが、セキュリティパッチを適用したときに意図せず復元されてしまう場合もあるため、継続的な監視は欠かせません。
継続的な監視
特に医療分野では、効果的なサイバーセキュリティの監視が重要です。構成とアカウントを管理し、違法なソフトウェアやデータによる異常を特定することで、不正な侵入を検知し、不正アクセスを防ぐことができます。このような包括的な監視が、システムの完全性を維持するための鍵となります。
不正な侵入の検知と不正アクセスの防止に対応するため、侵入検知システム(IDS)や侵入防御システム(IPS)などのセキュリティサービスを利用します。OTシステム用にカスタマイズされたネットワーク保護ソリューションは、自動ルール学習技術を使用してOTネットワークの許可リストを自動的に生成し、正確なL2-L7ネットワークポリシーを確立するのに役立つため推奨されています。この厳格なポリシー策定は、必要な資産の通信に基づくものであり、疑わしいまたは潜在的に有害な活動すべてを浮き彫りにします。さらに、さまざまな医療制御システムの通信プロトコルを詳細に把握しているソリューションを選択することも重要になります。そうすることで、ネットワークデータパケットを効果的に分析し、医療業務を中断させることなく悪意のある活動やエラーを防止することができます。
パッチが適用されていない脆弱性により攻撃を受けやすい医療機器や医療ビル内のOT/ICSシステムには、仮想パッチ技術などの補完的制御手法を採用することが推奨されます。このテクノロジーは、設定や管理にかかる時間を最小限に抑え、既存のOT環境にシームレスに統合できます。
エンドポイント検知および対応(EDR)サービスは、違法なソフトウェアやデータによって引き起こされる異常を検知するうえで非常に重要です。TXOne Networksの調査によると、従来のパターンマッチング型検知では多くの種類のマルウェア(ゼロデイ攻撃など)を逃してしまうことが判明しています。新世代のサイバーフィジカルシステムディテクション&レスポンス(CPSDR)手法は、脅威の検知と対応の分野に革命的な変化をもたらすものです。CPSDRは、パフォーマンスに影響をおよぼすことなく、セキュリティ対策を機器の運用と連携させた運用中心のアプローチに対応しています。これで、脅威が発生する前にシステムの異常を高精度で早期に警告し、不安定になる前に正常なオペレーションからの逸脱を効果的に検知して抑制します。CPSDRは、既知の脅威にとどまらず、未知の脅威にまで防御を拡大します。CPSDRの採用により、攻撃であれ正常な処理変更であれ、システム運用におけるあらゆる変化が徹底的に分析・対処されるようになるため、リスクが大幅に軽減されます。この包括的なアプローチにより、医療システムなどの重要なシステムは多様なサイバー脅威から保護され、重要な業務の安全と完全性が維持されます。
強固な事業継続計画
サイバー脅威がますます巧妙化する今日のデジタル医療の状況においては、強固な事業継続計画(BCP)の策定が不可欠です。包括的なBCPには、迅速な復旧ソリューションとともに、サイバーインシデント発生時の混乱と事業への影響を最小限に抑える対策を盛り込む必要があります。しかし、サイバーインシデントを完全に防ぐことは非現実的な目標であると認識しておかなければなりません。そのため、医療機関は最悪のシナリオに備え、サイバーインシデントを、大規模災害ととらえてBCPに組み込んでおきます。この備えには、緊急事態時の紙ベースのオペレーションや近隣の医療施設からの支援も含まれます。
効果的なBCPには、基本的な対策としてシステムバックアップとデータバックアップが求められます。これらのバックアップは、基本的な業務を継続し、必要に応じてシステムを元の状態に戻すために必要な情報に迅速にアクセスできるように設計されているものです。バックアップの内容は、医療機関のニーズによって異なります。たとえば、救急医療サービスでは直近1年分のデータにアクセスできれば十分かもしれません。そのため、バックアップの期間は1年よりも若干長めの期間をカバーすることが推奨されます。
システムとデータの復旧に関しては、バックアップには患者データだけでなく、システムを稼働させるためのソフトウェアや設定も含めておかなければなりません。この包括的なアプローチは、「フルバックアップ」と呼ばれることがあり、通常はシステムベンダーによって管理されます。医療分野は、正しいフルバックアップが仕様に含まれていることを確認し、システム導入時に検証されていることも確認しておかなければなりません。犯罪捜査につながるサイバーインシデントの場合、既存のシステムと互換性のあるハードウェアが必要になることがあります。このような備えは、医療サービスの混乱を最小限に抑えるために極めて重要です。
複数のベンダーが関与することが多い現代の医療IT/OTシステムの複雑さを考えると、すべてのシステムコンポーネントとベンダーを網羅した、十分に調整されたバックアップ手法を実施することが不可欠です。この手法では、患者記録から画像診断までのさまざまな種類のデータやシステムの機能を考慮しておきます。
最後に、システム機能をすぐに復旧できない状況では、短期的なデータはCD-RやDVD-Rを使用したり、適切な表示ツールが備わったノートパソコンを用意しておくなど、バックアップデータにアクセスする代替方法を検討する必要があります。手作業による紙運用の可能性を含めて、効果的な計画を立て、緊急事態に備えるために、システムベンダーと連携することが重要です。このように備えておくと、重大なサイバーインシデントに直面しても、患者ケアの継続性が維持されます。
医療業界のサイバー脅威に不安を感じていませんか?TXOneにまずお気軽にご相談ください。
現場の課題は常に変化しています。ご紹介した情報は多岐にわたりますが、当社のチームは、お客様とお客様のサプライヤ様が最適なOTネットワーク保護策を見つけられるよう、いつでもお手伝いさせていただきます。TXOneのソリューションがお客様のシステムのセキュリティ、コンプライアンス、中断のない運用をどのように実現するのか、その詳細については、是非お問い合わせください。
