アクロニス・ジャパン(以下、アクロニス)は、「医療機関のサイバーセキュリティにおける脆弱性トップ7」を公開した。
今回の発表では、医療機関のサイバーセキュリティにおいて弱点となる点、および米国で公開された医療機関のチェックするべきリストを紹介。同社は、医療機関を詐欺や罰金の被害にさらす7つのウイークポイントは以下の通りだとしている。
1. 限られた予算:医療機関は、他のセクターに比べ、テクノロジーへの投資が少なく、半数以上の53%が、テクノロジーの予算は予算全体の10%未満と回答しているという。
2. ITスタッフの不足:予算が不十分な場合、侵害を監視、防止、復旧するスタッフも少なくなる。昨今のサイバーセキュリティ攻撃の規模と複雑さにより、医療提供者はこれらの役割を、患者記録のプライバシーを保護し、医療保険の携行性と責任に関する規制基準を遵守できるITベンダーに外注せざるを得なくなっているとのこと。
3. 古いシステム:システム更新のコストが高すぎたり、互換性の問題により古いシステムを使い続けたりすることで、セキュリティパッチが提供されない場合があるとしている。マネージドサービスプロバイダー(以下、MSP)には、古いシステムのリスクを緩和するための対策として、次の3つを挙げている。
・ソフトウェアのバージョンとベンダーの数を減らす
・ネットワークをセグメントし、攻撃やインシデントを隔離する
・セキュリティオペレーションセンターの具体的な責任を記載したワークフロー図を作成する
4. 医療IoT(IoMT):クラウドプラットフォームに接続された、患者データを格納・分析するデバイスは脆弱性になりうる。医療機器が侵害されると、患者の安全とプライバシーが脅かされる可能性があるほか、これらのサービスの利用者のセグメント全体について情報漏洩が起こるおそれがあるという。
5. 断片化したセキュリティアーキテクチャ:医療提供者が複数のシステムを利用することで、サイバー犯罪者が機密データにアクセスしたり、ランサムウェアを展開したりする前に、攻撃の潜在要因を特定して脆弱性を修復することが困難になるとしている。
6. フィッシング詐欺:電子メールとWebサイトにともなうリスクについての従業員の意識向上の欠落が、医療従事者にとって大きな被害をもたらす可能性がある。
7. ランサムウェア:医療機関が各種記録やインターネットに接続された医療機器にアクセスできなければ患者の命に大きく影響するため、医療機関は広範な侵入経路を持つ存在となっている。よって、サイバー犯罪者にとってさまざまな方法でネットワークに侵入して混乱を引き起こしやすいものとなっているとのことだ。
【関連記事】
・中小企業の53%、サプライチェーン攻撃に対し誤った認識【アクロニス調査】
・アクロニス、法人向け製品の販売をサブスクリプションライセンスに移行へ
・リコージャパン、データ保護対策などでアクロニスのクラウドバックアップサービス採用
