アクロニス「医療機関のサイバーセキュリティにおける脆弱性トップ7」を公開 | ScanNetSecurity
2024.05.20(月)

アクロニス「医療機関のサイバーセキュリティにおける脆弱性トップ7」を公開

 アクロニス・ジャパン株式会社は6月21日、「医療機関のサイバーセキュリティにおける脆弱性トップ7」を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 アクロニス・ジャパン株式会社は6月21日、「医療機関のサイバーセキュリティにおける脆弱性トップ7」を公開した。

 アクロニスのグローバル最高営業責任者Katya Ivanova氏が、医療機関のサイバーセキュリティの弱点と米国で公開された医療機関のチェックリストを紹介したもの。

 医療機関を詐欺や罰金の被害にさらす7つの弱点は下記の通りだという。

1.限られた予算
 他のセクターに比べ医療機関はテクノロジーへの投資が少なく、半数以上の53%が、テクノロジーの予算は予算全体の10%未満と回答している。

2.ITスタッフの不足
 予算が十分でないと、侵害を監視、防止、復旧するスタッフも少なくなり、医療提供者は堅牢な防衛を維持して、患者記録のプライバシーを確実に保護し、医療保険の携行性と責任に関する法律(HIPAA)などの規制基準を遵守できるITベンダーに外注せざるを得なくなる。

3.古いシステム
 メーカーのサポートがなく、セキュリティパッチが提供されない場合がある。古いシステムのリスクを緩和するために次の3つの対策を講じることが求められる。

・ソフトウェアのバージョンとベンダーの数を減らす
・ネットワークをセグメントし、攻撃やインシデントを隔離する
・セキュリティオペレーションセンター(SOC)の具体的な責任を記載したワークフロー図を作成する

4.医療IoT(IoMT)
 クラウドプラットフォームに接続された、患者データを格納・分析するデバイスは大きな脆弱性となる。

5.断片化したセキュリティアーキテクチャ
 複数のシステムを利用していることで、サイバー犯罪者が機密データにアクセスしたり、ランサムウェアを展開したりする前に、攻撃の潜在要因を特定して脆弱性を修復することが困難になる。

6. フィッシング詐欺
 人的要因は、サイバー犯罪者が特に多用する侵入ポイントのひとつで、メールとWebサイトに伴うリスクについての従業員の意識向上の欠落が、医療従事者にとって壊滅的な被害をもたらす可能性がある。

7.ランサムウェア
 病院が主要な標的となるのは、管理者が身代金を払う確率が高いから

 同社では、医療情報管理システム協会(Healthcare Information and Management Systems:HIMMS)が定義する基本的なセキュリティ管理に必要な項目について紹介している。。

ウイルス対策
ファイル・データのバックアップと復元
データ損失防止
電子メール・Webゲートウェイ
保存済み・アーカイブ対象のファイル・転送中データの暗号化
ファイアウォール
インシデント対応計画
セキュリティ意識向上トレーニング・ポリシーと手順
脆弱性管理
モバイルデバイス管理

 高度なセキュリティ管理には下記の項目が加わる。

盗難防止デバイス
事業継続および障害復旧計画
デジタルフォレンジック
多要素認証
ネットワークの区分
ペネトレーションテスト
脅威インテリジェンスの共有
脆弱性スキャン

 同社ではチェックリストを活用し、ITインフラストラクチャに継続的に投資し、患者の個人情報を保護し、すべての規制要件を継続して順守することが必要としている。

《高橋 潤哉》

関連記事

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  4. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  5. メーラーが最新バージョンでなかった ~ 国公文協の委託先事業者に不正アクセス

    メーラーが最新バージョンでなかった ~ 国公文協の委託先事業者に不正アクセス

  6. バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

    バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

  7. 日本取引所グループのメールアドレスから不審メール送信

    日本取引所グループのメールアドレスから不審メール送信

  8. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  9. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  10. マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

ランキングをもっと見る