健康

健康は新たな財産です。身体的、精神的に健康であることは、例えば愛情のある親になることや、親切な友人になること、プロフェッショナルとして成功することなど、私たちの生活のすべてに影響します。健康に関する情報は、機密性の高い個人情報であるため、その詳細は信頼のおける医療関係者以外には入手されるべきものではありません。しかしながら医療記録はそうした機密性の高さ故に、巧妙なサイバー犯罪の格好の標的にされています。経済成長を遂げる医療機関はなかんずくサイバー犯罪には脆弱なのです。 サイバー犯罪が医療を標的にする主な理由は二つあります。一つは、医療業界には貴重な個人情報が豊富にあり、それが闇市にて高値で取り引きされるためです。そしてもう一つは、医療業界に既存するテクノロジーや情報処理工程が脆弱であるためです。健康に関する個人情報は急速に増幅しており、それらは、複数のデバイスネットワーク内で次々と共有されるようになりました。2020年の暮れまでには、約40憶人が、Internet of Medical Things (IoMT)を通じて繋がるようになると言われています。INFOSEC Instituteによると、70%以上のIoMTデバイスには基本的なセキュリティが施されていないと言われています。これは、そのデバイスで使用されているアプリケーションが、データのセキュリティよりも、ソフトウェアの機能を重視した設計であるためです。これを受けてIoMTは、先例のない課題に取り組むために、医療環境内の数多くの利害関係者や医療供給者の協力を経て、サイバーセキュリティのエキスパートを導入しました。 これはまさに、過激化する戦争です。サイバー攻撃は、その数や規模、複雑さを増しています。最近のCBIのインサイト報告は「2017年から約60憶の機密のデジタルデータが世界中で盗まれ、過去2年間で、少なくとも10億件の機密記録が一挙に盗まれたり、公開される情報漏洩事件が、少なくとも3回発生した」1と伝えています。   田舎の村にあるたった一つのノートパソコンから、悪意のある政府がスポンサーするエリートチームまで、サイバー犯罪者は、インターネットがあればどこからでも不正操作ができます。彼らは高性能で新しい防衛システムを導入していない成長経済の医療機関を特に標的にしているのです。 医療コミュニティ、サイバーセキュリティのプロたち、そして政府は、頑固に偏在し続けるサイバーハッカーへの対処法を模索する上で、次の5つの事実を認識する必要があります。 1. 医療は、標的にされているという事。   2018年7月、ランサムウェアはシンガポール最大の医療施設であるSingHealthを標的にし、患者150万人分の情報を盗み出しました。シンガポールのリー・シェンロン首相も具体的なターゲットにされ、プロフィールも盗み取られました。このようなランサムウェアによる攻撃が医療施設中で蔓延しているため、施設側も包括的な防御策の実施に追われています。長きに渡り、銀行強盗と銀行が行ってきたように、サイバー犯罪と医療施設が互いに裏をかいて出し抜くようなことを続ければ、このような傾向はますますエスカレートしていくことでしょう。2       2018年7月、ランサムウェアはシンガポール最大の医療施設であるSingHealthを標的にし、患者150万人分の情報を盗み出しました。シンガポールの首相のリー・シェンロンも具体的なターゲットにされ、プロフィールも盗み取られました。このようなランサムウェアによる攻撃が医療施設中で蔓延しているため、施設側も包括的な防御策の実施に追われています。長きに渡り、銀行強盗と銀行が行ってきたように、サイバー犯罪と医療施設が互いに裏をかいて出し抜くようなことを続ければ、このような傾向はますますエスカレートしていくことでしょう。2 2. ハッキングが生死を左右することもある。   昨今の健康情報の漏洩問題で一番の脅威になっているのは、データの保護や可用性に対する妥協です。ここに妥協があることで、患者の安全や健康に害を及ぼす可能性や、保護医療情報(PHI)の喪失、データへの不正なアクセスといったリスクが生まれているのです。2013年、ワシントンポスト紙は、チェイニー副大統領の医師たちが、副大統領の心臓移植の際に埋め込んだ機器が、テロリストによりハッキングされる可能性があるとして、その無線機能の無効化を命じたと報告しています。3 医療業界におけるサイバー犯罪は、医療機関の財務的な損失よりも、そのブランド・エクイティに多大な影響を及ぼすことは、ほぼ間違いありません。 医療機関が個人の重要な健康情報にアクセスできない恐怖は、大きな不安を生むのです。そしてこの不安は、部分的に情報に価値と力を与える要因にもなっています。データセキュリティ違反は、患者の健康に直接影響を及ぼし、患者を死に至らしめることさえあります。 医療記録が破壊されたり、重要な医薬品の処方箋が盗まれると、それが死傷者を出すことさえあるのです。サイバー犯罪者は情報を盗むことで、人々の恐怖心を操り、盗んだ資産を思いもよらない方法で利用します。これらの犯罪は、生命を脅かし、一夜にして世界中を恐怖に貶め兼ねないものなのです。 3. 情報漏洩は回避できないものであり、内部不正が起きている可能性も。   サイバーハッカーが金銭的な利益を得られる可能性は甚大です。そして意外なことに、医療業界の企業の70%以上は、金銭目当てのサイバー犯罪が起きる可能性を見越しています。 しかしながら、一般的に私たちが思っているような、サイバーハッカーたちが密かに暗いアパートに忍び込んで作業しているイメージや、国家がスポンサーするハッカーグループのメンバーたちが間仕切りされた作業スペースの前に列を作っているといったイメージは、ハッカーたちの実態のほんの一部でしかありません。なぜなら、医療機関に大きな脅威をもたらしているのは、内部関係者の場合があるからです。社員もみんな人間です。不満を抱いている人や、経済的に困っている人、単に自分の行動がセキュリティプロトコルにどれほどの影響を与えるかを意識していない人もいます。いずれにしても、こうした理由から組織は内側から腐敗していくのです。 機密情報のセキュリティクリアランスが操作できたり、情報へのパスワードやアクセスを持てることは、下心のある社内の従業員にとって、あまりにも魅力的なことであるのかもしれません。 4. 強力なセキュリティ対策の必要性。   サイバーハッカーたちは、医療システム内で医療機関や、医療機器の製造者を含む利害関係者を出し抜く新たな方法を常に模索しているため、こうしたイタチごっこはこれからも続いていくことでしょう。最近の国際犯罪者やテクノロジーに精通する犯罪者たちは、断固とした決意を持ち、知識も豊富で創造的です。ですから、医療機関は彼ら以上にそうでなければならないのです。サイバーセキュリティについての意識は、医療業界全体で高まりつつありますが、経済成長を遂げる多くの企業は、包括的なガバナナンスと、広範囲にわたる監視のできるセキュリティフレーワークの構築がまだできていません。セキュリティ対策は、医療のプロのような人材や見識者だけでなく、政府レベルでのサイバーセキュリティ対策や、政策立案をする人材、見識者などを活用するといった総合的なアプローチができていないのです。 大胆に進化し続けるサイバー犯罪者と戦うためには、それに対処する人的資源のシームレスな統合が必要です。医療情報に関わる利害関係者は、全員がサイバー対策に対して受け身な姿勢から自発的な姿勢へと変わらなければなりません。またIoMTのサイバーセキュリティが次世代の医療機器に対応をすることも不可欠です。さらに政府や政策立案者は、医療機器製造者に対してセキュリティ指導と規制対策を施す必要もあります。医療業界は、このように迅速に最善の対策を採用しなければなりません。また、病院や医療システムは、銀行が発行するクレジットカードを保護するように、医療機器を保護する必要があるでしょう。 経済成長する医療機関は、適切なセキュリティ対策とサイバーセキュリティ政策を実行し、それを牽引していくことが求められるのです。 5. 医療も対抗できる。   ランサムウェアとサイバー犯罪は想像を超える混乱を招く可能性があります。しかしながら、ビジネスやコミュニティ、経済成長する医療機関も、全くの無力ではありません。彼らが協力すれば、最も執拗なハッカーを脅かすシステムネットワークや、資源、プロトコルを作ることもできるのです。重要なのは粘り強さです。医療業界は、サイバー攻撃が起きる前にそれを予防したり、サイバー攻撃が発生した時の被害を軽減できるような賢い対策を前以って行っておく必要があります。多くの医療機関は、効果的なセキュリティ戦略をすでに開発し始めていますが、サイバー攻撃への準備、予防、検出、そして対応策と復旧戦略ができる完全な計画を実施している機関はほとんどありません。 医療業界や利害関係者は、軍隊が防衛戦略をするのと同じレベルの真剣さと厳しさで、サイバーセキュリティの防衛戦略にアプローチしなければなりません。例えば、効果的で攻撃的な防衛プログラムには、攻撃者を騙すことでサイバー攻撃を食い止めるディセプション技術等があります。また、人工知能(AI)は、接続されたデバイスのトラフィックを監視し、正常動作と異常動作をリアルタイムで区別することができます。そしてデバイスを利用して、犯罪ネットワークや、サーバー、個人間で不正なやり取りがされた際には、ネットワークセキュリティの専門家に警告がいくようになっています。AIは、悪意のある人物が不正アクセスし、攻撃をするのをリアルタイムで検知し、その動きを先回りして阻止することができます。こうしたサイバーセキュリティ戦略を行うことで、攻撃を封じ予防することができるのです。 しかしながら、デバイスそのものや高性能のサーバーが侵されてしまった場合は、結局被害は出てしまいます。最後になりますが、医療業界は、量子コンピュータなどの革新的な防御策や、24時間セキュリティ・オペレーションができるサイバーセキュリティ作戦指令室、テクノロジーだけでなく、人間の行動等を分析できる総合的な戦略を検討する必要があるでしょう。 サイバー犯罪者が、医療機関の人質をどのようにとっているのか、またそれを守るために医療業界に何ができるかを更に学びたい方は、こちらの資料をご覧ください。   1 Why Ai, Blockchain, & Enhanced Encryption Are The Future Of Enterprise Data Security http://www.cbinsights.com/research/ai-blockchain-encryption-enterprise-data-security-expert-intelligence/ 2 Singapore Suffers 'most Serious' Data Breach, Affecting 1.5m Healthcare Patients Including Prime Minister Eileen Yu - https://www.zdnet.com/article/singapore-suffers-most-serious-data-breach-affecting-1-5m-healthcare-patients-including-prime/ 3 Intermountain Healthcare Launches Security Operations Center To Combat Health Data Cyberattacks https://www.modernhealthcare.com/article/20151114/MAGAZINE/311149977

Sophia Van | 07 2 2019
tiles1

ご質問・お問合せ

御社の課題・成長機会をお手伝いいたします。

back_to_top