【編集部注】著者のRobert Ackerman Jr.は、アーリーステージのサイバーセキュリティ企業を対象とするベンチャーファームAllegis Capitalの創業者兼ディレクターである。また元政府関係のテクノロジーイノベーターやサイバーセキュリティプロフェッショナルを雇用するサイバースタートアップたち向けの、スタートアップ「スタジオ」であるDataTribeの創業者でもある。
情け容赦のないサイバーアタックが、あらゆる産業の企業をひどく苦しめ、そのダメージの修復に巨額の支出を強いている。そして混乱の中で失われるものが、他の産業に比べて大きな ―― しばしばとりわけ大きな ―― ものになる産業もある。ほとんど常に、怪しげな勢力からの注目を集めている企業被害者が、米国第2位の産業である医療業界だ。ハッカーによる業務妨害が、時間や、お金、そして操業停止につながるだけでなく、人命をも危機に晒すのだ。
医療業界自身も部分的な責任を負っている。患者へのケアの質を最大限に引き出すという素晴らしいお題目の下では、狭まった視野がそれ以外の要素への考慮を浅いものとしてしまう。特にサイバーセキュリティは後回しになる傾向がある。
総じて医療機関は、他の業界と比べると、サイバーセキュリティに対して半分程度の費用しか費やしていない。こうした理由や、盗まれた患者履歴のブラックマーケットでの異常な高値などから、沢山のハッカー集団が引き付けられ、病院は終わることのないサイバー戦場と化している。大手セキュリティ企業であるFortiGuard Labsは、2017年には1医療機関が1日あたり平均3万2000件の侵入攻撃を受けたと発表している。これは他の産業における平均値である1組織あたり1万4300件を上回るものだ。
明らかに致命的な攻撃もある。たとえば、メリーランド州を拠点とする巨大な医療グループであるMedStar Healthは、ランサムウェア攻撃によって厳しい機能不全に追い込まれた。特に人命が脅威に晒されたことで、全国ニュースの見出しとして取り上げられてしまった。よく知られたセキュリティ上の脆弱性を使った攻撃を受け、MedStar Healthは電子メールと膨大な履歴データベースへのアクセスを遮断されただけでなく、数日間にわたってがん患者に対する放射線治療を行うことができなくなった。
このようなトラブルは、多くの場合医師または他の医療従事者が攻撃者から送られたメールの開封を促され、その中のリンクや添付ファイルをクリックすることによって始まるのが典型的なケースだ。クリックによってマルウェアがPCにダウンロードされるこうした攻撃は「フィッシング」攻撃と呼ばれる。攻撃者はこのダウンロードされたソフトウェアを使用して、医療機関の財務、経営および医療情報システムにアクセスする。
攻撃者はまた、病院内ネットワークを使用して、人工呼吸器、X線およびMRI装置、医療用レーザー、さらには電動車椅子に至る、さまざまな接続された医療機械および機器に手を広げることができる。
ネットワークに接続されている医療機器は、ハッカーに乗っ取られて悪用される危険性がある。
病院やその他の医療提供者は、より良いサーバーセキュリティの習慣を身に付けなければならない。
脅威を複雑にしているのが、広く普及しているにもかかわらず脆弱な Internet of Medical Things(IoMT:医療機器のインターネット)機器たちだ。こうした機器は複数のサプライヤーの部品とソフトウェアを、あまりセキュリティに注意を払うこと無く統合している。個別の患者でさえも標的にされることがある。数年前、元米国副大統領のディック・チェイニーの医師たちは、攻撃者がこのような装置をハックして患者を殺す可能性があるという懸念について触れたレポートが出されたために、彼のペースメーカーのネットワーク機能を無効にした。
それは対処しなければならない差し迫った状況だ。病院やその他の医療提供者は、より良いサーバーセキュリティの習慣を身に付けなければならない。まず手始めに医療機関は、ソフトウェアへのパッチ適用と更新プロセスに対する、迅速性と徹底性を改善しなければならない。可能な限り組織は、ソーシャルメディア攻撃やその他の攻撃に備えために、組織的なサイバー意識向上の訓練を行うだけでなく、脅威情報と自動化を活用する必要もある。
IoMT機器が増えるにつれて、より入念なネットワークのセグメンテーションとインスペクションが必要となる。セグメント化された戦略をとることで、組織はネットワークの様々なポイントにおける、ユーザーやアプリケーション、そしてデータフローを制御するための検査基準や方針を策定することができるようになり、セキュリティ上の脅威をより素早く検出し隔離することが可能になる。そして、ネットワークの可視性の面では、医療機関はクラウドを含むネットワーク全体に対しての、より深い洞察を必要としている。
同時に、病院やその他の医療機関は、患者の記録の保護により留意しなければならない。紙による記録から電子化された電子健康記録(EHR:Electronic Health Record)への移行以来、一般的に記録は医師によって更新されたあと、他の病院の専門家に送られるようになった。ここでの問題は、病院という組織は、金融情報がロックされ共有されることがない銀行のような組織ではないということだ。こうした暗号化されていない情報は、利益を虎視眈々と狙うハッカーの攻撃に対して脆弱だ。
これに対する解決策として使われることが多いのが準同型暗号(homomorphic encryption)である。これは暗号化したままのデータ操作を可能とする興味深い技術であり、最も価値のある医療情報を保護できる素晴らしい可能性を秘めている。特にこの技術は、しばしばサイバー泥棒たちの標的になる、機密性の高い医療記録と個人識別情報(PII:personally identifiable information)を安全に保護することができる。
データが豊富に含まれるヘルスケア記録が、ブラックマーケットではクレジットカードの10倍以上の価値を持つというのは事実だが、この技術を用いることで最も攻撃的な「データ狙い」のハッカーを撃退することができる。
だがこうした改善は、十分な金銭的投資や労力の投入なしには成し遂げられない。病院が日々のケアの品質に、これ以上ないほどに焦点を当てていることは称賛に値するものの、彼らも時代が変わっている事に気付き、自分たちのミッションをより広い視野で眺めなければならない。そうしたことに追いついていないために、病院は多くの場合、止むことのないランサムウェア攻撃に対して支払いを行い、システムがダウンしている間に起きる可能性のある健康に対する脅威を最小化しようとする。
病院たちが変化への道を追求する上で直面する障害の中には、医療分野で激化しているM&A活動もある。異なる医療技術を含むIT統合への挑戦は、新しく併合された組織間での情報共有の必要性と同時に、新たな脆弱性を生み出してしまう。
医療機関の評判と信頼は、脅威の真の影響度への理解と、それらを防ぐための十分な対策をとることにかかっている。ヘルスケア業界には、セキュリティに関する能力を向上させること以外の選択肢はない。まさに私たちの生命が懸かっているのだ。
[原文へ]
(翻訳:sako)