アクロニス「医療機関のサイバーセキュリティにおける脆弱性トップ7」を公開

　アクロニス・ジャパン株式会社は6月21日、「医療機関のサイバーセキュリティにおける脆弱性トップ7」を公開した。

　アクロニスのグローバル最高営業責任者Katya Ivanova氏が、医療機関のサイバーセキュリティの弱点と米国で公開された医療機関のチェックリストを紹介したもの。

　医療機関を詐欺や罰金の被害にさらす7つの弱点は下記の通りだという。

1.限られた予算
　他のセクターに比べ医療機関はテクノロジーへの投資が少なく、半数以上の53%が、テクノロジーの予算は予算全体の10%未満と回答している。

2.ITスタッフの不足
　予算が十分でないと、侵害を監視、防止、復旧するスタッフも少なくなり、医療提供者は堅牢な防衛を維持して、患者記録のプライバシーを確実に保護し、医療保険の携行性と責任に関する法律（HIPAA）などの規制基準を遵守できるITベンダーに外注せざるを得なくなる。

3.古いシステム
　メーカーのサポートがなく、セキュリティパッチが提供されない場合がある。古いシステムのリスクを緩和するために次の3つの対策を講じることが求められる。

・ソフトウェアのバージョンとベンダーの数を減らす
・ネットワークをセグメントし、攻撃やインシデントを隔離する
・セキュリティオペレーションセンター（SOC）の具体的な責任を記載したワークフロー図を作成する

4.医療IoT（IoMT）
　クラウドプラットフォームに接続された、患者データを格納・分析するデバイスは大きな脆弱性となる。

5.断片化したセキュリティアーキテクチャ
　複数のシステムを利用していることで、サイバー犯罪者が機密データにアクセスしたり、ランサムウェアを展開したりする前に、攻撃の潜在要因を特定して脆弱性を修復することが困難になる。

6. フィッシング詐欺
　人的要因は、サイバー犯罪者が特に多用する侵入ポイントのひとつで、メールとWebサイトに伴うリスクについての従業員の意識向上の欠落が、医療従事者にとって壊滅的な被害をもたらす可能性がある。

7.ランサムウェア
　病院が主要な標的となるのは、管理者が身代金を払う確率が高いから

　同社では、医療情報管理システム協会（Healthcare Information and Management Systems：HIMMS）が定義する基本的なセキュリティ管理に必要な項目について紹介している。。

ウイルス対策
ファイル・データのバックアップと復元
データ損失防止
電子メール・Webゲートウェイ
保存済み・アーカイブ対象のファイル・転送中データの暗号化
ファイアウォール
インシデント対応計画
セキュリティ意識向上トレーニング・ポリシーと手順
脆弱性管理
モバイルデバイス管理

　高度なセキュリティ管理には下記の項目が加わる。

盗難防止デバイス
事業継続および障害復旧計画
デジタルフォレンジック
多要素認証
ネットワークの区分
ペネトレーションテスト
脅威インテリジェンスの共有
脆弱性スキャン

　同社ではチェックリストを活用し、ITインフラストラクチャに継続的に投資し、患者の個人情報を保護し、すべての規制要件を継続して順守することが必要としている。