セキュリティ分析と自動化の主要なプロバイダであるRapid7, Inc.(本社:米国、NASDAQ:RPD)は、このたび、急増する医療・製薬業界に対するサイバー脅威の実態を調査分析したレポート「医療・製薬業界におけるサイバー脅威レポート」日本語版を発表した。
背景
医療・製薬業界におけるサイバー脅威の状況は複雑で厳しいものになっており、2020年にはかつてないほど大規模な医療データの侵害が報告されている。また、2021年には3月から7月まで5か月連続で1日に2件以上のデータ侵害が報告されている。ランサムウェアのインシデントも時間とともに急増している。また、医療組織のITネットワークに関連するデータや認証情報が地下犯罪フォーラムで広く売買されていることが確認されている。特に製薬会社や潜在的には医療機器メーカーなど、この業界に属する組織は、脅威アクターの盗みの対象となる高価値な知的財産を所有している。特に、各国政府が国民に新型コロナウイルス感染症のワクチンを提供するのに苦労し、医療従事者が増加する感染者の治療にあたる中、ワクチンや治療、支援研究は世界中の国家支援型サイバースパイ集団にとって、優先度の高い標的となっていることが指摘されている。
多くの医療機関では、一刻を争ったり、緊急であったりする臨床サービスという特性が理由となり、利便性を重視したバランスが取られる場合がある。多要素認証(MFA)での数秒の入力時間から、脆弱な機器にパッチを適用するための数時間のダウンタイムまで、セキュリティ対策は事業運営に対して、不便だったり、時間がかかったり、妨げになったりする場合がある。
また、医療・製薬業界は、セキュリティに大きく関わる方法で厳しく規制されている。ただし、医療に関する法律やコンプライアンス(規制)でのセキュリティ基準の遵守は必要なものの、堅牢なセキュリティ体制としてはそれだけでは不十分である。セキュリティの遵守に関するボックスに対応済みチェックを入れる際には法律もコンプライアンスも重要かつ有益である一方、セキュリティに関する誤った意識に組織が満足してしまったり、セキュリティのコンプライアンス基準でカバーされていない脅威のシナリオを考慮して、防御することを怠ったりすると、ボックスにチェックを入れることを目的とする考え方は逆効果になる場合もある。
概要
当レポートでは脆弱な医療機器がセキュリティ侵害のリスクを高めている点を指摘している。その背景として、医療当局が求める非常に厳しいセキュリティ要件に一部の医療機器メーカーの存在がある。こうした機器の多くは寿命が10年以上と長いため、従来のIT機器よりも長い期間、脆弱性にさらされることになる。脆弱な機器は、病院などの医療機関のネットワークへの攻撃において、攻撃の侵入口となったり、持続型攻撃、または水平展開を可能にするものになるリスクがある。
また医療業界固有のリスクとして、世界的に蔓延する新型コロナウイルス感染症の患者数が多くの医療機関やそれぞれのリソースにとってさらなる負担や重圧となっており、セキュリティ上の脅威への対応力を低下させる恐れがある。たとえば、手に負えないほどの新型コロナウイルス感染症病棟にいて、疑わしいメールを入念にチェックする時間のない医師や看護師は、悪意のある添付ファイルやリンクを開いてしまう可能性が高くなる。ダウンタイムに対する耐性の低さは、通常でも医療組織をランサムウェア攻撃の脅迫に対して脆弱にする可能性があるが、新型コロナウイルス感染症の重症患者が殺到すると、耐性がさらに低下する。このプレッシャーによって医療組織は身代金を支払う可能性が高くなるため、ランサムウェア攻撃者にとってより魅力的な標的となる。
医療・製薬業界は前例のない時代を迎えており、技術の弱点やスタッフの負担、急成長している地下のビジネスコミュニティを利用する高度な脅威に常に狙われている。現在の脅威に対する免疫力を高めるには、サイバー脅威の実情を常に把握し、時間をかけて組織のセキュリティ体制を強化する計画を立てて実行する必要があるが、効果的に優先順位を付けて、必要な技術や補足的な外部知識といった利用できるあらゆる手段を活用すれば、現在と今後のサイバー脅威に対抗するための体制を整備できるであろうと当レポートでは結論付けている。
「医療・製薬業界におけるサイバー脅威レポート」日本語版は、下記リンクよりダウンロードして閲覧可能
https://information.rapid7.com/rs/411-NAK-970/images/IntSights_Healthcare_Cyber_ThreatLandscape_Japanese_1.pdf
本件に関するお問い合わせ先
Rapid7, Inc.
所在地: 100 Summer Street Boston, MA 02110 USA
E-mail: Japan@rapid7.com
URL: https://www.rapid7.com/
