Cloud CISO の視点: EU の医療機関が直面する世界的な脅威

※この投稿は米国時間 2025 年 7 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

2025 年 6 月、2 回目の投稿となる「Cloud CISO の視点」をご覧いただきありがとうございます。今回は、Google Cloud の CISO オフィスに所属する Thiébaut Meyer と Bhavana Bhinder が、ヨーロッパの医療機関をサイバー攻撃から守るための Google の取り組みについて説明します。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっていて、メール版の配信をご希望の方は、こちらからご登録をお願いします。

ヨーロッパの病院や医療機関が直面する世界的な脅威

CISO オフィス、ディレクター、Thiébaut Meyer / CISO オフィス、欧州ヘルスケアおよびライフ サイエンス担当責任者、Bhavana Bhinder

医療分野を標的としたサイバー攻撃、特にランサムウェアを利用した攻撃は、医療システムを乗っ取り、業務を完全に混乱させます。救命医療活動、重要なスケジュールや支払いの調整、輸血や臓器移植を含めた重要医療物資の手配を停止させるばかりか、医療施設を物理的に危険な状態に陥れる可能性があります。サイバー攻撃が原因で患者が死亡したケースもあり、統計が示す状況は次のとおり非常に深刻です。

• 2021 年から 2023 年の間に EU の医療分野で確認されたサイバーセキュリティ インシデントのうち、ランサムウェア攻撃は全体の 54% を占め、そのうち 83% は金銭目的。
• 2024 年の欧州委員会の報告書によると、ランサムウェア攻撃の 71% が患者の治療に影響を及ぼし、患者データの侵害を伴う事例も多発。
• データ漏洩サイトへの投稿のうち、医療関係のものが占める割合は過去 3 年間で倍増し、Google Threat Intelligence グループが追跡しているデータ漏洩サイトの数自体も 2024 年に 50% 近く増加。ヨーロッパの組織を標的とする悪意のあるアクターが、特に救急サービスを提供している病院からは 2～5% 大きい金額を取れると発言した事例も。
• ランサムウェア攻撃の被害に遭った病院では、被害時に入院していた患者の死亡率が 35～41% も上昇。
• 英国の国民保健サービス（NHS）は、2024 年に発生した大規模サイバー攻撃により、患者の健康被害が 170 件にも及んだと確認。

Google Cloud の CISO オフィスでヘルスケア / ライフ サイエンス担当ディレクターを務める Taylor Lehmann は次のように述べています。「レジリエンスを実現するには、あらゆる脅威に対処できる適合型アプローチが絶対に必要です。安全性を重視した設計の最新テクノロジーを活用したプロアクティブな予防措置、堅牢な検出・インシデント対応、厳格なサプライ チェーン管理、包括的な人的要因の軽減策、AI の戦略的活用、ヘルスケア特有の脆弱性を保護に的を絞った投資を組み合わせ、医療機関、規制当局、情報共有機関と、Google などのテクノロジー プロバイダが横のつながりを深め連携することは、サイバー攻撃に対する予見的な対策の強化に不可欠です。」

この脅威に対抗するには思い切った行動が必要で、医療機関のモダナイゼーション、つまり設計段階はもとより、使用中も安全性を重視した最新テクノロジーに移行できるよう医療機関を支援することも当然ながらこれに含まれています。セキュリティは後付けではなく、最初から組み込まれ、その後も継続的に維持されるべきだと、Google は考えています。安全性を重視して設計された Google のプロダクトとサービスは、ランサムウェアなどのサイバー攻撃がもたらす広範なリスクへの対処において、ヨーロッパ全域の病院や医療機関を支援してきました。

「安全性を重視した設計」とは、Google Cloud、Google Workspace、Chrome、ChromeOS などのコア テクノロジーに、設計段階から以下のような保護機能を組み込むプロアクティブなアプローチです。

• Google Cloud ユーザーの保存データをデフォルトで暗号化し、物理的な境界を越えて転送されるデータも暗号化して、暗号鍵の管理や Key Access Justifications のオプションを提供。
• セキュリティ ファーストの原則に沿って Google Workspace を設計し、スパム、フィッシング、マルウェアの 99.9% 以上をブロックする AI 防御機能とクライアントサイド暗号化を完備。
• Chromebook に搭載されている ChromeOS にセキュリティとコンプライアンスを組み込み、ランサムウェア攻撃から保護。ChromeOS では、これまで一度もランサムウェア攻撃は報告されていません。そのアーキテクチャには、確認付きブート、サンドボックス化、実行可能ファイルのブロック、ユーザー空間の分離などの機能に加え、自動でシームレスにアップデートを実施して脆弱性をプロアクティブに修正する機能も含まれます。
• 患者の治療に不可欠なインターネット ベースのリソースや院内 IT リソースに医療システムからアクセスする場合に、Chrome Enterprise ブラウザと ChromeOS が安全な代替手段を提供。
• 堅牢な技術的、組織的、物理的なセキュリティ対策を実装および維持し、Google Cloud と Workspace のお客様の NIS2 コンプライアンスの取り組みを支援することを契約に明示。

Google のプロダクトとサービスには、ヨーロッパの医療機関のモダナイゼーションとセキュリティ保護に貢献してきた実績がすでにあります。以下はその一部の例です。

• ドイツのヘルスケア スタートアップ Hypros は、Google Cloud と連携し、病院が患者のプライバシーを損なうことなく院内で発生したインシデントを検出できるようにしました。Hypros の革新的な患者モニタリング システムは、Google の AI とクラウド コンピューティング機能を活用して、ベッドからの転落、せん妄の発症、褥瘡（床ずれ）など、入院患者の緊急事態を検知してスタッフに通知します。このシステムは、ヨーロッパ最大級の医療センターであるシュレースヴィヒ=ホルシュタイン大学病院をはじめとする主要機関で本番環境に試験導入され、技術テストを完了させています。
• 19 の病院とクリニックを擁するポルトガル最大の医療機関、CUF は、Google Chrome とクラウド アプリケーションを導入して、エネルギー効率の向上と IT オペレーションの合理化を実現しました。ChromeOS は、エネルギー消費の少ないマシンでの運用を可能にし、現場でのハードウェア メンテナンスの必要性を減らして IT 管理を簡素化する点で、その効率性が業界で評価されています。
• カナリア諸島の 112 番緊急安全コーディネーション センターは、Google Cloud への移行を進めています。カナリア諸島の公開会社 Gestión de Servicios para la Salud y Seguridad en Canary Islands（GCS）が主導し、Google Cloud と共同で展開したこの移行プロジェクトは、公共の救急サービス管理がパブリック クラウドに移行した最初の事例の一つです。GCS は、Google Cloud の Sovereign Cloud ソリューションを使用して、通話録音や個人データなどの重要な情報を法執行機関や司法機関と安全に共有しています。

パートナーシップの構築と情報の共有

進化するサイバー脅威から医療分野を保護するうえで、情報の共有は必要不可欠です。Google は、10 以上の重要インフラ分野の情報共有分析センター（ISAC）と積極的にパートナーシップを構築しています。これには、Health Information Sharing and Analysis Center（Health-ISAC）や European Union Agency for Cybersecurity（ENISA）との強力なアンバサダーシップも含まれます。

情報共有は、脅威インテリジェンスにとどまらず、効果的な手法、対策、成果について、データに裏付けられた結論を網羅する必要があると、Google は考えています。高度で迅速なインテリジェンス共有への障壁を取り除き、検証可能な対応と組み合わせることで、実効性のある防衛策を確立できるのであり、これが脆弱な防衛策との決定的な違いとなります。

Health-ISAC や ENISA などの国際組織との連携を通じて、多くのコミュニティをまたいで信頼を築くという Google Cloud のコミットメントを強化しています。このコンセプトは、欧州の Health-ISAC はもちろん、米国を拠点とする Health-ISAC の EU における活動を支援する点で、EU の目標と合致するものです。

Sovereign Cloud と Confidential Computing で欧州の医療データを保護

Google Cloud は、EU のデジタル主権を確保し、医療機関がセキュリティや患者のプライバシーを損なうことなく、クラウドと AI の変革力を活用できるよう支援することに尽力しています。

私たちは常に、設計段階から安全性を重視するという原則をデジタル主権ソリューションの開発方針に取り入れてきました。データの場所、処理、アクセスをきめ細かく制御できるスケーラブルなクラウド インフラストラクチャを、欧州の医療機関に安心して導入していただき、その上に高度な AI ソリューションをデプロイすることで、機密性の高い患者データの保護と、GDPR、欧州医療健康データスペース（EHDS）、ネットワークおよび情報システムの安全に関する指令など、欧州の各種規制の遵守を確実にすることができます。

さらに、Google が世界に先駆けてその開発に携わった Confidential Computing 技術は、使用中のデータを保護することで、重大なセキュリティ ギャップを埋める役割を果たしています。

Google Cloud のお客様である AiGenomix は Confidential Computing を活用して感染症の監視やがんの早期発見を可能にしています。Confidential Computing は、ゲノムデータや関連する健康データといったアセットのプライバシーとセキュリティを確保するのに役立ち、データを活用して医療の提供と成果を改善するという EHDS のビジョンにも合致しています。

グローバル規模で医療のレジリエンスに対する信頼を構築

Google が提供するこれらの分析情報と機能は、欧州医療セキュリティ行動計画の成功に大きく貢献できると確信しています。Google は、欧州委員会、EU 加盟国、すべての関係者と継続的に協力し、医療分野におけるより安全でレジリエントなデジタルの未来を構築することに使命感を持って取り組んでいます。

世界中の医療機関を保護し、サポートするための Google の取り組みについて詳しくは、CISO オフィスまでお問い合わせください。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• オープンソースの認証情報を一斉に保護: オープンソースのパッケージやイメージ ファイルをデフォルトでスキャンして、Google Cloud の認証情報の漏洩を検出する強力なツールを開発しました。その使用方法について、詳細はこちら。
• 監査をスマートに: Google Cloud の Recommended AI Controls フレームワークのご紹介: AI 監査の効果を高めるために、エビデンスに基づくスケーラブルな Recommended AI Controls フレームワークを開発し、AI 監査へのアプローチを改善しました。詳細はこちら。
• Google、The Forrester Wave: Security Analitytics Platform レポートで「Strong Performer」に選出: Google は、初めて参加した The Forrester Wave™: Security Analytics Platforms, Q2 2025 で「Strong Performer」に選出されました。詳細はこちら。
• 多層防御戦略でプロンプト インジェクション攻撃を軽減: Google のプロンプト インジェクションに対するセキュリティ戦略は包括的で、Gemini の全体的なセキュリティ フレームワークを強化します。敵対的データを使ったモデル トレーニングにより、Gemini 2.5 モデルにおける間接プロンプト インジェクション攻撃に対する防御が大幅に強化されました。詳細はこちら。
• 拒否する力: IAM の拒否ポリシーと組織のポリシーで多層防御を構築: IAM の拒否ポリシーと組織のポリシーは、重要かつスケーラブルなセキュリティ レイヤを提供します。これらのポリシーを使用して、IAM セキュリティを強化する方法をご紹介します。詳細はこちら。

今月公開されたその他のセキュリティ関連の記事については、Google Cloud 公式ブログをご覧ください。

脅威インテリジェンスに関するニュース

• ASP を悪用した、著名なロシア研究者やロシア批判者を標的にした巧妙なフィッシング攻撃: Google Threat Intelligence グループ（GTIG）と外部パートナーの調査に基づき、2 つの異なる脅威アクターの攻撃活動について詳しく説明しています。これらは、ロシアの国家支援型サイバー脅威アクターが米国国務省になりすまし、著名なロシア研究者やロシア批判者を標的にした攻撃です。この脅威アクターは多くのケースで、徹底した工作とカスタマイズしたおとりを使用して相手の信頼を獲得し、アプリケーション固有のパスワード（ASP）を設定するよう誘導していました。詳細はこちら。
• Aviatrix Controller でのリモートコード実行: Mandiant のレッドチームのケーススタディで「初期アクセス ブローカー」アプローチをシミュレートしたところ、Aviatrix Controller で 2 つの脆弱性が発見されました。Aviatrix Controller は、異なるクラウド ベンダーとリージョンの間でリンクを作成できるソフトウェア定義ネットワーキング ユーティリティです。詳細はこちら。

今月公開されたその他の脅威インテリジェンス関連の記事については、Google Cloud 公式ブログをご覧ください。

注目の Google Cloud ポッドキャスト

• AI レッドチームが得た驚き、戦略、教訓: Daniel Fabian が、ホストの Anton Chuvakin と Tim Peacock とともに、Google での 2 年間の AI レッドチーム活動から得た教訓について語ります。ポッドキャストを聴く。
• 企業における実践的な「コードとしての検出」:「コードとしての検出」は、単なるミームフレーズなのでしょうか。Google Cloud のスタッフ導入エンジニアである David French が、ホストの Anton Chuvakin と Tim Peacock と対談し、「コードとしての検出」がセキュリティ チームにどのように役立つかについて語ります。ポッドキャストを聴く。
• Cyber-Savvy Boardroom: Phil Venables が現場で聞いたこと: Google Cloud の戦略的セキュリティ アドバイザーである Phil Venables が CISO オフィスの Alicja Cade と David Homovich と対談し、サイバーセキュリティ、デジタル トランスフォーメーションなどの最新情報について、取締役会や経営幹部の生の声を伝えます。ポッドキャストを聴く。
• Beyond the Binary: 北朝鮮のサイバー脅威を白日のもとに: 世界で最も悪名高い APT は、誰がどのように特定、分析し、名付けているのでしょうか。Google のリバース エンジニアである Greg Sinclair が、ホストの Josh Stroschein とともに、北朝鮮の APT である Lazarus Group のようなマルウェアや脅威アクターをどのように追跡し、特定しているかについて語ります。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」のメール配信をご希望の方は、ニュースレターにご登録ください。次回も Google Cloud からセキュリティ関連の最新情報をお届けします。

ー CISO オフィス、ディレクター、Thiébaut Meyer

ー CISO オフィス、欧州ヘルスケア / ライフ サイエンス担当責任者、Bhavana Bhinder