Cloud CISO の視点: 地方の医療サイバーセキュリティ向上を支援する Google の取り組み

※この投稿は米国時間 2024 年 6 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。

2024 年 6 月、2 回目の投稿となる「Cloud CISO の視点」をご覧いただきありがとうございます。今回は、地方の医療ネットワークがサイバー攻撃に対するセキュリティとレジリエンスを強化できるよう支援するために Google が取り組んでいることについて、今月の国家安全保障会議で CISO オフィス ディレクターの Taylor Lehmann が発言した内容を取り上げます。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

-- Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables

地方の医療サイバーセキュリティ向上を支援する Google の取り組み

Google Cloud、CISO オフィス ディレクター Taylor Lehmann

医療機関は何十年もの間、患者の回復を助けるという主要な使命にとって不可欠な、複雑かつ極めて重要な技術の保護に取り組んできました。私たちの社会が正しく機能するかどうかは、適切なタイミングで人々に医療サービスを提供できるのかにかかっています。しかし、医療機関に対するサイバー攻撃がそれを困難にしており、攻撃は激しさを増しています。

今年の上半期だけでも、病院や医療系サプライヤーへの攻撃により決済システムの障害発生や、患者が必要な治療を受けられない状況、場合によっては、影響を受けた治療施設内に滞在する患者の安全を確保できない状況が生まれています。病院や診療所は非常に厳しい経営状況に追い込まれ、閉業を余儀なくされたところもあります。

サイバー攻撃によって EMR システムがダウンしている間、医療従事者は紙とペンを使ってすべてを把握しようと全力を尽くしますが、患者の医療記録を利用できないことで簡単な救命処置でさえ遅れてしまう場合や、中断させられることもあります。医療に対するサイバー攻撃が現実世界でどのような結果となるのかは想像するまでもありません。そうした出来事を何度も目にしているからです。

これらのすべてからは、サイバー攻撃は同一の近隣地に位置する複数の医療施設に影響している訳ではない点、そして希望的観測ではありますが、患者の転送先となる病院が同一水準の治療を患者に提供できる点が推定されます。

ホワイトハウス、米国保健福祉省、米国医療・公衆衛生セクター調整委員会などは、組織的課題の特定にかなり力を入れており、Google を始めとする各組織と協力して地方における医療施設のサイバー レジリエンス向上に向けた現実的かつ明確な解決策を検討しています。こうした新展開を目にして嬉しく思いますし、Google もコミュニティと医療システムを支援していきます。

6 月 10 日、バイデン / ハリス政権はこの種の攻撃に関するホワイトハウスの対応を要約したファクトシートを公開しました。ホワイトハウスはコミュニティ、地域、国全体で医療組織が果たしている唯一無二の役割を認識し、病院など医療組織のセキュリティを強化するには官民連携が必要であると強調しました。

Google はセキュア・バイ・デザイン技術のアーリー イノベーターでありその提唱者として、Google 自体をあらゆる種類の組織にとって安全なサービスとして維持しているセキュリティ ツールと手法、およびそれらの実装に関わるオンボーディングのサポートを提供すべく、あらゆる業界を横断して活動してきました。現在、Google はこれらの技術を医療機関にお届けしています。一部は大幅に割引し、その他の多くは無料で提供しており、医療機関がサイバー脅威に対抗する能力を向上させると同時に、放置するとそうした機関の稼働率を阻害するサイバーリスクを緩和できるよう支援します。

Google はそのような成果の実現を目指すホワイトハウスの取り組みを支持しています。Google 自身を含むさまざまな組織が、少し異なるユニークかつ有効性の高い手段で協力できると考えており、貢献できる機会を歓迎しています。

1.セキュア・バイ・デザイン、セキュア・バイ・デフォルト

多くの医療システムは、相互運用性を得られるよう構築された技術を採り入れて運用する一方で、強力なセキュリティ対策は意識していないことがわかっています。

Google は、セキュリティを後付けではなく最初から組み込むよう設計されたセキュア・バイ・デザイン技術を開発しています。幸運にも、米国政府や世界各国の政府は安全性を重視して設計された技術およびデフォルトでセキュリティを確保する技術への移行を奨励し、一部においては義務化しています。医療技術のセキュリティとレジリエンスに不可欠なセキュア・バイ・デザインおよびセキュア・バイ・デフォルトは、以下に示す 4 つの必須原則を促進します。

• 顧客が実際にソリューションを使用する方法（意図せず危険を伴う使用方法だった場合も含む）
• デベロッパー エコシステムが脆弱性および障害の発生予防を促進できる方法
• 攻撃を受けている間も一貫性を保つ特性において基盤となるソフトウェアがレジリエンスを強化できる方法
• こうした基盤となる特性をわかりやすさと確実性によって（大規模であっても）検証できる方法

病院内で利用される技術は、セキュア・バイ・デザインかつセキュア・バイ・デフォルトであることが必要です。必要に応じた管理、更新、パッチ適用、最終的には交換がますます容易になっていかねばならず、すでに複雑な環境をさらに複雑にしてはなりません。攻撃を受けた後や攻撃の最中であっても、安全に動作することが求められます。こうした技術のメーカーは、保護機能を最初から組み込むよう徹底することが上記の成果を実現する唯一の方法であると理解しています。

2. 脅威、対策、成功例に関する情報共有

医療分野のセキュリティにおいて、情報共有は必要不可欠な要素です。脅威インテリジェンスを含み、それにまさる情報を取得して共有できる、より優れた仕組みが求められます。これには、どのような手法が有効なのかに関するデータに裏付けられた結論のほか、インシデントや障害に関する情報を得る一方でその情報のみで行動を起こさないように徹底することが含まれます。

この目標を追求する中で、Google は 10 分野を超える重要インフラストラクチャ分野において Health-ISAC など複数の情報共有および分析センターとパートナーシップ関係を構築しており、今後もさらにパートナーシップ関係を拡大する計画です。Health-ISAC やセクター調整委員会などの組織がそれぞれの重要機能である情報共有を実施する能力を引き続き強化していけるよう、意欲的に支援していきます。

情報共有の障壁を減らすことも必要です。より高度な水準で情報を共有する組織が増えるべきです。単に情報を消費するだけではもはや十分ではないのです。系統立った迅速なインテリジェンスの共有と検証可能な対応は、適切な防衛策と脆弱な防衛策の違いを意味します。

3.Google のセキュリティ ツールを病院に提供

Google は、自社のコラボレーション ソリューションおよびセキュリティ ソリューションを、それらを必要とする病院や医療組織に対して、その大半を無料あるいは大きく割引した価格で提供しています。具体的には、ソリューション、実装サービス、対象組織の導入サポートを提供しています。下記の提案ソリューションについて詳細を確認されたい場合は、rural-health@google.com までお問い合わせください。

医療組織向けに Google が提供を予定している内容を見てみましょう。

Chrome Enterprise ブラウザ および ChromeOS: 施設の運営や患者に治療を提供する際に医療システムが利用するインターネット ベースまたは内部の技術リソースを安全に入手して使用できるようにします。Chrome と ChromeOS を連携させると、他のブラウザやオペレーティング システムの組み合わせよりも安全な代替手段となります。

Google Workspace Enterprise Essentials Plus は、本プログラムに含まれています。Google Workspace は HIPAA の遵守に対応しているコラボレーション プラットフォームです。このプラットフォームは、生産性向上アプリケーション（Google ドキュメント、スライド、スプレッドシート、ドライブなど）、メッセージング アプリケーション（Gmail、Chat など）、アイデンティティ プラットフォーム（Cloud Identity Premium）、高度なセキュリティ ツール スイートと連携してデータの安全を維持します。Workspace は、組織が管理者、医療従事者、患者の間で交わされるコミュニケーションを安全に簡素化する際に役立ちます。

4.教育を通じてサイバーセキュリティの専門知識を養う

より多くのサイバーセキュリティ専門家をトレーニングしたいと考えている Google は、Google.org を通じて総合大学や単科大学のサイバーセキュリティに対応した診療所へ資金援助を行い、地方などのサービスが行き届いていないコミュニティに存在する病院を支援しています。現在は、サイバーセキュリティに対応した米国の診療所 25 か所に 2,500 万ドルを提供するプロセスを展開中です。

また、サイバーセキュリティへの関心が高い学生や教職員をコミュニティに巻き込んでいる総合大学や単科大学が追加の診療所を開設する際も支援しており、こうした組織が IT システムのセキュリティを強化できるようにしています。東ワシントン大学、マサチューセッツ工科大学、ロチェスター工科大学、トゥガルー大学、タートル マウンテン コミュニティ大学、テキサス大学などの教育機関がこれらのプログラムを通じて、小規模でサービスが行き届いていない地方の医療システムや公衆衛生機関のセキュリティ確保に取り組んでいます。

Google Cloud と Mandiant は、医療業界および主要な業界のパートナーのレベルアップを可能にするプログラムを構築しました。提供内容には以下のものが含まれます。

Mandiant 教育およびトレーニング コース

地方などサービスが行き届いていない地域の病院や診療所でセキュリティを確保するためには、教育とトレーニングが必要不可欠です。教育およびトレーニングに向けた取り組みを支援するために、Google は Mandiant Academy プログラムで参加可能なコースを作成中です。

Health-ISAC に対する 20 種類のオンデマンド トレーニング コースの無料提供を予定しています。これは、同機関のメンバーに対しても広めることができます。また、Health-ISAC に対しては、スケジュール設定された 10 種類の公開クラスルーム コースも提供予定で、メンバーはこれらも利用することができます。メンバーは、トレーニング参加後または個々の自己学習を通じて、インシデント対応および脅威インテリジェンスに関する認定資格を獲得するチャンスを得られます。

また、Mandiant Academy では、3 種類の人気コースを割引価格で提供する予定です。

• Health-ISAC 向け AIM: Health-ISAC とのパートナーシップにおいて、Google は応用知能に関するメンターシップ プログラム（AIM）を提供します。Mandiant Intelligence で提供される AIM プログラムは 4 週間におよぶ没入型メンターシップであり、直接的なコーチングと実践的スキルの応用を通じてサイバー脅威インテリジェンス（CTI）に精通した実務担当者を育てることを目的としています。
• ThreatSpace: Mandiant Consulting でも没入型の教育エクスペリエンスである ThreatSpace を作成中です。ThreatSpace は、実際の影響が発生しない環境でインシデント対応チームが現実的な APT レベルの攻撃に対するスキルを磨くために利用できます。
• デジタル フォレンジックおよびインシデント対応ブートキャンプ: この 10 日間の集中型ブートキャンプでは、現代の脅威アクターや侵入シナリオに対応するために求められる基礎的な調査手法を学びます。8 日間の座学の後、受講生は 2 日間の実践型演習を通じて不正行為や国家レベルの脅威への対応プロセスを体験します。

今後も、必要に迫られている組織を対象とした、これらの技術やサービスの無料または割引提供サービスを企画していきます。詳しくは、rural-health@google.com までお問い合わせください。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• Project Naptime: LLM の不適切なセキュリティ機能の評価: Google の Project Zero に携わるセキュリティ研究者が、基盤モデルの試験方法を改良することを目的としてそれらモデルの機能を評価したところ、脆弱性の検出を「大幅に」改善できることが判明しました。詳細はこちら。
• ハイブリッド デプロイが安全な PQC の移行で重要となる理由: ポスト量子暗号の世の中におけるハイブリッド デプロイの利点について説明します。私たちの推奨事項の背後にある根拠を詳しく取り上げ、ハイブリッド スキームを実装する手法に関するガイドを提供します。詳細はこちら。
• 空席: サイバーセキュリティの机上演習で見当たらない人物とは: 机上演習は、サイバー攻撃に立ち向かう組織が体制を整えるのに役立ちますが、OT や ICS の専門家を招待することを忘れていませんか？詳細はこちら。
• 即断即決: AI でサイバーセキュリティにおける OODA ループの効果が高まる仕組み: 取締役会で長年使われてきた OODA ループは、リーダーがより良い意思決定を迅速に行うために役立ちます。AI を活用して OODA ループをさらに効果的にしましょう。その方法をご紹介します。詳細はこちら。
• Cloud KMS Autokey はリソースをすばやく効率的に暗号化する際に役立つ: CMEK 構成をより効率的にするために、CMEK 鍵管理オペレーションを自動化する Cloud KMS Autokey をリリースしました。詳細はこちら。

今月公開されたその他のセキュリティ関連のストーリーについては、Google Cloud 公式ブログをご覧ください。

脅威インテリジェンスに関するニュース

• 諜報活動と秘密工作: UNC3886 のスパイ活動を暴く: Mandiant は、世界規模で主要な戦略的組織を標的にしてきた、中国の関与が疑われるサイバー エスピオナージ組織である UNC3886 に関する新たな調査結果を公表しました。詳細はこちら。

Google Cloud セキュリティおよび Mandiant のポッドキャスト

• 不正 IP から違法取引の摘発まで、脅威インテリジェンスの人間的側面に踏み込む: 脅威インテリジェンスは、聞き手によって意味が変わる言葉の一つです。Google Threat Intelligence のプロダクト マネージャーである Brandon Wood は、人々が TI について誤解している点について、ホストを務める Anton Chuvakin と Tim Peacock に説明しています。ポッドキャストを聴く。
• Cloud インシデントに関する告白: 侵害を招く失敗トップ 5: Mandiant のコンサルタントである Omar ElAhdan と Will Silverstone が、ハイブリッド クラウドのセキュリティ確保と組織が攻撃対象領域において誤解していることについて話し合っています。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、ニュースレターに登録してください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。

ー Phil Venables Google Cloud、TI セキュリティ担当 VP 兼 CISO

ー Taylor Lehmann CISO オフィス ディレクター兼エンタープライズ ヘルス セキュリティ責任者