Cloud CISO の視点: 2023 年 7 月下旬

※この投稿は米国時間 2023 年 8 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

2023 年 7 月、2 回目の投稿となる Cloud CISO の視点へようこそ。セキュリティ、プライバシー、データの保護は、ヘルスケア分野における変革をバックアップする主要な推進要因の一つです。

アクセスやデータに対する侵害、ランサムウェア、脆弱性の悪用といったヘルスケア分野に対するサイバー脅威は増加しており、この危険な傾向を食い止めるための対策は十分に講じられていません。サイバーセキュリティとヘルスケア分野の専門家として Google Cloud の CISO オフィスのディレクターを務める Taylor Lehmann は、「ヘルスケア分野のリーダーと経営陣が、患者とそのデータの保護を強化するために行動することが重要である」と指摘します。

ヘルスケア分野のセキュリティと復元性向上を支援するクラウド

Google Cloud、CISO オフィス ディレクター Taylor Lehmann

医療提供はセキュリティと復元性が人命と直接結びつく非常に数少ない業種の一つです。にもかかわらず、価値の高い機密データの保護に弱点を抱えるヘルスケア分野は、ハッカーにとって格好の標的となっています。

COVID-19（新型コロナウイルス感染症）パンデミックが最も深刻な時期にヘルスケア関連組織に対するサイバー攻撃が急増したことで、ヘルスケア分野におけるセキュリティ対策の弱さとリスク管理の不足が露呈しました。しかしながら、医療およびライフサイエンス組織の保護に関する微妙なニュアンスに精通した専門家たちが私たちの共通の未来に対する懸念を抱いたのは、最近話題を呼んだ次の出来事が原因です。

6 月、イリノイ州スプリング バレーの小さな地方コミュニティの唯一の病院である St. Margaret's Health が閉業しました。その原因の一つが、2021 年のランサムウェア攻撃の後、病院のサービスを復元するための費用を賄いきれないことでした。

ヘルスケア分野のリーダーたちのレポートでは懸念が示されています。Mandiant の 2023 年の Global Perspectives on Threat Intelligence Report によると、全世界のヘルスケア業界で、サイバーセキュリティにカンする意思決定者の 40% が、レポートの公開前 12 か月以内に「重大なサイバー攻撃」を経験したと報告しています。その状態にもかかわらず、彼らのうち 67% が、経営陣は組織に対するサイバー脅威を「過小評価」し続けているとしています。

サイバーセキュリティの二重苦に関して、社会全体が身をもって学んだことがあります。それは、脅威アクターは医療システムが脆弱であることを知っており、システムに関連する無防備な人々を傷つけることを意に介さないということです。ヘルスケア分野が直面する、存続に関わる脅威の成長に歯止めをかけるには、創造性とイノベーション、パートナーシップ、そしてIT セキュリティとリスク管理の現状を積極的に変えようというヘルスケア分野の意志が必要です。

幸い、Google のようなパブリック クラウドは、ヘルスケア分野とライフ サイエンス分野の組織のセキュリティを高めるために重要な役割を果たすことができます。

行政機関の規制に対する役割

Google はヘルスケア組織がサイバーセキュリティ体制やリスク管理機能を充実させるための支援を、多くの場合行政機関と連携して最前線で行っています。4 月には、安全性を重視した設計とデフォルトでの保護の提唱を支援する複数か国での取り組みが始まりました。Google は安全性を重視した設計とデフォルトでの保護というアプローチを長きにわたって提唱してきました。これは、コア インフラストラクチャがセキュリティに配慮して設計、構築、運用されることを意味します。

ヘルスケア業界のサイバーセキュリティ体制は、安全性を重視した設計が及ぼす長期的な影響によって改善されるはずですが、すでにこのアプローチによる好ましい効果が現れています。2023 年のオムニバス歳出法案には、ネットワークに接続された医療機器に関する 2 つの重要な条項があり、この中には、ネットワークに接続された医療機器のサイバーセキュリティを確保し、その状態を市場に投入された後も維持するという、米国食品医薬品局（FDA）の新しい要請が含まれています。その要求を満たさない場合、10 月 1 日以降、FDA は当該機器の市場での取引を強制的に禁止できます。EU にも同様の規制があります。

これに加え、FDA は昨年のコンピュータ ソフトウェア保証モデルの草案で、医療機器の品質、セキュリティ、安全性の管理に対するリスクベースのアプローチが導入されることを示唆しました。このガイダンスでは、このようなシステムの設計と実装においてセキュリティと安全性、品質を考慮する必要があることが明確化されました。Google Cloud のサービスは、組織のガイダンスの導入を支援できます。追加の費用はかかりません。

Google Cloud でできること

ヘルスケア業種のサイバーセキュリティを高める取り組みでは、ネットワークに接続された医療機器を含めて医療の提供のセキュリティを高めることが重要な要素となります。Google はセキュリティは安全性に直接影響するという信念に立ち、その観点からセキュリティの脅威を捉えようとしています。私たちが、ソフトウェア部品構成表（SBOM）とともにソフトウェア アーティファクトのためのサプライ チェーン レベル（SLSA）フレームワークと Vulnerability Exploitability eXchange を使用して技術の安全性を高めることを 提唱してきたのはこれが理由です。

Google の Assured Open Source Software やソフトウェア デリバリー シールドのようなオープンソースのセキュリティ ツールは、これらのフレームワークを簡単に導入できるように設計されています。ソフトウェアのサプライ チェーンの安全性を確保することは、防御側にとってセキュリティの重要な優先事項であり、Google は誰もがそれを実現できるように力を尽くしています。

お客様は、Cloud Build、Cloud Storage、Google Kubernetes Engine（GKE）、Cloud Run などのクラウド サービスを使用して、規制対象の医療機器や GxP 対応のワークロードを設計、実装、運用します。さらに、BrightInsight などのパートナーがお客様と連携し、Google のサービスの導入と FDA による規制対象のワークロードのクラウド移行を加速させています。

脅威インテリジェンスの改善によるヘルスケア分野の支援

Google はヘルスケア分野とライフ サイエンス分野の組織が直面し続けている脅威への対策にも投資してきました。引き続き脅威インテリジェンスを改善して、それを活用したセキュリティの向上をサポートするだけではなく、昨年発表した Health Information Sharing and Analysis Center（Health-ISAC）のアンバサダー パートナーシップは、その後、ヘルスケア分野に特化した脅威インテリジェンスや新しいサービスを共有するまでに発展しました。これにより、Google はヘルスケア分野のインフラストラクチャを保護する直接的な役割を担えるようになりました。

Google Cloud のセキュリティ エンジニアは、Health-ISAC の Threat Operations Center（TOC）と協力して、Health-ISAC Indicator Threat Sharing（HITS）フィードを Google Cloud の Chronicle Security Operations 情報およびイベント管理に直接接続するオープンソースのインテグレーションを開発しました。HITS は、Health-ISAC のメンバーが、マシンツーマシンの自動化によって簡単につながり、サイバー脅威インテリジェンスを迅速に共有することを可能にします。これに加え、Health-ISAC の TOC を Mandiant Threat Intelligence と VirusTotal の分析機能によって強化することで、インテリジェンス共有パートナーシップを拡大しました。

ヘルスケア分野でのリアルタイムの改善事例

デジタル トランスフォーメーションを先導するヘルスケア分野とライフ サイエンス分野の組織は、セキュリティ、プライバシー、データ保護が、迅速な変革をバックアップする主要な 3 つの促進要因であるとしています。セキュリティとユーザビリティの改善を実現した例を以下にいくつか示します。

• Hackensack University Medical Center はパンデミック期間中に Google Workspace と分散された ChromeOS デバイスに移行し、その直後から迷惑メールは 30% 減少しました。これにより、スタッフがフィッシング メールを受け取る危険を軽減できました。

• 国際的なバイオ製薬会社であるアストラゼネカは、「Software as a Medical Device（医療機器としてのソフトウェア）」ソリューションを通じて投薬へのアクセスを拡充し、センシティブ データを転送中、保存時、使用時に暗号化する、ユーザー フレンドリーなウェブ アプリケーションを患者が使用して医薬品を注文できるようにしました。

• ランサムウェアを使う攻撃者は医療画像を使用して患者と組織を恐喝することが知られています。医療画像の専門家である Ambra Health は Google Cloud データ損失防止（DLP）を使用して画像データから保護医療情報（PHI）を削除して医療画像を研究向けに加工しています。そのタイムラインは手動でデータを削除する場合と比較して大幅に高速化されたものになります。

ヘルスケア分野とライフ サイエンス分野の組織に対するサイバー攻撃のコストは、今までとは逆に、高くなっていくはずです。クラウドは元来高いセキュリティを備えています。そこに規制によるモチベーションとコミュニティ全体での取り組みの広がりが組み合わされば、組織はセキュリティを強化し、閉業という結果を回避できます。そしてそれは、患者の転帰につながるはずです。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• Google Cloud Next をお楽しみに: Google Cloud Next ‘23 の早期割引登録は完売しましたが、カンファレンスにはまだ登録できます。今年の Next は、生成 AI の誕生やサイバーセキュリティのブレークスルーなどのエキサイティングな出来事が続いているなかでの開催となります。クラウド業界で働いていて、これ以上のことはかつてありませんでした。予定されているセキュリティ セッションをチェックして、今すぐご登録ください。

• とっておきのセキュリティの秘密: Secret Manager で機密性の高い情報を守る方法: 秘密を守るのは得意ですか？企業のデジタル認証情報は保護されたリソースやサービスへのアクセスを認証するために使用する重要な機密性の高い情報です。Google は、お客様による機密性の高い情報の適切な管理を可能にする重要なツール、Google Cloud Secret Manager を提供しています。詳細

• Cloud Data Loss Prevention に予測可能な費用オプションを導入: Cloud DLP では検出サービスのための新しい価格モデルが提供されるようになり、ニーズに最適な費用オプションを選択できます。詳細

• API ベースのウェブ アプリケーションに Workforce Identity 連携を使用する: Workforce Identity 連携を使用すると、Google Cloud リソースに対して外部の ID プロバイダを使用してユーザーを認証および認可できます。お客様独自の環境にどのように実装できるかを示すために、このブログ投稿では Google Cloud にホストされたウェブ アプリケーションが Azure AD に対して認証された後、Google Cloud APIs を呼び出すように構成する方法を、順を追ってご説明します。詳細

• ウェブ アプリケーションと API サービスの保護する Cloud Armor WAF 機能を強化: Cloud Armor に新機能が導入され、詳細なレート制限と、カスタムルールを構成して DDoS その他の攻撃に対する保護をさらに拡充するためのより柔軟なオプションを使用できるようになりました。詳細

• サービス アカウントに時間制限のある鍵認証を導入: 有効期限を強制適用するカスタマイズ可能なオプションを使用して、サービス アカウント キーを保護できるようになりました。詳細

• e コマース ユーザー エクスペリエンスをサポートするために顧客 ID をより適切に管理する方法: Google Cloud Identity Platform を使用すると、小売店が e コマース プラットフォームを含む顧客向けアプリケーションに Identity and Access Management 機能を追加できます。詳細

• Microsoft Intune と BeyondCorp Enterprise の併用の効果: BeyondCorp Enterprise にサードパーティ システムからのシグナルを組み込んでアクセスの判断の改善に役立てることができます。Wayfair がデプロイメントに Intune をどのように統合したかを紹介します。詳細

Mandiant からのニュース

• 北朝鮮がサプライ チェーン標的型攻撃で SaaS プロバイダを使用: 今月、Mandiant が米国を拠点とするソフトウェア ソリューション エンティティに影響を及ぼすサプライ チェーンの不正使用に対応しました。これは JumpCloud を標的とする巧妙なスピア フィッシング キャンペーンの結果として始まったと考えられます。JumpCloud 影響を受けた顧客の一つを調査して判明したことを紹介します。詳細 

• 親中派 HaiEnergy キャンペーンが米国の報道機関を悪用: 2022 年 8 月、Mandiant は中国の広報事務所上海讯社科技有限公司（Haixun）に関連付けられるインフラストラクチャを活用した進行中の影響力キャンペーンに関する詳しいレポートを発表しましたが、同組織の関与は確認できませんでした。Google は、最近数か月の間に、Haixun がこのキャンペーンを積極的に支援していることを示唆する新たな証拠を確認しました。詳細 

• Citrix のゼロデイを悪用したスパイ活動の可能性: Mandiant は、7 月 18 日付で Citrix が発表したセキュリティに関する公開情報以前にパッチが完全に適用され、最近侵害された ADC アプライアンスに関与する調査を積極的に実施しています。この公開情報には複数の脆弱性に関する説明があり、その中に、認証されていないリモート攻撃者が任意のコードを実行できる可能性がある脆弱性が含まれています。詳細 

• KillNet 新機能を披露する一方で古い戦術を繰り返している: KillNet は 2022 年 2 月にロシアが侵攻して以来、引き続きウクライナの支持者を標的にし、DDoS 攻撃を行っています。新しい機能があるにもかかわらず、標的パターンをほとんど変えていません。Mandiant はロシアのセキュリティ サービスとの連携や協力を確認できませんが、KillNet による被害者のターゲット設定は一貫してロシア国家の利益を反映したものです。詳細 

Google Cloud セキュリティと Mandiant のポッドキャストをぜひご視聴ください

• お使いのソフトウェアを Google がどのように保護しているか: Assured Open-Source Software（OSS）は Google Cloud の便利なお客様ソリューションとして、Google が保護して使用するワークフローの中で同じ OSS パッケージを使用できるように組織を支援します。Google のエンジニアリング マネージャーである Himanshu Khurana、Assured OSS のプロダクト マネージャーである Rahul Gupta が、このソリューションが重大な影響力を持つ理由を語ります。ポッドキャストを聴く