医療機関で独自のサイバー レジリエンスを強化する

※この投稿は米国時間 2022 年 2 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。

この 2 年、医療およびライフ サイエンス業界はさまざまな危機に見舞われましたが、医療、調査、教育、および公共保健組織を標的とした止むことのないサイバー攻撃は見落とされがちです。

これらの攻撃は重要なシステムを停止に追い込み、ワクチンや他の研究を盗もうと試み、さらには前線で働く医療関係者に給料が届かなくなりました。時期が悪ければ、これらの攻撃は治療の遅延を引き起こし、新しいアウトブレイクや物資供給の欠乏以上に大きな害を引き起こします。管理者はネットワークやコンピュータ システムの障害への対応に忙殺され、他の多くの問題に注意する時間がなくなります。

悪意の攻撃者は 2020 年だけでも 560 以上の医療施設やプロバイダのシステムをダウンさせ、治療を再開するための身代金を要求しました。これらの施設は困難な選択を迫られました。緊急の状況にある患者を、移動に何時間も要する施設に移すべきでしょうか？患者を自宅に送り、IT 管理者がシステムを復旧するまで治療を延期すべきでしょうか？患者への処置のため割り当てられている予算を、業務を再開するための身代金として犯罪組織に支払うべきでしょうか？

これらの決断は常に困難なものです。攻撃者がこの時期に医療やライフ サイエンスの組織を標的としているのは、これらの組織の脆弱性と、これらの業務が今どれだけ重要であるかを彼らが熟知しているからです。

これらの継続的な脅威に終止符を打ち、患者への治療を続けるために最良の方法は、医療組織の IT システムの復元性を改善し、これらの攻撃を打破できるようにすることです。

医療機関に対してサイバーセキュリティのベスト プラクティスをアドバイスするなら、自分たちの属する業界を調べてアイデアを得るのがいいでしょう。暴露療法と似たような手法により、多くのものが得られます。

暴露療法では、訓練を受けた臨床医が安全に、注意して作業し、患者を刺激にさらして一時的に強いストレスを生み出します。この長期的な目標は、患者を定期的にストレスにさらすことで、患者がストレスを特定し、管理して、最終的には排除できるようにすることです。

この手法のコンセプトは、組織のサイバーセキュリティ体制を改善するためにも適用できます。サイバーセキュリティへの脅威と、その結果として発生する運用への影響を定期的にシミュレートすると、セキュリティ リーダーは自社組織であらゆるカテゴリの脅威を的確に識別、管理、そして最終的に排除する力を育成できるようになります。

サイバーセキュリティへの脅威は常に進化し続けているため、組織は新しい脅威に対する復元性を維持することのできる、成熟し続けるセキュリティ体制を作り上げる必要があります。この体制で重要なのは、基本的なセキュリティ コントロールを採用し、長期的に改善していくことです。これらの方針は、あらゆる規模、あらゆる技術的洗練レベルの医療組織で今日からすぐに実装を開始できる、基本的な開始点です。

今回は、医療組織が直面しているサイバーセキュリティへの課題に関する一連のブログの初回として、サイバーセキュリティへの脅威に対する復元性を改善する方法について説明します。これらの医療機関がどれだけ技術的に進歩しているかを考えれば、これらのステップの採用によりセキュリティの成果が改善されるだけでなく、業務の結果、そして最も重要な点として患者のケアも改善されます。

サイバーセキュリティの復元性の実現

フレームワークを選択して体制を定め、基本部分の構築を開始する

リーダーは、サイバーセキュリティのフレームワークを選択し、そのプログラムの有効性、特にインフラストラクチャに対するランサムウェア攻撃などの破壊的なイベントを回避する能力を把握し、測定します。NIST サイバーセキュリティ フレームワークや NIST CSF ランサムウェア プロファイルなど一部のフレームワークは、自組織がランサムウェアなど特定のタイプのサイバー攻撃にどれだけ対処能力があるかをセキュリティ リーダーが測定する方法を用意して、それらの脅威を阻止するためのガイドを提供します。

フレームワークは、管理者のコントロールと能力を把握し、組織が直面する脅威にマッピングするための重要なメンタルモデルを提供します。最も重要なのは、既存のセキュリティ プログラムの成熟度を把握する時間を取ると、包括的な初期評価を獲得して組織や意思決定責任者に提供したり、将来の進捗状況と比較したりするために使うことができるという点です。

結論: 現行のセキュリティ プログラムを測定し、適用するフレームワークを選択して、成熟度の追跡や、成長が必要な部分の特定に使用します。

アセットのさらなる可視化

より復元性のあるシステムを作り上げるには、可視性エンジニアリングの強化作業を優先する必要があります。可視性エンジニアリングは、アセットデータの計画的なキャプチャとレポートを行うメカニズムの設計と実装に特化しています。これにより、サーバー、アプリケーション、データなど対象要素の状態、それらの構成要素、さらに重要なポイントとしてそれらの要素がどこから来たのかを把握できます。

したがって、組織で保護すべき主要アセットがどれかを判断するには、アセットの価値を明確化する必要があります。これまでアセットの価値は、そのアセットを交換し、関連するコンプライアンスの問題を解決するために必要な経費と考えられていました。

今日では、医療組織にあるアセットの真の価値は患者の安全性、研究の機密性と整合性、および治療現場間でデータを共有する能力から全体的に判断されます。価値を判断する際に重要なのは、運用上の構造認識（構造的な理解）でそのアセットが果たす役割、それらの運用に関連するトップレベルのビジネスのリスク、および関連するセキュリティの脆弱性です。

そのために、重要な医療サービスを提供する主要な組織アセットを洗い出し、それらの検出とトラッキングの改善に継続的に取り組みます。リーダーは、アセットがデプロイされている場所、最初にそのアセットを作り出したサプライ チェーンを注意深く分析しながら、アセットに価値を持たせる要因を内外の観点から判断します。

ほとんどのオンプレミス インフラストラクチャでは、効果的な可視性エンジニアリング方針を実装するのは困難です。しかし、クラウド環境では開発とデプロイが大幅に容易化されます。クラウド API と組み込みデータ分析を使用して相互関連付けを行い、信頼性の高いデータを生成できる基本的な技能があるチームなら、オンプレミスよりも少ない労力で、アセットについてより多くの可視性を得られます。

結論: Infrastructure as Code（IaC）とセキュリティのコード化機構、組み立て可能なアプリケーション アーキテクチャ、デプロイの整合性チェックのプラクティスにより、復元の脆弱性について有用な見識を明らかにし、アセットへの侵害を防止できます。Google Cloud はサプライ チェーンの可視性向上に関する複数のリソースをさらに提供しています。

システムとアセットをより的確に理解するための 3 つのプラクティス

当然ながら、医療セキュリティ リーダーは保護対象保健情報の機密性、可用性、整合性の保持を最優先の原則として注力しています。これは主に、HIPAA（医療保険の相互運用性と説明責任に関する法律）のようなコンプライアンス義務によるものです。

しかし、コンプライアンスだけでは不十分です。リーダーは、サイバーセキュリティ攻撃への現実的な防護および対応策が順位付けされ、2022 年の計画に含まれていることを確認する必要があります。また、重大イベントが発生する可能性が最も高い分野に対応できるよう、セキュリティ投資を適切に振り分ける必要があります。コンプライアンス義務は重要ですが、脅威に対する復元性と運用の安定性を維持、向上できるようなプラクティスに注力することも同様に重要です。

1. 脅威をモデル化する。オンプレミスとクラウド ワークフローの脅威をモデル化することで、関係する脅威が運用にどのような影響を及ぼすかを列挙して把握できます。また、自組織の防護に対して攻撃者が利用するベクトルも明らかにします。新しいテクノロジー、サービス プロバイダ、ビジネス プロセスのオンボーディング時に加えて、日常的な運用の一部としても脅威のモデル化を行うと、セキュリティの戦術的な最優先事項を識別しやすくなります。これを 2022 年の定期的なプラクティスとして行うと、医療組織の復元性を脅かす脆弱性を識別して排除するのに役立ちます。

最初は小規模から始めて拡大していきます。優れた脅威のモデル化を行う組織に必ず共通していることは、それをすでに開始しているということです。

まず、「どこに問題が発生する可能性があり、どうすれば阻止できるだろう？何かの問題が発生したときでも運用を続けるにはどうしたらいいだろう？」と問いかけます。ソフトウェア工学研究所（SEI）は、脅威のモデル化作業を行うときに参考となるリソース一覧をまとめています。Google Cloud のセキュリティについては、この話題に関する Google のポッドキャストをチェックして、さらに Google の詳しい情報をご覧ください。

2. クリエイティブな「ストレス」の机上演習を行う。机上演習（TTX）を実施して、組織全体でサイバー攻撃への対応を準備します。机上演習にはリーダーシップおよび技術対応チーム、および非技術対応関係者（広報、内部 / 外部連絡係、法務、サードパーティ、臨床チームなど）の両方が参加するようにします。実際のサイバー攻撃で患者が損害を受ける前に TTX の結果から組織の脆弱性とリスクを洗い出すことができます。TTX を適切に計画すれば、どのリスクに最初に対処すべきか、どれだけ迅速に行うべきかについても、データドリブンな優先順位付けが明確になります。

これらの理由から、TTX を定期的にスケジュールし（最低でも年 2 回をおすすめします）、過去に現実で起きたサイバー攻撃に基づいて次第にストレスの強いシナリオを組み入れていき、脅威の攻撃者を阻止し、検出して、排除する能力を評価する必要があります。イベントが実際に発生したときに組織が治療を続けて運用を連携する能力を必ず評価します。特に、次の点が重要です。

• 救急処置室、手術室、生体医療機器およびシステムなどの重要な緊急治療システム

• 外来患者と通院サービスの分野は統合医療システム内で「緊急処置」ではない傾向があるため、演習において見過ごされがち

• 主要なサプライヤと協力して、処置、器具、重要なサービスを開発し、実行すること

• 処置製品を製造している組織の場合、迅速な提供のために品質を犠牲にすることなく、重要な製品を製造して配送する能力

組織では、TTX を使用して組織全体の対応能力を評価します。さまざまなレベルや対象層の対応能力を評価するのが理想です。リーダーシップ チーム向けに行われる TTX は、インシデント対応チームにとっては十分に詳細なものではない可能性があります。組織のすべてのチームが適切な TTX を経験することを保証するのは複雑なので、TTX 演習の性質、タイミング、範囲を変えるようにします。

バイオテックやライフ サイエンスの組織では、TTX を使用して利用可能な原材料、専用のテスト機器、テクノロジーの供給品、さらには防護服の在庫までが厳しく制限されたシナリオを確認する必要があります。手術着や検査結果の発注と在庫管理しか行わないシステムが停止することで、ケア業務が完全に停止することもあります。

TTX は、組織が自らの復元体制の実情を把握し、対応計画と能力を改善する全社的な動機付けを行う機会となります。特に、チームは詳細な事後分析を行うと机上演習の効果を引き出すことができます。

机上演習の実行に関するアイデアが必要なら、CISA の机上演習パッケージを利用します。演習の事後分析の方法については、Google のサイト信頼性エンジニアリング（SRE）ガイドをご覧ください。

3. 「反脆弱性」機構を確立する。反脆弱性機構は、組織をショックと混乱に直面させることで、失敗から学んで迅速な改善を行い、将来の脅威からシステムをより的確に保護するためのものです。

サイバーセキュリティにおける反脆弱性機構の 1 つはパープル チーミングと呼ばれ、防御側と攻撃側との間で行われる共同演習です。共同で行うことにより、攻撃と防御が「実戦の」演習でどのように働くかを理解できます。これにはオブザーバーも観客として参加し、途中で休憩して情報を共有します。リアリズムが重要なパープル チーミングでは、参加者は異なるペルソナを引き受け、さまざまなツールを使用して、実際の脅威をより正確にシミュレートします。

明示的な評価機構とは限りませんが、別の例として自律型のセキュリティ運用があります。これは、高度なデータ分析を使用して脅威を識別し、自動的にアクションを実行するものです。自律型のセキュリティ運用は、システムがすでに生成しているアクティビティ データ（ログやネットワーク パケット キャプチャなど）を自動的に分析することで、良いものと悪いものを学習し、脅威を検出したときに予防手法を適用します。自律型システムは人間の介入なしで常に学習を続け、修正を数多く迅速に実装します。

反脆弱性メカニズムは、セキュリティ リーダーがデジタル復元性への脅威を検出して排除する支援方法としてすぐに採用可能です。自律型のセキュリティ運用に関する Google Cloud のホワイトペーパーをご覧ください。

プロバイダから医療保険会社まで、バイオテクノロジー企業からライフ サイエンス会社まで、これらの組織のセキュリティと復元性により私たちの大事な人々や、社会全体が、誰もが必要としている救命や救難の治療を行えるようになります。

「暴露療法」に見られるコンセプトと同様の復元性プラクティスを推進する方法は他にも各種存在します。しかし、最も重要なのは組織が自組織の重要なアセット、自組織の脆弱性、そして運用の復元性への脅威に対して防護を行うため自組織の体制がどれだけ整っているかの認識を改善する機構を組み入れ、運用するために時間を割くことだと、Google は考えています。