theNet by CLOUDFLARE

医療従事者にリモートアクセスを確保する

ハイブリッド医療業務を保護するための3つの考慮事項

多くの医療機関は近年、より多くのリモートワーカーを雇用していますが、サイバーセキュリティの防御を最新の状態に保つことに苦労しています。財務的圧力が上がり、人員が不足する中、ハイブリッド従業員を激化する攻撃から保護するために、短期的な「修正」に頼らざるをえないのが現状です。

例えば、世界的なパンデミック下で多くの従業員がリモートワークを開始した際、医療業務の51%で、ハイブリッド業務またはリモート業務の設定は5,000ドル未満でした。医療関係のサイバーセキュリティの一般的な例には、より多くの仮想プライベートネットワーク(VPN)の採用や、一部のアプリケーション(すべてのセキュリティ機能ではない)をクラウドに移行することが含まれています。

しかし、このような短期的な対応は、医療機関をサイバー攻撃に対してより脆弱にします。ハイブリッド型の勤務モデルとそれがもたらすメリット(スタッフのモラル向上、燃え尽きの軽減、生産性の向上など)を引き続き採用する場合、長期的なセキュリティ戦略が不可欠です。

リモートで働く医療従事者にとっての「場所を選ばない働き方」の上位3つのリスクは、VPNへの依存、マルチチャネルフィッシング、シャドーITです。最新のゼロトラストのアプローチが、どのようにより持続可能な方法で、これらのリスクに対処しているかを以下に説明します。


VPNの欠点

従来、医療機関はネットワーク境界の保護に重点を置いた「城と堀」のセキュリティモデルに依存してきました。ハイブリッド勤務の場合、これは、VPNとリモートデスクトップソフトウェアを使用して、リモートユーザーの資格情報を確認し、ユーザーと中央集中型環境にあるさまざまなアプリケーションやデバイスとの間のトラフィックを暗号化することを意味します。

しかし、VPNリスク(特定のIvantiおよびPalo Alto Networks製品のzero-day脆弱性や、CiscoのVPNソリューションに対する総当たりパスワード攻撃など)は、境界ベースの手法に内在する欠陥を物語っています。VPNアクセスは、

  • リスクが高すぎる複数のVPNで見つかったzero-day欠陥からわかるように、(他の例はこちらおよびこちらを参照)VPNセキュリティは信頼できるものではありません。VPNによるネットワークレベルのアクセスとデフォルトの信頼も、ラテラルムーブメントの可能性を持っています。

  • 遅すぎるユーザーの所在地、端末、役割、およびIDプロバイダーに応じてアクセスを許可すると、 VPNユーザーは遅延が発生することがあります。

  • 非効率的すぎるVPNは、ユーザーのオンボーディングを遅らせ、新しいアプリの展開を遅らせ、中断したときに貴重なIT時間を浪費する可能性があります。

パンデミックの際、未曾有の財政的な逆風とITスタッフ不足に悩む医療機関が当初、VPNに目を向けたのは無理もないことです。しかし、VPN(少数システムによる短時間の接続を目的として設計された)では、リモート医療業務の範囲拡大に対応できないことが明らかになりました。

より効果的で持続可能なアプローチは、ゼロトラストセキュリティです。リスクの高いVPNとは異なり、ゼロトラストサービスでは、場所に関係なく、プライベートネットワーク上のリソースにアクセスしようとするすべてのユーザーとデバイスに対して厳格な本人確認を行う必要があります。

例えば、ゼロトラストテクノロジーは、医療機関には以下のことを可能にします。

  • IDだけでなく、すべてのアプリケーションへのアクセスリクエストを検証する地理的な位置、デバイスのセキュリティ体制、企業のセキュリティ基準、リスク/信頼性の継続的な評価、その他の要素を考慮した上で、リソースへのアクセスが許可されます。

  • すべての従業員のインターネットトラフィックを検査し、フィルタリングする従業員がどこで働いていても、インターネットのブラウジングはフィッシング、マルウェア、ランサムウェア、その他の攻撃の影響を受けやすくなっています。VPNとは異なり、ゼロトラストはブラウザベースの攻撃をブロックする機能を提供します。また、従業員が不審なWebサイトにアクセスしたり操作したりすることを防ぐこともできます。


フィッシング攻撃

2015年から2020年にかけて起こった医療関連のデータ漏えいの調査によると、フィッシング詐欺によって侵害された患者記録の数は、他の理由より多くなっています。

たとえば、バーモント大学(UVM)医療ネットワークに対するランサムウェア攻撃の根本的な原因はフィッシングでした。出張者の従業員が業務用ノートパソコンを使用して、個人的なメールをチェックしたのが始まりでした。従業員の住宅所有者協会からと思われる1通のメールから、攻撃者がラテラルに移動してUVM医療ネットワークシステムにアクセスできるマルウェアが起動しました。この攻撃により数週間、業務が中断されました。何百人もの従業員は仕事ができなくなり、患者の手続きが遅れました。6,300万ドルを超える損失を被りました。

高度に標的化され、マルウェアを使わないビジネスメール詐欺(BEC)フィッシングも増加しています。2024年6月、FBIと米国保健人権省は、攻撃者が医療職員のメールアカウントにアクセスし、そのログイン情報を使って保険料の支払いを流用していると警告を発しました

現代の労働者にとって、仕事やデータはメールの中だけに留まっていません。例えば、SMS(テキストメッセージ)や公開メッセージ、プライベートメッセージアプリケーションは、リンクを送信する機能がある、情報を入手して作業するための一般的な方法ですが、これらが攻撃ベクトルとして利用されています。クラウドコラボレーションがあり、攻撃者はGoogle Workspace、Atlassian、Microsoft Office 365などのツールを利用して、リンク、ファイル、BECフィッシングを行います。また、LinkedInやその他のプラットフォーム上のユーザーを標的とした、Webフィッシングやソーシャルフィッシングも存在します。

このような「マルチチャネル」攻撃を防ぐため、医療機関は、まずメールを保護し、次にゼロトラストを他のWebベースのトラフィックに拡張する多層的な手法をとることができます。

フィッシング対策にゼロトラストの手法を適用することで、企業は以下のことが行えます。

  • 不審なメールリンクを自動的に隔離し、従業員のデバイスが悪意のあるWebコンテンツにさらされるのを防止する

  • ユーザーと不審なWebサイトとのやり取りを制限し、Webページに埋め込まれた悪意のあるスクリプトが従業員のデバイス上でローカルで実行されることを防止する

  • リスクの高いサイト(フィッシングに関与していることが既に知られているサイトなど)へのアクセスを完全にブロックする

  • サードパーティ製アプリへのアップロード、入力、コピーペーストを制限する、また、従業員がサードパーティの生成AIツールに自社のデータをアップロードすることを防止できる


シャドーITのリスク

ハイブリッドワーク環境では、許可されていないソフトウェア、ハードウェア、その他のシステムの使用である「シャドーIT」のリスクが高まります。2024年の調査によると、米国の医療システムのITリーダーの大半(81%)が、シャドーITソフトウェアの購入を報告しています。また、半数近く(48%)は過去1年間に自社のソフトウェアの監査をしていませんでした。

シャドーITは、医療機関にとって特に深刻な脅威です。IT部門が重要なシステムを保護し、監視する能力が損なわれ、患者データが危険にさらされます。例えば、無許可のSaaSアプリでは、保護されるべき医療情報(PHI)のHIPAAコンプライアンスを検証することが事実上不可能となり、zero-day攻撃やデータ漏洩のリスクが高まります。

企業は、ユーザーごと、ファイルごと、SaaSアプリケーションごとに精査して、潜在的な問題がないかすべてを確認するのでしょうか。ほとんどの組織にとって、それは非現実的です。

未許可アプリの使用を減らすには、従業員に継続的なリスク管理トレーニングを実施し、「非難のない」文化を醸成してください(既にシャドーITを取り入れた場合は対象となる)。

これらのアプローチは、次のようなゼロトラストの技術的コントロールによって補強する必要があります。

  • 従業員が訪問しているSaaSアプリケーションやネットワークオリジンを可視化する。組織は必要に応じてシャドーITの使用を許可、制限、ブロックするポリシーを作成する

  • 露出したファイル、不審なアクティビティ、設定ミス(データ漏洩の一般的な原因)を常にスキャンして検出することで、SaaSアプリやその他のクラウドホスティングサービスを保護する

  • クラウド、アプリケーション、メール、デバイスを通じて機密データの過剰共有を検出し、ブロックすることにより、データの露出を低減する


コネクティビティクラウドでハイブリッドワークのセキュリティを簡素化

CloudflareZero Trustサービスは、かつては個別だった多くのテクノロジーサービスを統合し、あらゆる接続のセキュリティを容易にし、従業員がデバイスや場所を問わずインターネット、アプリケーション、インフラストラクチャを安全に使用し、生産性を維持できるようにします。すべてのサービスは、コネクティビティクラウドによって提供されます。コネクティビティクラウドは、クラウドネイティブなサービスの統合されたインテリジェントなプラットフォームであり、IT環境全体におけるセキュアな「Any-to-Any」接続を簡素化するものです。

医療機関は、Cloudflareのコネクティビティクラウドを使って、患者データを保護し、臨床医にシームレスな技術エクスペリエンスを提供し、トップクラスの仮想ケアを実現します。そのすべてで、より高い俊敏性と制御力を得ることができます。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。



記事の要点

この記事では、以下のことがわかるようになります。

  • リモートの医療従事者にとってのサイバーセキュリティ上位3大リスク

  • 分散した従業員にとってのVPNの欠点

  • セキュアなリモートアクセスを実現するために、医療機関でゼロトラストを利用するメリット


関連リソース


このトピックを深く掘りさげてみましょう。

医療イノベーションを妨げるセキュリティギャップの解消方法については、電子書籍『医療機関のサイバーセキュリティ最新化』をご覧ください

大人気のインターネット関連インサイトの要約を毎月お届けします。