医療機器のサイバー攻撃対策 – 停止させずに侵害から守る方法とは？

本記事では、アメリカのサイバーセキュリティ企業 ColorTokens（カラートークンズ）社が発信しているセキュリティ情報（英文）を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています。

※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。記事下の最終更新日をご参考ください

医療サイバーセキュリティ：無視できない慢性疾患
サイバー攻撃の長期的影響
侵害への備医療業界におけるサイバーセキュリティの驚くべき傾向
サイバー攻撃が医療機関を破綻させる—そしてその影響は長引く
なぜ医療業界はサイバー犯罪者にとって魅力的な標的なのか
2025年に注目すべきサイバーセキュリティの課題
マイクロセグメンテーション：防御から継続的な治療へ
1. 医療業界におけるマイクロセグメンテーションの重要性
導入の障壁を克服する方法
回復ではなく、レジリエンス（耐障害性）を計画する
リーダーシップの役割

医療サイバーセキュリティ：無視できない慢性疾患

病気の進行を考えてみてください。

急性期には、薬の投与、入院、あるいは手術といった即時対応が必要になります。

しかし、急性症状が収まった後も、慢性的な影響が続き、継続的なケアや慎重なモニタリングが求められます。

サイバー攻撃も同様です。

医療システムへの侵害が発生すると即座に危機が生じますが、その影響は数か月、場合によっては数年にわたって続き、リソースを奪い、システムのセキュリティや信頼性を損ないます。

サイバー攻撃の長期的影響

米国病院協会（American Hospital Association）のCEOであるRick Pollack氏は、サイバー犯罪を「慢性疾患」に例え、強固な防御策を通じて持続的な管理が必要であると述べています。

一度侵害が発生すると、その余波は無期限に続く可能性があります。

経済的損失：
医療機関は、身代金や情報漏えいの初期費用だけでなく、訴訟、規制当局による罰金、セキュリティの見直しなど、長期的な出費に直面します

業務の混乱：
2024年にSynnovisで発生したようなランサムウェア攻撃は、2023年の利益をはるかに上回る約4,000万ドルの損失をもたらし、数千件の予約キャンセルや処置の遅れが発生しました

風評被害：
患者も規制当局も覚えています。一旦信用がなくなると、それは未治療の感染症のようなもので、完全に根絶することは不可能に近いです

侵害への備医療業界におけるサイバーセキュリティの驚くべき傾向

こうした慢性的な影響が重要である理由を理解するためには、サイバー攻撃の蔓延状況を知る必要があります。

2023年の出来事が示したのは、医療業界がサイバー犯罪者にとって最も魅力的な標的の一つであるという現実です。

HIPAA Journalによると、2023年は過去最悪の記録を更新しました。

500件以上の情報漏えいが725件報告され、過去最高を記録
1億3,300万件の医療データが流出し、2022年比で18%増加

この数字を見て、よく考えてみてください。

各データは患者の個人情報―名前、医療履歴、保険情報―を含んでおり、それが悪意ある第三者の手に渡るということです。

単なる統計ではなく、現実の人々のプライバシーと安全が脅かされています。

そして、組織にとっては、信頼の失墜という地雷原でもあります。

サイバー攻撃が医療機関を破綻させる—そしてその影響は長引く

財務面の観点から見ても、事態は深刻です。

業界の報告によると、2024年における医療データ侵害の平均コストは1,093万ドルに達しました。

この莫大なコストは、単なる初期対応費用ではありません。

サイバー攻撃による波及効果が、数ヶ月、場合によっては数年にわたって続くためです。

ランサムウェアの被害も増加しています。

悪名高いChange Healthcareへの攻撃では、2,200万ドルの身代金が支払われましたが、実際の損害はそれだけではありません。

数週間にわたる業務停止、治療の遅延、そしてPRの悪夢を招きました。

Synnovisの侵害と同様、これらの事件は、サイバー攻撃が「一度きりの危機」ではなく、「長期的な治療が必要な問題」であることを示しています。

なぜ医療業界はサイバー犯罪者にとって魅力的な標的なのか

「なぜ医療業界なのか？もっと予算のある業界や最先端の技術を持つ企業を狙えばよいのでは？」と思うかもしれません。

しかし、そこには3つの重大な理由があります。

高価値なデータ：
患者の健康情報はクレジットカード情報よりも価値が高く、ダークウェブでは金融データの10倍の価格で取引されることがあります

業務の継続性へのプレッシャー：
医療機関はダウンタイムを許容できません。システムが侵害されると、損害は財務的なものだけでなく、治療に直接影響します

分散したITインフラ：
多くの医療機関は、レガシーシステム、新しいクラウドソリューション、業務用技術が混在する断片化したインフラを運用しており、この脆弱性をサイバー攻撃者に利用されることがよくあります

2025年に注目すべきサイバーセキュリティの課題

専門家は、次のようなリスク領域を指摘しています。

モバイルアプリの脆弱性：
調査によると、医療機関の59%がモバイルアプリを最大のサイバーリスクと認識しています。ここでの侵害は、患者との関係性や信頼を長期的に損なう可能性があります

サプライチェーンのリスク：
35%の医療データ侵害がサプライチェーンベンダー経由で発生しています。
これは繰り返し発生する「感染源」となっています

医療機器のセキュリティ不足：
87%の医療機器がエンドポイント保護をサポートしておらず、攻撃者にとって簡単な侵入ポイントとなっています

マイクロセグメンテーション：防御から継続的な治療へ

ここで、悲観的な見方から一歩踏み出し、積極的な対策を考えてみましょう。

現在、注目を集めている手法の一つが「マイクロセグメンテーション」です。

ネットワークを生体に例えるなら、従来のネットワーク分離は特定の傷に絆創膏を貼るようなものです。

一方、マイクロセグメンテーションは、すべての臓器や組織に適切な治療計画を処方するようなアプローチです。

マルウェアやランサムウェアという病原体が侵入しても、その動きを厳しく制限し、全身に広がるのを防ぐことができます。

医療業界におけるマイクロセグメンテーションの重要性

精密な隔離（Precision Isolation）
サイバー攻撃が発生しても、システム全体を停止する必要はありません。
侵害された部分を隔離し、ネットワークの他の部分を稼働させ続けることができます。
医療の現場では、ダウンタイムが生死を分けることもあるため、極めて重要な要素です

業務継続性（Operational Continuity）
医療業界では、システムの稼働が絶対に必要です。
マイクロセグメンテーションを導入することで、攻撃を受けても重要なシステムを維持し、慢性疾患を適切な薬で管理するように、安全な運用を継続できます

規制遵守（Regulatory Compliance）
今後、米国ではデータの暗号化や多要素認証（MFA）の義務化など、より厳格な法律が施行される予定です。
マイクロセグメンテーションを導入することで、長期的なコンプライアンス対応が可能になります。

導入の障壁を克服する方法

多くのITチームは、膨大なサイバーセキュリティ対策の負担に圧倒されています。

しかし、マイクロセグメンテーションを組織の長期的な健康維持のための投資と捉えることで、負担を軽減できます。

以下のような方法で、スムーズに導入を進めましょう。

小規模から始める（Start Small）：
まずは、非クリティカルなデバイスの一部に観察モードで適用することで、システム全体に影響を与えずに効果を検証できます

テンプレートを活用する（Leverage Templates）：
業界固有のポリシーテンプレートを使用すれば、設定が容易になり、時間と労力を削減できます

エージェントレスソリューション（Agentless Solutions）：
医療機器の多くはエージェント（ソフトウェア）をインストールできません。
そのため、エージェントレスのソリューションを活用することで、ダウンタイムを発生させずに可視化を実現できます

回復ではなく、レジリエンス（耐障害性）を計画する

サイバー攻撃の慢性疾患を適切に管理する組織と、繰り返し炎症を起こして崩壊する組織の違いは何でしょうか？

それは、計画の有無ではなく、適切な計画があるかどうかです。

現実的な侵害シミュレーションを実施（Conducting Realistic Breach Simulations）：
病気の治療には、症状を理解することが不可欠です。サイバー攻撃に備え、さまざまな攻撃パターンを想定したシミュレーションを行い、対応力を検証しましょう

サイバー戦略を事業継続計画（BCP）と統合（Aligning Cyber Strategy with Business Continuity）：
サイバーセキュリティを独立した課題として捉えるのではなく、業務全体の一部として組み込むことが重要です。
組織全体を健康な状態に保つための一環として、サイバー戦略を統合しましょう