このページの本文へ

McAfee Blog

医療セキュリティの現実と今後

2011年09月10日 21時30分更新

文● McAfee

  • この記事をはてなブックマークに追加
  • 本文印刷

 現在、世界中で医療データの漏洩が流行しています。2010年10月には、複数のハッカーがルイジアナ州保健病院局にアクセスしたほか、米医療保険会社Health Netがデータ漏洩に対して250,000ドルの罰金を課されました。また、米調査会社Ponemon Instituteが行った調査では、データ漏洩による医療業界の損失額が年60億ドルになることが明らかになっています。医療業界には、今すぐにセキュリティの導入が必要です。

 過去20年にわたって、マカフィーは、世界各地の医療機関をサポートし、各機関の警戒姿勢強化を支援してきました。医療業界のユーザーとのやり取りの中でマカフィーが学んだのは、立地や規模などの際立った要素に関係なく、すべての企業にある種の問題が共通している、ということです。最も重要なのは、機密データの安全確保、ミッションクリティカルなシステムの保護、医療ポータルサイトの防護、ITのコンシューマリゼーションの管理などを行うことです。

 最も大きな問題のひとつは、医療に関わる患者の個人情報(PHI: Patient Health Information)の情報漏えいです。医療情報技術に関する法律「HITECH Act of 2009」は効率性向上を目的とするものですが、患者、医師、病院、薬局、研究所、保険会社の間に機密性の高いPHI患者医療情報が流れるためにリスクも高まっており、データ漏洩の可能性のあるポイントがいくつも存在しています。

 英調査会社Bloor Research社は、医療関連の情報漏洩の大部分は、内部の脅威により起こっていると指摘しています。ロサンゼルスのカイザー・パーマネンテ・ベルフラワー病院の従業員23人が、2009年に「8つ子の母親」の医療記録に違法アクセスした結果、250,000ドルの罰金を科せられた件は、その典型といえるでしょう。

 医療業界が直面しているもう一つの問題は、実稼働環境の一部として使用されているレガシーシステムが、多岐にわたっていることです。こうした不均一なシステム環境は、医療機関のIT資源やセキュリティ資源が同規模の企業より乏しいという現実によって、深刻化しています。

 その他、医療機関における情報取得の重要性も大きく変わっています。従来、医療機関はその大量の情報に、大勢の患者が簡単にアクセスしてくることはありませんでした。それが今では、個人も企業も情報を受け身で待つのではなく、積極的に取得しています。医療機関にとって、これはセルフサービスのポータルサイトと同じ意味になっています。

 その一方で、ダートマス大学による最近の調査によると、アメリカ人の75%が、プライバシーに対する懸念から医療ポータルサイトの使用に不安を抱いています。この不安はもっともなことで、2009年にはFBIがハッカーによる1000万ドルの身代金要求を調査しました。このハッカーは、約830万人の患者記録をバージニア州政府の医療ポータルサイトから盗んだと主張していました。

 つまり、医療業界はITという点において、典型的な乗り遅れ業界だったのです。ところが、ITのコンシューマライゼーションによって、医療業界は素早く変化に順応することを、急激に強いられるようになりました。スマートフォン、iPad、ノートPCの幅広い導入によって、ネットワーク環境は、従業員の所有する最新テクノロジと接点を持ちつつあります。ITとコンシューマデバイスが区別しにくくなっているため、医療機関はこのようなコンシューマデバイスへの対応を促すと同時に、自らの資産保護に向けてセキュリティ体制を構築する必要があります。

医療セキュリティのあるべき姿

 データ中心のソリューションは、機密データの安全を確保する上で不可欠です。ホストベースやネットワークベースのデータ漏洩対策とデータベースアクティビティの監視を組み合わせることにより、医療機関は不正利用を防ぎ、ユーザーのデータのやり取りの状況を監視できるようになるでしょう。

 ホストベースのファイアウォール、不正侵入対策システム、マルウェア対策システムは、脆弱なシステムの保護において効果を発揮します。リストにないプログラムを動けなくし、マルウェアによる攻撃からシステムを保護するホワイトリスト方式も、業務リソースに限りのある医療機関にとっては非常に有効な機能です。

 医療ポータルサイトに最適なソリューションは、ファイアウォールとIPSでしょう。従来のネットワークセキュリティツールのほか、アプリケーションアウェアなファイアウォールやWebアプリケーションファイアウォールは、SQLインジェクションやクロスサイトスクリプティングといった多様な脅威を防護できます。

 コンシューマデバイスの管理は、「アクセス管理」、「デバイス管理」、「機密データ置き場の統制」の3つに分かれます。コンシューマデバイスの管理と、前述のようなデータ中心のセキュリティの管理を統合することで、機密データの「残存」や「漏出」を根絶することが可能になります。

 医療機関のセキュリティは、決してブラックボックスではありません。また、ユーザー登録型サービスでもインストールが必要な1個のハードウェアでもありません。サービスや最善のパートナーシップを盛り込んだ、データ、システム、ネットワーク、アプリケーション、コンシューマデバイスの各ソリューションの組み合わせにより、はじめて強固なセキュリティが確立できるのです。そして業務効率と適切なコンプライアンスを促進することで、医療業界はセキュリティを良好な状況に回復させることができるでしょう。

※この記事は、McAfeeの運営しているブログから、注目のエントリーを編集部でピックアップし、転載しているものです。

週刊アスキー最新号

編集部のお勧め

ASCII倶楽部

ASCII.jp Focus

MITテクノロジーレビュー

  • 角川アスキー総合研究所
  • アスキーカード
ピックアップ

デジタル用語辞典

ASCII.jp RSS2.0 配信中