Netskope Japan株式会社
患者の医療情報など規制対象データへのリスクが顕在化 生成AI・クラウド関連のデータポリシー違反は全業界平均の約3倍に
クラウドとAI時代に対応した最新のセキュリティとネットワーク技術で業界をリードするNetskope(NASDAQ: NTSK)の調査研究部門であるNetskope Threat Labsは、本日、医療業界に関する年次脅威レポートを発表しました。本レポートは、医療業界の組織および従業員が直面している主要なサイバー脅威を過去13カ月間にわたり観測し、分析結果をまとめたものです。
医療機関において従業員による生成AIアプリケーションの利用が拡大するに伴い、プロンプトへの機密データ入力やドキュメントのアップロードに伴う情報漏えいリスクが増大しています。患者の記録や医療情報など、規制対象データは特に高いリスクにさらされており、生成AIを利用する際に発生するデータポリシー違反の89%を占めています。これは、全業界平均(31%)を大幅に上回る水準です。
この問題をさらに深刻化させているのが、「シャドーAI」の存在です。その割合は過去13カ月間で大幅に減少したものの、医療業界の従業員のうち43%は依然として生成AIの個人アカウントを業務で利用しており、セキュリティチームによる、データ漏えいの監視が十分に行えていない状況です。このリスクに対処するため、医療機関は承認済みの生成AIアプリケーションへの移行を急ピッチで進めています。所属する組織の管理下にある生成AIアプリケーションを利用する従業員の割合は、対象期間中に18%から67%に急増し、全業界平均(26%から62%)を上回る成長を記録しました。
こうした動きと並行して、医療機関ではAIを活用した業務効率化への取り組みも加速しています。本レポートでは、独自のセキュリティ対策が必要となる内部AIツールの導入と利用が、すでに急速に拡大している実態が明らかになりました。重要なのは、こうした内部AIツールの多くが、実際の処理をクラウド上の基盤モデルに依存している点です。生成AIアプリケーションやAIエージェントを組織内で使う場合でも、専用のAPIを介してクラウド上の基盤モデルに接続して処理をおこなうため、APIトラフィックを監視することで、組織内のAI利用状況を把握することができます。実際、医療業界の約3分の2でOpenAI(63%)およびAssemblyAI(62%)へのAPIトラフィックが検知されており、3分の1超(36%)でAnthropicへのトラフィックが確認されています。このAPIベースの連携への高い依存度は、臨床、管理、運用システムにおいて組み込みAIサービスの役割が拡大していることを浮き彫りにしています。これらのシステムもまた、AI関連のサイバーインシデントを回避するため、安全かつ適切なセキュリティ管理が必要です。
従業員が機密データを個人アカウントに、意図せず、あるいは意図的にアップロードするリスクがあるため、職場での個人用クラウドアプリケーションの利用も、データセキュリティ上の課題となっています。患者情報など法令で保護が求められるデータは、ここでも最も頻繁に漏えいリスクにさらされるデータ種別となっており、個人向けクラウドアプリケーションに関連するデータポリシー違反の82%を占めています。このリスクを軽減する対策としては、従業員が機密情報を未承認サービスに共有しようとした際、自動でリアルタイムに警告を出す、あるいは個人用アプリへのアップロードをブロックすることが効果的な対策です。過去1年間で、こうした対策を導入した医療機関の半数以上(56%)において、ユーザーによる個人のGoogle Driveアカウントへのファイルアップロードがブロックされており、一般的な個人用クラウドアプリにおけるデータ露出リスクが常態化していることを示しています。Google Driveに続いて、Gmail(39%)、OneDrive(30%)が確認されています。
また、攻撃者は、従業員がクラウドアプリケーションや、そこに保存されているファイルを「安全だ」と無条件に信頼していることを悪用しています。医療業界では、Azure Static Web Apps、GitHub、Microsoft OneDriveがマルウェア配布に最も頻繁に悪用されており、これらのアプリでマルウェアのダウンロードを検知した組織の割合は、Azure Static Web Appsが8.2%、GitHubが8%、Microsoft OneDriveが6.3%でした。
Netskope Threat LabsのディレクターであるRay Canzaneseは次のように述べています。
「サイバー犯罪者の主要な標的となってきた医療業界にとっては、外部脅威への防御体制の構築が不可欠です。しかし、規制が厳しいうえ、クラウド・AIの導入が急速に進む医療業界において、内部リスクへの対応も等しく重要です。本レポートは、クラウドやAIの利用に対するセキュリティ対策を整備していない組織では、患者情報や臨床データといった規制対象データの漏えいが発生しやすく、多額の制裁金を科されるリスクがあることを示しています。従業員の利便性および生産性のニーズを満たす企業承認アプリケーションの導入とともに、利用状況やデータ移動の完全な把握と制御を提供するセキュリティツールを導入することは、先進性とセキュリティのバランスを取るために医療機関が最優先で取り組むべき課題です」
調査方法:本レポートの情報は、世界各地の医療業界におけるNetskope顧客の一部に関する匿名化された使用データに基づいており、2024年12月1日から2025年12月31日までの間に、事前に承認を得て収集されたものです。
レポートの全文については、こちらをご覧ください。
Netskopeについて
Netskope(NASDAQ: NTSK)は、クラウドおよびAI時代の最新のセキュリティとネットワーク技術で業界をリードしています。人、デバイス、データに加え、エージェント、アプリケーション、ツール、LLMを含むAIエコシステム全体に対して、最適化されたアクセスとリアルタイムのコンテキストベースのセキュリティを提供し、セキュリティチームとネットワークチームの両方のニーズに応えることができます。Fortune 100企業の30社以上を含む数千社のお客様が、Netskope Oneプラットフォーム、ゼロトラストエンジン、そして強力なNewEdgeネットワークを信頼し活用しています。これらのソリューションにより、あらゆるクラウド、AI、SaaS、ウェブ、プライベートアプリケーションの利用状況を可視化し、セキュリティリスクの低減とネットワーク性能の向上を実現しています。
詳しくは、netskope.com/jpをご覧ください。
本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 (合同会社NEXT PR内)
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp
