セキュリティ

セキュリティに求められるレジリエンス

2022年 12月 28日

3 分読み

個人情報保護委員会は 11月 9日、令和 4年度上半期における個人データの適正な取り扱いについての注意喚起を発表しています。令和 4年度上半期に同委員会へ直接報告された個人データの漏えい等事案の主なものは、病院や薬局における要配慮個人情報を含む書類の誤交付及び紛失であった、としています。同委員会は、平成 29年 4月に、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」を発行しており、個人情報取り扱いへの注意を呼びかけています。令和 4年度の、病院や薬局における個人データの漏えいについては、処方箋などを誤交付した事例、お薬手帳を別の患者に返却した事例、診断書等の書類を紛失した事例が挙げられているので、特に手作業で紙の書類をやりとりする際に問題が発生していたことがわかります。しかし、注意喚起の中では、「その他のものは、ウェブサイトやネットワークの脆弱性を突いた不正アクセス等でした。」との記述もあり、セキュリティ脅威によって個人情報のデータが危険にさらされていることも確認できます。実際に、病院において電子カルテ用端末が所在不明になったり、データの消し忘れが原因で研究者へのデータ提供で個人情報が流出したり、不正アクセスにより膨大な個人情報が流出した可能性があったり、ランサムウェア攻撃を受けたりなどの事例が後を絶ちません。2021年には、資金面からランサムウェア対策にも限界を感じている病院もあるなどの記事もあり、病院をとりまくセキュリティ状況は深刻化しています。

こういった中で、ランサムウェアなどの深刻な攻撃や、デバイスの紛失時の情報漏えいに対応するためには、サイバーレジリエンスが求められています。

攻撃による影響からしなやかに復活する

Cybersecurity Ventures は、2021年には 11秒に 1回だったランサムウェアの攻撃は、2031年には 2秒に 1回になると予測しています。問題は、攻撃を「受けるか否か」ではなく、「いつ」攻撃を受けるか、です。サイバー犯罪者の手口は、攻撃をしかけるごとに洗練され、年を追うごとにより巧妙な攻撃をしかけてきます。多くの組織ではランサムウェア攻撃を阻止するために、スタッフに対してセキュリティ教育を行ったり、各種のセキュリティ対策ソフトウェアを導入したりしていますが、昨今では「ランサムウェア攻撃を絶対に阻止する」よりも、「攻撃を受けたときにいかに素早く復旧して通常ビジネスに戻る」かが、現実的な対応だと考えられています。そのため、組織にとってはサイバーレジリエンスの実現が課題となっています。

紛失や盗難にあったデバイスからの情報漏えいを防止する

2021年の Absolute「エンドポイント・リスクレポート」によると、ヘルスケア業界では、71%のデバイスに機密情報が含まれているといいます (北米および欧州の 13,000件以上のお客様の、Absolute が動作する約 500万台のデバイスの匿名化された情報を調査したもの)。全業種での平均は 73%なので、機密情報が含まれる比率は他業種に比べて若干低いとみることもできますが、それでも多くの端末に機密情報が含まれていることがわかります (「機密情報」とは、データ侵害を起こす可能性のある情報と定義され、クレジットカードデータ、PHI (個人健康情報)、PII (個人を特定できる情報) などが含まれます)。

日本では、電車、バス、タクシーなどの交通機関、あるいは飲食店などで端末が紛失されるケースが多いかもしれません。電車やバスの場合は、紛失した時点で職員が端末を発見できないことも多いといいます。そこで最も心配されるのは情報漏えいです。端末を置き忘れたり盗まれたりした場合でも、リモートで端末をロックしたり、データ (端末全体や特定のフォルダ、ファイル) を削除したりする機能があり、なおかつそれを証することができれば、情報漏えいを阻止し、情報漏えい発生のための防御措置を講じたことを立証できることになります。

Absolute のレジリエント・ソリューション

Absolute は、セキュリティ・アプリケーションが無効になったり、削除されたり壊れたりした場合に、自動的に有効化し、自動復活や自動修復を行うことができるソリューションです。ファームウェアに組み込まれているため、OS が破壊されてしまった場合でも、Absolute 自体が自動的に復活し、セキュリティ・アプリケーションを復活させることができるので、ランサムウェア攻撃にあった場合でも、速やかに通常のセキュリティ態勢を取り戻すことができます。ランサムウェア対応へのレジリエンスを強化するのはもちろん、実際に攻撃を受けてしまった場合にすばやく復活するためのサービスも提供しています。また、端末上のデータをリモートできめ細かく削除する機能も提供しています。

Absolute は、多くの病院でも採用されています。たとえば、英国トーベイに所在する Orbay and South Devon NHS Foundation Trust (Torbay Hospital で急性期医療サービスを提供するほか、地域医療サービスや成人福祉サービスを提供) では、Absolute を導入して約 6,000台のノート PC を可視化し、セキュリティ対策のインストールとアップデートを保証しています。セキュリティ基準に応じてデバイスをロックしたり、データを消去するなどの対策も行っています。導入の詳細はこちらでご参照いただくことができます。その他、Allina HealthGreenville Health System など病院での導入事例をご確認いただけます。

レジリエントなソリューションと、可視化されたエンドポイント管理によって、セキュリティ管理のコストを最小限に圧縮することも可能です。

医療環境をはじめ、あらゆる業種のセキュリティを守る Absolute のサイバーレジリエンスについては、2022年 12月 8日に実施されるオンラインセミナー、ABSOLUTE DAY JAPAN 2022 で詳しく紹介いたします。北米でのセキュリティ最新事情から、デモを交えた製品の詳細、国内での導入事例を含めてレジリエント・ゼロトラストを紹介するセミナーには、こちらからお申込みいただけます。

セキュリティ

この記事をシェアする

Financial Services