サイバー攻撃リスクは高く、現場に余裕はない――苦しい医療機関のためのセキュリティ「5つの見直し」と「4つの対策」：Citrix Overseas Report（1/2 ページ）

医療の現場が大きな負担と緊張にさらされる一方、患者のデータや治療情報といったセンシティブなデータは、残念ながら多くのサイバー攻撃者にとって格好の“的”でもあります。セキュリティのレベルは強化しなければならないけれど、とても人を割く余裕がない――。そんな現場でも今からできる対策を取り上げました。

[宮澤敏明，シトリックス・システムズ・ジャパン]

　数年前にランサムウェアの「WannaCry」が猛威を振るった際は、病院が標的になり、データを盾に身代金を要求されたり、運用を妨げられたりといった被害が出ました。保険情報や医療情報といったセンシティブな情報を多く抱える医療機関にとって、セキュリティは重要な課題です。

　そんな中、新型コロナウイルス感染症（COVID-19）の拡大が医療機関に与える影響は深刻です。ITに回せる人的リソースが減り、在宅勤務をはじめとした多様な勤務形態に従業員が分散しているため、セキュリティ面の懸念はかつてないレベルに達しています。とりわけ重要なのは患者の情報に関するセキュリティでしょう。閉鎖的な組織体制で業務を進める場合、その確保は困難を極めます。

　ネットワークにつながる情報が増え、セキュリティが1つの組織だけの問題ではなくなった今、その複雑さとリスクはますます大きくなっています。実際に、米国のCISA（サイバーセキュリティ・インフラセキュリティ庁）、FBI（連邦捜査局）、HHS（保健福祉省）の3組織は2020年10月に共同で発表した報告書で、医療機関に対するランサムウェア攻撃リスクが増大している点について警告しています。

2020年10月には、CISAとFBIとHHSが共同で、米国の医療機関を対象にサイバーセキュリティの強化を促しました（出典：CISA）

　患者や従業員を守るためには、セキュリティのレベルを下げるわけにはいかず、かといって急な人的リソースの確保もままならない――。まさに“崖っぷち”の状況は、さまざまな企業や組織にも共通するものではないでしょうか。そんな状況でセキュリティを確保する際に何がポイントになるのか、一つずつ見ていきましょう。

併せて読みたい関連記事

• テレワークに「VPNを使うか、使わないか」で悩む企業が知っておくべきリスク
• 「田舎に住んで、テレワークでバリキャリ」本気で望む人は何割？　2000人に聞いて分かったこと
• 「ゼロトラストセキュリティ」ってどこから始めればいいの？　最初に押さえたい“基本のき”を解説

「統合的」なセキュリティアプローチの大切さ

　アフリカには「一人の子供を育てるには村全体の協力が必要だ」という古いことわざがあります。セキュリティの文脈でもこれは大切な考え方です。

　情報の保護や脅威の識別、検出、対応、安全性の回復といった各分野は、それぞれ独立しながらも、まとまった形で「防御」という層を構成しています。それぞれの効果を最大化するためには、各分野が責任を共有する仕組みが必要です。

従業員に「○○に注意して」と伝えるだけでは不十分

　セキュリティについて考えるとき、コアとなる構成要素を「人」「プロセス」「技術」の3グループにまとめましょう。このうち「人」に向けたセキュリティ対策として、組織内で適用されるさまざまなプライバシー保護ポリシーやセキュリティ意識について、従業員を教育する組織は少なくありません。

　もちろん従業員への教育は、セキュリティの強固な基盤になり得ます。ただし、それが故意か、あるいは不注意かに関わらず、いったん共有されたルールは破られたり、無視されたりする場合があることも事実です。また、テレワークが拡大し続ける中、ルールを徹底するだけではセキュリティ対策として十分とはいえません。

セキュリティ強化は、ユーザー目線に立った「5つの見直し」から