サイバー被害を受けた医療機関は9割を超え 5つの欠陥から原因を分析：Cybersecurity Dive

病院などの医療機関が依然としてランサムウェア犯罪者の主要な標的となっている。ではなぜこの業界はサイバー被害に遭うのだろうか。医療機関が抱えがちな5つのセキュリティ欠陥から原因を探る。

[Eric Geller，Cybersecurity Dive]

　マネージドセキュリティサービスを提供するFortified Health Security（以下、Fortified）が2025年7月15日（現地時間、以下同）に発表した報告書によると（注1）、2024年にサイバー攻撃を受けた医療機関は9割を超え、そのうちの7割で患者の診療に支障が出たという。

医療業界はなぜサイバー被害に遭うのか？　5つの欠陥から原因を分析

　Fortifiedの報告書では、米国国立標準技術研究所（NIST）のフレームワークの中で、医療機関において改善が見られた項目と、依然として深刻なリスクとなっている項目の両方が示された。

　報告書のデータは、病院などの医療機関が依然としてランサムウェア犯罪者の主要な標的となっている理由を知る手掛かりとなっている。

　医療機関が最大のサイバーリスクを特定し、解決しようと取り組む中、Fortifiedの報告書は、はじめに着手すべきポイントを示した。

　報告書によると、医療機関における5つの主なセキュリティ上の欠陥は以下の通りだ。

1. リスク管理における統一された戦略の欠如
2. サプライチェーンにおける脆弱（ぜいじゃく）性への対応の甘さ
3. レガシーシステムの維持よりも新しい技術の導入に偏った姿勢
4. 不完全な資産管理
5. 従業員に対する教育の不足

　近年の大規模なサイバー攻撃は、これらのリスクがどのように関連しているかを浮き彫りにしている。特に深刻なのはサプライチェーン管理の甘さだ。病院や薬局、専門医療施設などが密接に連携する医療エコシステムではサプライチェーンの問題の影響が大きくなる。

　2024年に発生したChange Healthcareの情報漏えいのインシデントは、医療業界全体が少数のベンダーに依存している現実を浮き彫りにした。それらのベンダーは認知度こそ高くないものの、同業界で広く使われる技術を提供している。また、古くなった資産管理台帳がこれらの脆弱性をさらに悪化させ、サプライチェーン攻撃による被害の修復を困難にしている。多くの場合、攻撃は新製品の導入の陰で放置されてきたレガシー技術を標的にしている。

　古いシステムのセキュリティ対策は医療機関にとって依然として継続的な課題となっているが、Fortifiedの調査により、過去1年間で最も改善が進んだのも同じ分野だったことが分かった。次いで改善が見られたのは、復旧プロセスや対応計画、インシデント後の情報共有、脅威分析の成熟度の領域だった。

　改善が見られた他の分野としては、経営層の関与やリスク評価の成熟度、ID管理などが挙げられる。特にID管理は重要だ。それは、盗まれた認証情報や偽造された認証情報が、多くのサイバー攻撃における起点となっているためだ。

　Fortifiedの広報担当者によると、このたびの報告書は、2023年〜2025年6月にあった顧客対応の内容に基づいて作成されたもので、インシデント対応やサイバーセキュリティフレームワークに基づくセキュリティスコアなどの情報が含まれているという。顧客は全て米国の医療機関であり、地方の地域病院から大規模な大学付属医療センター、統合型医療提供ネットワークまで幅広いと説明されている。

（注1）2025 MID-YEAR HORIZON REPORT（Fortified Health Security）

原文へのリンク