【医療セキュリティ】ネットワークをセグメント化する医療機関が増えないのはなぜか
今年7月から当社では技術提携をしているイスラエル企業のブログを紹介しています。
第6回目となる今回は当社の「医療機関向けセキュリティリスクマネジメントサービス」で技術提携をしているMEDIGATE社のブログ『ネットワークをセグメント化する医療機関が増えないのはなぜか』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
【医療現場のサイバーセキュリティ】ネットワークをセグメント化する医療機関が増えないのはなぜか
SIMEON UTUBOR@Medigate Corporation | 2019年12月16日
「プランニング」を卒業し、「実行」に移すには
セキュリティ上の問題が発生してもネットワーク全体に影響を及ぼさないようにネットワークを分割する「セグメント化」という手法があります。ウイルス感染や情報漏洩が疑われる場合や医療機器の可用性を脅かす攻撃を受けた場合など、セグメント化しておくと影響範囲が限定的となり被害を最小化する事が出来ます。しかし、このセグメント化を実施しているか質問すると、多くの医療機関はこう回答します。「セグメント化に向けた対応を始めている」もしくは「間もなく細かなセグメント化を実装予定」と。6カ月後にまた進捗状況を尋ねても、おそらく同じ答えが返ってくるでしょう。
セグメント化に関して、組織が常に計画段階に留まり、実行に移せないのはなぜでしょう?
何が実行の障壁となっているのでしょう?
答えは簡単です - 可視性の欠如です。
多くの医療機関では、ネットワーク上にどんな機器があるのかを把握できていません。つまり、ネットワークに接続している機器を洗い出して、監視を続けることすら難しく、ネットワークを効果的にセグメント化することはさらにハードルが高いのです。そのため、セグメント化することがベストプラクティスであること、セキュリティとコンプライアンスの両面で重要な対策であることは広く認識されているにもかかわらず、いざ実施するとなると、多くの医療機関で遅れが出ているのが現状です。
プランニングの無限ループから脱して、セグメント化を推進させる方法があります。
まずは可視化から
ネットワーク上にあるものを理解して初めて、セキュリティ対策を講じることができます。残念ながら、可視化を提供しているソリューションの多くは、必要とされる情報を十分に提供できているとは言いがたいのが現状です。ネットワーク上にある機器の概要は提供できますが、より詳細な情報となると提供できていません。正確に何が接続されているか(製造元はどこか、輸液ポンプなのか監視カメラなのかなど)が特定できないと、これらの機器をどう保護すべきか、実効性のある判断を下すことは困難です。結果として、セキュリティ観点からは程遠い、物理的な(施設内にあるフロアごと、棟ごとなど)セグメト化を進めてしまいます。これでは、本当の意味でのネットワーク・セキュリティ対策とは言えません。
機器の種類や機能に基づいて、ネットワークをセグメント化するには、次の情報が必要です:
- 製造元とモデル
- 使用するOS
- 内蔵ソフトウェア
- 通信プロトコル
- 正確な位置
ネットワークに接続するすべての機器の包括的、かつ詳細なインベントリ管理がリアルタイムで行われると、どのようにセグメント化するのが最善か、実際のデータに基づいた意思決定を下すことができます。MRI、空調設備、輸液ポンプなどの機能別、または機器のリスクレベル別に、使用するソフトウェアやそれに含まれるデータに基づいて機器を分類し、脅威を軽減または隔離すべく対策を講じます。
セグメント化はそれほど難しくない
ネットワーク上のすべての機器を包括的に把握・管理することができて初めて、直面している脅威を事前に緩和して隔離するセグメント化ポリシーの策定を始めることができます。臨床チーム、ITチーム、セキュリティチームは、組織全体で最適なポリシーを策定し、実行できます。
通常、セグメント化は、ネットワークエンジニアやセキュリティアドバイザーによって行われますが、ネットワーク周りの知見はあっても、守るべき医療機器が実際の運用の中でどのように連携しているかは深く理解されていません。ネットワークをセグメント化するために、AAA、PKI、エンドポイント管理、機器区分などが用いられますが、非常に複雑な構成であり、頻繁に変更が加わる院内ネットワークの管理と保守は、想像以上に難解です。この問題に対処する手段としてオーバーレイネットワークの使用も検討されていますが、こうした技術の多くは実証段階になく、対応できる規模にも懸念があります。
必要なのは、ネットワーク上の機器が実際の運用の中でどのように連携しているのかという知見に基づいたセグメント化を純粋に推進することであり、複雑に組み合わせたテクノロジーやオーバーレイネットワークは必要ありません。
医療機関向けセキュリティリスクマネジメントサービス
SOMPOリスクマネジメントが提供する「医療機関向けセキュリティリスクマネジメントサービス」では、海外で数多くの実績を持つイスラエルの医療サイバーセキュリティ専門企業Medigate Tech Ltd.のプラットフォームを活用し、セグメント化の導入を容易にするためにネットワークに接続するすべての機器を可視化し、監視し、フィンガープリントを収集します。洗練されたネットワークの分析機能を活用してそれぞれの機器を包括的にインベントリ管理し、そのリスクレベルを評価します。これにより、臨床チーム、ITチーム、セキュリティチームは、接続されている機器、その場所、およびそれぞれに関連する情報(製造元、ソフトウェアバージョン、プロトコルなど)を把握することができます。
その後、既存のセキュリティ製品と連携し、セキュリティとコンプライアンスの要項を遵守するのに役に立つ、セグメント化のポリシーを実装できるようにします。機器の種類や機能、ベストプラクティスに基づいて事前に定義したセグメント化を適用し、リスクを軽減します。
MEDIGATE社のリサーチチームがもつ医療機器の専門知識に基づくワークフローにより、通信することが正常とみなされた機器間の通信を許可し、通信が不要な機器間の通信はブロックします。これらのポリシーは、組織で既に運用しているネットワークアクセスコントロール(NAC)ソリューションまたはファイアウォールと連携させることで、MEDIGATE社から連携したポリシーに基づいて通信を制御するように設定することができます。
多くの組織が計画止まりとなっている「セグメント化」の前提となるのは、可視化です。「医療機関向けセキュリティリスクマネジメントサービス」で院内ネットワーク上にどんな機器が接続されているのかを把握するところから始めてみませんか?
当社がMEDIGATE社と技術提携して提供している「医療機関向けセキュリティリスクマネジメントサービス」の詳細はこちらまでお問い合わせください。
