【医療セキュリティ】サイバーハイジーン 理想的な脆弱性管理とは
当社では技術提携をしているイスラエル企業のブログを紹介しています。
今回は当社の「医療機関向けセキュリティリスクマネジメントサービス」で技術提携をしているMedigate社のブログ『サイバーハイジーン 理想的な脆弱性管理とは』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
サイバーハイジーン 理想的な脆弱性管理とは
Offir Levy@Medigate | 2020年9月25日
“The devil is in the details” (悪魔は細部に宿る=細かいところに思わぬ落とし穴が潜んでいる)という諺が英語にはありますが、その通りだと思います。多くのことに当てはまる諺ですが、特にサイバーセキュリティの世界では尚更ではないでしょうか。
医療現場でネットワークに接続している機器を保護しようとするとき、それらが存在することを知るだけでは充分とは言えません。機器の種類(製造元や機種など)、何が使われているか(内蔵されているアプリのバージョン情報やハードウェアなど)、そして、その実際の動作(接続先や接続頻度など)を正確に把握する必要があります。
その存在を知ることと、何がそれを動かしていて、想定される動作が何なのかを正確に知ることには大きな違いがあるのです。
もちろん、こうした情報の把握は容易なことではありませんが、それだけの価値があります。ネットワーク上のすべての機器のコンテキストを正確に把握するには、多くの時間と努力を要します。Medigateのリサーチチームは、医療システムのネットワークに接続されているすべての医療機器、およびIoT機器を分析し、それらが何なのか、どのような動作をするのかを正確に把握するために何年も費やしてきました。しかし、世界最大級の医療機器に特化したデータベースを構築した今、これをどう活用していくのか、患者データと機器の安全な運用のために医療現場は何をすべきなのか、皆さんと少しここで共有したいと思います。
サイバーハイジーンへの第一歩 可視化
Medigateがもたらす機器の可視性は、医療機関の運営をあらゆる側面から支援し、より効率的、かつ効果的な運用をサポートするものであり、サイバーハイジーン対策としては非常に有効です。医療現場におけるサイバーハイジーンとは、今まで管理が行き届いていなかったネットワーク上の医療機器によって生じる可能性のあるサイバーセキュリティ上のリスクを検知、評価し、管理することから始まります。WHO(世界保健機関)は「ハイジーン(衛生)とは、健康を維持し、疾病の蔓延を防止するのに役立つ状態と慣行を指す」と述べています。そのため、医療機関におけるサイバーハイジーンとは、ネットワークのプライバシーと完全性を維持しつつも、攻撃の拡大を防止するのに役立つ方法とメカニズムのことを指します。
優れたサイバーハイジーンを確立するために必要なこととは
優れたサイバーハイジーンを確立し、維持していくために使用される基礎的な実践の1つは、脆弱性の継続的な管理です。これを実現するには、次のことが必要です:
◆さまざまなエクスプロイトに対してどの機器が脆弱であるかを正確に把握します。これにより、どの機器が脆弱性のあるソフトウェアを内蔵しているか、使用しているか、接続しているかを特定できるようになります。
◆どういった脆弱性が存在し、リスクが高い脆弱性はどれなのか、また、その脆弱性に対し、どの機器が最もリスクが高いのか、その機器を保護するために何をすべきかを把握します。これには、異なる種類の可視性(動的にリスクを評価し、重要度スコアを割り当てることができるもの)が必要です。これにより、リソースの優先順位を明確化し、脅威に対処するためのアクションを効率的に取ることが可能になります。
◆医療機器のシグネチャと脆弱性管理を統合させることによって、不足している情報の穴埋めを行い、スキャンに必要な環境やプロセスを整えることができます。医療機器の全ての構成要素(承認されているパッチの可用性やアップデート、機器の状況や準備態勢、セキュリティ態勢など)を含む正確なフィンガープリントを把握できていれば、脆弱性管理をより効果的かつ安全に実行することができます。セキュリティスキャンが患者に対する治療提供を妨げることなく、影響の大きい脆弱性から順に対応することができるのです。該当機器の利用状況も把握した上で、最適なパッチの適応時間などを計画することもできます。
実践に基づいたサイバーハイジーン
実際に実践現場ではどういう状況なのかを理解するために、Rapid7の脆弱性管理テクニカルアドバイザーであるJustin Price氏と話し合いの場を設けました。医療現場のネットワークの可視性をより効果的な脆弱性管理の実践につなげる方法が気になる方は、ウェビナー「Clinical Cyber Hygiene: Exploring the Integrated Power of Rapid7 and Medigate(医療機関のサイバーハイジーン:Rapid7とMedigateの連携から生まれる可能性とは」(英語配信)を是非視聴してみて下さい。このウェビナーでは以下のトピックに関して協議しています:
*医療機関のネットワークにおける様々な要求に対応できる脆弱性管理のベストプラクティス
*Medigate-Rapid7のインテグレーションの仕組み
*Medigateが提供する可視性
*Rapid7の自動化機能
*インテグレーションを活用して、脆弱性を管理し、より安全なクリニカルネットワークを確保する方法
優れたサイバーハイジーンを確立し、維持するための脆弱性管理に必要な情報を提供しています。
医療機関向けセキュリティリスクマネジメントサービス
SOMPO CYBER SECURITYではMEDIGATE社と技術提携し「医療機関向けセキュリティリスクマネジメントサービス」を提供しています。医療機器のサイバーセキュリティ対策や資産管理の改善、効率化によるROIの改善について興味のある方はこちらまでお問い合わせください。
