政府のサイバーセキュリティ規制の枠組みがヘルスケア業界などに拡大

注：本記事は(2024年3月6日)に公開された(Government’s Cybersecurity Regulatory Framework Expands to Healthcare and Other Industries )を機械翻訳により公開したものです。

サイバー攻撃は、特にヘルスケアなどの実際の重要なサービスを狂わせることで大きな被害をもたらします。特に厄介な攻撃分野はランサムウェアです。2022年には、米国の病院の66%がランサムウェア攻撃の標的となり、2021年から約50%増加しました。また、289の病院でランサムウェア攻撃インシデントが発生しました。ランサムウェアインシデントのうち、医療機関が身代金を支払ったのは約61%で、これはどの業界でも最も高い割合です。2023年、この傾向は驚異的な速度で続き、医療機関に対するランサムウェア攻撃は317件以上にのぼりました。今では、ランサムウェア攻撃によって救急車を迂回させたり、選択的な手順をキャンセルしたりすることが、病院のニューノーマルになっていますすべての市民は潜在的な患者であり、今ではすべての患者がこのジレンマと格闘しています。  

連邦政府は、病院に対して独自のサイバーセキュリティブループリントに従うよう強制するべきでしょうか？米国は2023年初めに「国家サイバーセキュリティ戦略」を発表しており、同戦略の実施計画に重点的に取り組んでいます。この戦略において、バイデン政権は「個人データを収集、使用、転送、維持する能力を堅牢かつ明確に制限し、地理情報や健康情報などの機密データに対する強力な保護を提供するための立法的取り組み」への支持を表明した。 

昨今のサイバーセキュリティの脅威の高まりを受け、連邦政府のメディケアおよびメディケイド基金の受給資格を維持したい場合、病院で多要素認証を使用し、脆弱性にタイムリーにパッチを当てることを求める提案を検討しています。経営幹部は、このようなアプローチがサイバーセキュリティインシデントを軽減するカギになると考えています。2024年末までに新しい規制が課されるため、そのような資金調達が組織レベルで与える影響はコンプライアンスに左右されます。米国病院協会は最近、昨年病院を襲ったサイバー インシデントの多くはサードパーティ サプライヤーによるものであるため、ヘルスケア業界は病院に求められる要件と戦う可能性が高いと指摘しました。

有力な課題は、より影響力のあるセキュリティ対策を優先するのではなく、規制を順守していることを実証することに偏りがあることです。たとえば、米国の規制状況は、国家安全保障機関、文民の連邦機関、州、地方自治体ではまったく異なります。また、ヘルスケアなどの業界のデフォルトの国際的な事業の性質にかかわらず、コンプライアンスの状況と関連プロセスは国によって大きく異なります。 

時が経つにつれ、サイバーセキュリティを管理する規制の枠組みはますます複雑になり、さまざまな管轄区域や業界セクターがさまざまな基準や要件を採用しています。代表的な例：米国国立標準技術研究所（National Institute of Standards and Technology Cybersecurity Framework）が現在の自主的なステータスを超えることは、近い将来には考えられません。その結果、本物のサイバーセキュリティを実現し、進化する脅威から自社を最も安全に保護するという目標が、規制要件を満たすという必要に迫られるという好ましくない状況に陥っています。 

時間とリソースが限られている組織は何に注力すべきか？連邦政府がサイバーセキュリティのブループリントを義務付けていることを考えると、この不協和音が存在する理由と、官民の調和を実現するために何ができるかを検討する価値があります。

米国会計検査院（GAO）によると、2021年には米国連邦省庁により32,000件もの情報セキュリティインシデントが報告されました。官公庁・公的機関のサイバーセキュリティに関する調査によると、政府機関に対するサイバーセキュリティの半数以上がハッカーによるもので、次に脅威とされるのは内部者による人的ミスです。 

米国連邦省庁にとって、調査と修正能力を向上させ、公共と民間との情報共有への垣根を取り除くことが喫緊の課題です。州政府や地方自治体内では、行動はさまざまです。ニューヨークやテキサスなどいくつかの州では、サイバー担当上級役員を任命しています。州のリーダーは、「新たな脅威に対抗するためにサイバーセキュリティインフラストラクチャを変革するための、国をリードする積極的なアプローチ」を採用しています。

残念ながら、このようなセキュリティインシデントのコストは、多くの場合、ヘルスケア患者などのエンドユーザーが負担します。市場では、官公庁・公的機関がサイバーセキュリティ対策を強化するためのインセンティブが十分に得られていません。多くの場合、サイバーセキュリティの取り組みを改善するために必要なリソースは、他の優先事項に後れをとっています。従来型のログアーキテクチャとデータサイロにより、これらの脅威アクターを効率的に検知、特定、防御することは困難です。  

2022年には、セキュリティ侵害を検出して阻止するまでの平均時間は277日という驚異的なものでした。これは役員会のモチベーションになるはずです。CISO Magazineがレポートしたように、2024年までにサイバー物理システム攻撃による財務的影響の責任はCEOの75%に及ぶと予測されています。市民や企業への被害を軽減するには、セキュリティに対応したデータ戦略が不可欠です。

多くの官公庁・公的機関とそのパートナーは、サイバーセキュリティインシデントレポートを中央機関（サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA）など）やそれぞれのシステムに提供する義務があります。それが達成されない一般的な理由は、データストレージに関連するコストと予算圧力です。 

しかし、これらの課題を克服できれば、組織はシングル・ソース・オブ・トゥルース（信頼できる唯一の情報源）からセキュリティデータにアクセスしてクエリを実行し、脅威から効果的に保護できるようになります。最近のサイバーインシデントを受けて、ホワイトハウスは国家のサイバーセキュリティの改善に関する大統領令（EO）を発布しました。このEOと関連する覚書は、ポリシーを定義するだけでなく、連邦政府がサイバーインシデントを効率的に調査し修正するために必要な主要な原則も示しています。  

典型的なネットワーク環境には、テレメトリを収集、提供する複数のツールがあります。以前はルーター、スイッチ、ファイアウォールなどのネットワーキングデバイスに限られていました。しかし現在では、プロセスの実行、ファイルやレジストリの変更、その他のユーザー行動レベルの情報を収集するエンドポイント検出ツールにアクセスできるようになっています。アプリケーションログは、開発者にアプリケーションの健全性とパフォーマンスに関するインサイトを提供し、クラウドサービスプロバイダーのログは、セキュリティチームがクラウドのセキュリティコントロールを監査、監視、適用することを可能にします。

サイバーセキュリティの脅威と脆弱性がエスカレートしているこの時代において、組織内とエコシステム全体の調和が極めて重要になっています。企業は、商用組織や公共機関から得たインサイトを活用し、データドリブンなベストプラクティスを促進することで、集団的なセキュリティ体制を強化できます。コラボレーションと能動的な教育を通じて、新たな脅威に対する統一戦線を築きやすくなり、レジリエントで安全なサイバー環境が実現します。 

必要な変更は次の3つの領域に分類できます。

• 「国家サイバーセキュリティ戦略」で提唱されている、重要なインフラストラクチャーを保護するためのセキュリティ原則の形成と推進に役立つインサイトと専門知識を提供する。
• セキュリティ組織に対し、さまざまな役割のステークホルダーが効率的にセキュリティ体制を強化できるよう支援するデータドリブン型セキュリティのベストプラクティスを教育する。
• 脅威インテリジェンスを民主化し、官公庁・公的機関全体でログ保持を拡大。2023年5月、ACSC(Advanced Cyber Security Center)のイベントで、Rob Knake氏(元ホワイトハウス主席国家サイバー担当副ディレクター)は、業界固有の規制が来ることを伝え、金融セクターで必要かつ有益な基準を高めることを目指すと説明しました。 

重要なインフラストラクチャの防御を強化するために必要なセキュリティツールと知識を身に付けた組織は、単なる組織のコンプライアンスではなく本物のセキュリティを優先する、より統合された効果的なサイバーセキュリティアプローチを育成できます。

サイバーセキュリティのためのSnowflakeの詳細をご覧ください。