Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

医療記録の保護:米国の認定基準の調査

Tenable Researchは、米国医療業界におけるEHRアプリケーションの準拠基準を調査した結果、これらの基準の適用範囲におけるセキュリティギャップを発見しました。 ここでは、潜在的なセキュリティへの影響を示すために具体的な例を挙げて説明します。

政治と法律はさておき、米国の医療業界が混乱していることは周知されています。病院ネットワークや小規模な診療所が、古くて脆弱なソフトウェアを実行しているという事実も、よく知られています。医療業界では、恐ろしいことに医療機器ベンダー間で「スマートなモノ」が流行っています。ペースメーカーマルウェアインスリンポンプの侵害大規模な侵害 、ランサムウェア攻撃など、医療業界のあらゆる側面には、消費者やエンドユーザーに対する明確かつ直接的な深刻な問題があります。

大規模な侵害が頻繁に発生しているため、ほとんどの人のログイン認証情報個人情報クレジット情報などのデータはすでに盗まれていることが一般的に認められています。この種のプライバシー侵害は、私たち全員が対処しなければならないというのが現状です。医療業界は、おそらくこの影響を受けている最も注目すべき業界の1つであり、これらの侵害にはユーザー名やクレジットカード番号だけでなく、個人の健康情報も含まれています。これらの侵害は、農村部の郊外の小さな診療所から大都市圏の大きな病院まで、あらゆる規模の医療機関で起こっています。これらの侵害は報道機関で大きく取り上げられますが、攻撃ベクトルの分析など表面的な分析しか報告されません。つまり、攻撃者がこれらの医療関連のアプリケーションをどのように侵害しているかについての詳細がすべて開示されることはめったにありません。ここでは、これらの脆弱性を詳しく見てみたいと思います。

基準の設定

電子健康記録または電子医療記録(EHR / EMR)は、患者の病歴のデジタル記録です。これらの記録を管理するアプリケーションは通常、処方内容の伝達、予約、医用撮像装置用インターフェース、支払いおよび保険情報の処理や他の様々な診療管理機能などの他の目的にも使用されます。過去10年間に医師を訪問したことがある人なら誰でも、こうした種類のアプリケーションを1つ以上見たことがあるはずです。

よく知られていないのは、これらのアプリケーションを管理する認定基準です 。* 簡単に説明すると、 2009年に米国政府は、認定された医療アプリケーションの使用を開業医に奨励することを決定しました。これは、「有益な活用」および「医療の質 」を測定するために業界全体における患者の医療記録の相互運用可能および標準化されたメトリックを提供するためです。これらの基準は定期的に見直され、再評価されていますが、現在でも2009年とほぼ同じ形で存在しています。医療行為にはまだある程度の選択の自由がありますが、インセンティブボーナスを受け取るために認証された製品が継続的に選択されることが多くあります。

PCIのような他の準拠基準と同様に、より多くの承認の得る方法を考え出すことが重要になります。これらの認証は明らかに完璧ではありませんが、最小限の基本レベルのコンプライアンスを保証するために必要です。医療関連のソフトウェアとEHR認証の検証に関与する経験があるセキュリティ専門家として、私は主に患者情報のセキュリティとプライバシーに関する認証基準に関心があります。HIPAAは、患者情報の伝達を保護することを目的とした包括的なポリシーで明らかに関連しますが、この立法についてはここでは触れません。

米国保健福祉省国家医療IT調整室(ONC Health IT)の認証規格では、セキュリティやプライバシー関連の課題に対する基準は少数です。その大半は、170.315 (d)に記載されています。一般的に、ここに記載されている基準には、ユーザー認証、ユーザー権限、監査ログ、第三者への安全な送信、およびその他の基本的なセキュリティ機能が含まれています。 これらの基準は大半正当であり、適切なハッシュアルゴリズムと安全なトランスポートプロトコルの主な情報源としてNISTを挙げていますが、それらは曖昧で試験の方法論に欠陥があります。

例として170.315 (d)(1)を見てみましょう。この基準は、EHRがユーザー間でさまざまな権限のセットを使用して個々のログインを許可することを保証するために存在します。例えば、フロントデスクのスタッフは、予約を入れて、来院の概要を印刷することしかできません。 看護師は処方箋を見ることはできますが、新しい薬剤を処方することはできません。 医者はおそらく全範囲の特権を持っています。これはこの種のアプリケーションに期待される機能ですが、認証規格の他のどの基準もこれらのユーザー/特権を管理または保存する方法を指定していません。許容されるハッシュアルゴリズムや安全な転送プロトコルを管理する標準や基準は存在しますが、それらはこの基準には適用されません。認証基準のいたるところに、あいまいな説明と誤った要件があり、ベンダーや開発者はミスしたり、肝心なところで手を抜いてしまう可能性があります。そのため、多くのアプリケーションでは、ほぼすべての認証基準を満たしている場合でも、大きなセキュリティギャップやセキュリティホールがあります。

基準に準拠していてもセキュリティギャップはある

ここでは、医療分野で行われた最近の脆弱性調査をいくつか紹介します。今年の8月、Project InsecurityはOpenEMRを調査しました。その調査結果には、単純なSQLインジェクションからリモートコード実行までアプリケーション内の20を超える脆弱性の詳細が記載されています。これらの脆弱性は、何十万もの患者記録の侵害につながる可能性があります。

さらに最近では、Tenableは、 歯科専門家向けの別の一般的なオープンソース医療アプリケーション、Open Dentalに多数の脆弱性があることを明らかにしました。Open Dental Softwareは、その製品ホームページに「ONC Certified HIT」のバッジを掲載しています。同社の公認と試験結果は HealthIT.govに掲載されています。 認定基準のセクションで見られるように、Open Dentalは、プライバシーと患者データのセキュリティに関する基準を含む、認証に必要な基準を実際に満たしています。最新の評価は2018年10月31日に実施されました。

Tenable Researchアドバイザリは、この特定のアプリケーションでは認証基準に明らかなセキュリティギャップがあることを指摘しています。Open Dentalは、ユーザータイプに応じてさまざまな権限を持つ個別の認証および承認メカニズムを実装していますが、アプリケーションにはこの情報を安全に送信するための機能が搭載されていません。パラメータ化されたクエリは使用されていないため、アプリケーションへのアクセスが許可されると攻撃者はリクエストを変更することができます。これらの攻撃には何らかのローカルネットワークアクセスが必要ですが、攻撃自体は比較的簡単です。さらに、アプリケーションの基本設計(他の多くのEHRシステムで見られる設計に似ている)では、サーバー側とクライアント側の両方のロジックがすべて1つのパッケージに収められています。医師や看護師がコンピュータをロックせずに、患者を一人にしたまま診察室を離れることは、誰もがよく目にすることだと思います。

Tenableはベンダー、開発者、医療専門家、立法者、または他の医療分野に関係する人を非難しているわけではありません。実際、Open Dentalに対する歯科学界の受け入れは称賛に値するものです。開示プロセスは複雑でしたが、同社のコミュニティフォーラム、ブログ、および公開された課題追跡システムを覗いてみると、同社がユーザーとコミュニティを気にかけていることは明らかです。可動部品が非常に多いので、これらの欠陥が存在することは驚くべきことではありません。特定の基準に準拠した製品を使用するように促進しない限り、より多くの問題がある安価のオプションが使用される可能性があります。認定を取得することに関心がないと、ベンダーや開発者は勝手に機能を実装したり、リスクを受け入れるかもしれません。また、基準の必要性を強調するポリシーがないと、医療機関は、別の医療機関に転送できない手順コードや診断コードを使用してしまうかもしれません。

意識を高める

まとめると、1つの組織を非難しても、この業界で発生している問題は解決しません。実際、これらの小規模なEHR企業の多くはセキュリティ業界からかけ離れているため、これらの欠陥をまったく問題視していない可能性があります。この記事には、新しいもの、革新的なもの、革新的なものは何も提供されていません。データ漏えい、侵害、ランサムウェア攻撃、その他の深刻な事件などでは、これらの同じ古い問題が繰り返し発生しています。医療業界では、新しい技術を採用するのに常に時間がかかり、政府の規制や法律はさらに遅れをとっています。これらの問題を認識している部外者として、時間のかかる官僚的なプロセスは耐え難く感じられます。私の考えでは、セキュリティ専門家がこの分野で変化をもたらすための最善の方法は、これらのアプリケーションを調査し、適切なベンダーと調整して調査結果の開示することです。ベンダーにこれらの欠陥を指摘することにより、これらの問題を認識し、よりポジティブな方向に業界を後押しすることができます。

医療業界では、試験するソフトウェアとデバイスのコストと入手可能性のため、セキュリティ研究者にとって参入障壁が高くなります。試験は潜在的な顧客に限定されており、オープンソースの選択肢はほとんどありません。TenableのZero Day Researchチームは、医療関連製品(ハードウェアとソフトウェア)を定期的にレビューする継続的なイニシアチブを取っています。医療製品を利用されていて、リソースまたは情報を共有することが可能であれば、コラボレーションに関するお問い合わせを[email protected]までお寄せください。

* この記事では主に、米国における基準と課題を取り上げています。他の国や地域でも同様の課題が発生する可能性がありますが、規制が異なる場合があります。

Tenableブログを購読する

購読する
無料でお試し 今すぐ購入

Tenable.io を試す

60 日間無料

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡することができます。 今すぐご登録ください。60秒以内の最初のスキャンを実行できます。

Tenable.io を購入

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

65 資産

$2,190.00

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、今日の市場で最も包括的な脆弱性スキャナです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルの時間を短縮化するため、ITチームに専念できます。

Nessus Professional を購入する

Nessus®は、今日の市場で最も包括的な脆弱性スキャナです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルの時間を短縮化するため、ITチームに専念できます。

複数年ライセンスを購入して節約しましょう

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningをお試しください

60 日間無料

Tenable.ioプラットフォームの一部として、現代のアプリケーション用に設計された最新のWebアプリケーションスキャンサービスに完全にアクセスできます。手作業による手間や重大なWebアプリケーションの中断をせずに、脆弱性のオンラインポートフォリオを安全に高精度で安全にスキャンします。 今すぐお申し込みください。60秒以内に最初のスキャンを実行できます。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

5 FQDNs

$3,578.00

今すぐ購入

無料でお試しください セールスにご連絡ください

Tenable.io Container Securityを試す

60 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品への完全なアクセスをお楽しみください。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視します。継続的インテグレーションと継続的デプロイメント(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスとの統合により、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについて