Exposure management for the healthcare industry

サイバーエクスポージャー管理とは、組織の最も緊急性の高いサイバーエクスポージャーを継続的に特定、文脈化、優先順位付け、および閉鎖することによって、サイバーリスクを軽減するように設計された、プロアクティブなセキュリティへの戦略的アプローチです。医療機関は、パッチが適用されていない医療機器、クラウドの設定ミス、アイデンティティの弱点など、医療データ漏洩やランサムウェア攻撃につながり、重要な医療の提供が中断されるような、極めて有害なリスクの組み合わせに直面することがよくあります。

エクスポージャー管理と脆弱性管理を比較した場合、その主な違いは、脆弱性管理では個々のリスク検出結果に焦点を当てるのに対し、エクスポージャー管理ではビジネスに影響を与えるサイバーエクスポージャーに焦点を当てる点にあります。

脆弱性管理は、個々の脆弱性を評価、ランク付け、修正するものであり、多くの場合、CVSS のような業界標準のスコアリングを利用して優先順位付けを行います。 このアプローチには、攻撃者の視点、つまり資産、アイデンティティ、リスクの関係がどのように組み合わさって、臨床サービスを中断させたり、患者データを盗んだり、ランサムウェア攻撃を仕掛けたりといった目的を達成するのかという点についての理解が欠如しています。

対照的に、エクスポージャー管理は、脆弱性、設定ミス、権限という、攻撃者が悪用する 3 つの主要なリスクをすべて対象とし、アタックサーフェス全体を見渡します。 侵害された場合に患者の安全や保護対象の医療情報 (PHI) に影響を与える可能性のあるシステムにつながる悪用可能な攻撃経路をマッピングし、優先順位を付け、大規模な攻撃の連鎖を断ち切るための具体的なガイダンスを提供します。 その結果、抽象的なセキュリティ検出結果を管理するアプローチから、ビジネスに沿った形で組織のエクスポージャーを数値化するアプローチへと根本的に移行できるのです。

遠隔医療、クラウドの電子カルテ (EHR) の採用、医療のモノのインターネット (IoMT) の爆発的な普及により、医療のアタックサーフェスは急速に拡大しています。 こういった状況は、攻撃者が積極的に狙う複雑で分断された環境を生み出します。 攻撃者がネットワークに侵入した時点で脅威を検出することに重点を置く事後対応型の戦略では、組織は無防備な状態に置かれます。 エクスポージャー管理を利用すれば、病院のネットワークを攻撃者の視点で見ることが可能です。 攻撃者が患者データの漏洩や医療サービスの妨害のために悪用しそうな具体的な攻撃経路を事前に明らかにし、攻撃者に悪用される前にこれらの弱点を解消することができます。

エクスポージャー管理は、HIPAA セキュリティルールや HITECH 法など、継続的なリスクアセスメントとデータ保護を要求する厳しい指令に沿ったものです。 組織は、セキュリティ状況を継続的かつリアルタイムに可視化することで、セキュリティフレームワークにマッピングされたエビデンスベースのレポートやダッシュボードを作成することができます。 これにより、監査準備が簡素化され、義務の履行が実証され、コンプライアンスが特定時点のチェックではなく、継続的に安全な状態であることが確認されます。

成熟したエクスポージャー管理対策を実施している医療機関は、通常、サイバーリスクの削減の数値化、業務のレジリエンス向上、患者の保護の信頼度向上を実現しています。 事後対応型の緊急対応活動から事前対応型のレジリエンスに転換することで、セキュリティチームは、何千ものアラートの「ノイズ」を減らし、限られたリソースを患者の安全とデータプライバシーを脅かす少数の重大な問題に集中させることができます。