米国病院協会とH-ISACがSolarWinds対策文書を公表 ブックマークが追加されました
最新動向/市場予測
米国病院協会とH-ISACがSolarWinds対策文書を公表
【第131号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2021年4月12日、米国病院協会(AHA)は、医療情報共有・分析センター(H-ISAC)と共同で、「戦略的脅威インテリジェンス:次の"SolarWinds"イベントのための準備」と題するホワイトペーパーを公表しました。この文書では、医療機関の経営層を対象として、SolarWindsインシデントに関する分析および今後の対策上の留意点などを整理しています。
第131号 2021.5.11公開
SolarWindsインシデントは2020年12月半ばに拡大しましたが、エンタープライズネットワークに潜む継続的なリスクを想起させるものとなっています。SolarWindsが提供するOrionプラットフォームは、管理する資産に対する特権ユーザーアクセスによって稼働するため、SolarWindsに侵害が発生すると、エンタープライズ資産が、敵によって簡単に危険に晒される可能性があることを意味しています。不必要なリスクが、エンタープライズネットワークに導入されないことを保証するために、展開の前、途中、後に、サプライチェーンへの依存性と固有の信頼性モデルを注意深くレビューする必要があるとしています。
そして、経営層は、組織のリスク管理全体に責任を負うため、技術専門家に対して、データおよび機微な情報へのアクセスなど、ITインフラストラクチャへの幅広いアクセスを提供する最新および既存の技術について適格な質問を行う必要があるとしています。
そのほか、本文書では、以下のような留意点を挙げています。
- 特権ユーザーによるアクセスの最小化、ネットワーク・セグメンテーション、継続的モニタリングなど、情報セキュリティ原則は、エンタープライズ管理システムの導入・生成中、リスクを最小化するために利用されるべきである。
- すべてのITシステムの動的な在庫管理プロセスを設定・維持して、適切な監査およびコントロールのプロセスを導入する。
- モニタリングでは、ノーマルなネットワークトラフィックのベースラインを設定し、潜在的課題のために、そのベースラインの外側にある例外を探すことが含まれる必要がある。
- リスク管理プロセスの一環として、自らの環境にある機微データのタイプや、それが顧客や患者、自組織の戦略的優先度や知的財産に関わっている点を理解しておく。
- 万一ネットワークが侵害に遭った時、法的/規制リスクに対する暴露など、侵害の暴露の可能性を理解するために、最新のデータの在庫を持っておく。
- 脆弱性が発覚した時、リスクを評価できるように、利用しているベンダー/サードパーティ・サプライヤーを理解しておく。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・SolarWindsのように、汎用的に使われる製品の脆弱性に起因するインシデトが発生すると、部門や組織の枠を越えた問題に拡大する可能性が高い。医療機関の経営層は、運営・管理系部門および医療専門職系部門双方をカバーする組織全体のセキュリティリスク管理態勢を整備し、SOC(セキュリティオペレーションセンター)やCERT(コンピューター緊急対応チーム)、外部の情報共有分析組織(ISAO)と連携しながら、インシデント対応時の優先順位付けを行っておく必要がある。
医療機器メーカー/医療品メーカー
・医療機器メーカー/製薬メーカーと医療機関を結ぶサプライチェーンを支えるITインフラストラクチャにも、SolarWindsのような汎用製品は多く使われている。サイバーサプライチェーン・リスクマネジメントの観点から、自社のSOCやCERTとサプライチェーンに関わる業務部門との間で、セキュリティに関する啓発や情報共有活動を強化しておく必要がある。
サプライヤー
・医療機関のITインフラストラクチャに関わるサプライヤーは、SolarWindsのような汎用製品に脆弱性が発覚した時、迅速にリスク評価し、ステークホルダーに可視化できるような仕組みの構築を検討しておくべきである。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。