最新動向/市場予測

米国保健福祉省の業務システム監査で構成管理の不備などを指摘

【第49号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2017年12月7日、米国保健福祉省(HHS)の監察総監室(OIG)は、「2016会計年度HHS業務部門ネットワーク4つのOIGペネトレーションテスト報告書概要」を公表しました。

第49号 2017.12.25公開

2017年12月7日、米国保健福祉省(HHS)の監察総監室(OIG)は、「2016会計年度HHS業務部門ネットワーク4つのOIGペネトレーションテスト報告書概要」を公表しました。

OIGは、4つのHHS業務部門(OPDIVs)を選定し、ネットワークおよびwebアプリケーションのペネトレーションテストを利用して、HHSのシステムがサイバーセキュリティに関してどの程度保護されているかを監査しました。ペネトレーションテストについては、ディフェンスポイントセキュリティ(DPS)に委託しています。

今回の監査は、特定のサイバー攻撃を防止する際に、セキュリティコントロールがどの程度効果的か、攻撃者がシステムまたはデータを危険にさらす必要がある洗練度のレベル、HHS業務部門の攻撃を検知して適切に対応する能力を判断することを目的としています。

監査報告書の中でOIGは、特定のサイバー攻撃をより効率的に検知・防止するためには、4つのHHS業務部門全体に係るセキュリティコントロールを改善する必要があると判断しています。また、ペネトレーションテスト中に、構成管理とアクセスコントロールの脆弱性が特定されたとしています。

なお、OIGは、2016年8月10日、HHS傘下のメディケイド・メディケア・サービスセンター(CMS)のデータセンター設備における無線ネットワークの脆弱性テスト結果を公表しており、その際には、不適切な構成とアップデートの失敗に起因する脆弱性が指摘されています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・監察総監室(OIG)の監査結果および指摘事項は、米国の医療機関のHIPAA監査対応に活用することが可能である。

医療機器・製薬メーカー

・保健福祉省傘下の部門の業務システムとネットワーク接続する医療機器・デジタルヘルス製品/サービスを提供するメーカーにとって、OIGが指摘した構成・変更管理やアクセスコントロールは、セキュリティの重点項目として、リスク評価等に活用することが可能である。

サプライヤー

・保健福祉省傘下の部門の業務システムに製品/サービスを供給するサプライヤー/パートナーは、サイバーサプライチェーンリスクマネジメントの観点から、OIGの監査結果および指摘事項を活用することが可能である。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

 

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

 

 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?