2022年3月30日、米国の医療部門のサイバー対応を改善しようとする法律が、上院国土安全保障委員会によって承認されました。「ヘルスケアサイバーセキュリティ法」として導入されたS.3904は、米国サイバーセキュリティおよびインフラストラクチャ セキュリティエージェンシー(CISA)に対し、「ヘルスケアおよび公衆衛生部門のサイバーセキュリティを改善するために保健社会福祉省と協力すること」を求めています。
このような法律は、サイバーセキュリティについて医療機関を重要なインフラストラクチャプロバイダー(CIP)と見なすことを長年に渡り主張してきたセキュリティ関係者からすると当然と言えるものです。COVID-19のパンデミック中に病院へのランサムウェア攻撃がたびたび発生したことで、サイバーセキュリティの専門家、政策立案者、さらには一般の人々の間で非常に現実的で、生死にかかわるものとして、問題意識が高まりました。
このブログは、Trellixが2022年4月に発表した新たなレポート 『Path to Cyber Readiness – Preparation, Perception and Partnership』に含まれる、過小投資のため遅れをとり、そのレガシーな運用システムのために軽視されている米国の医療サービス業界のサイバー対応に関する調査結果に焦点を当てています。
レポートは、高度なサイバー防衛技術と実施、官民パートナーシップ、さらに最近では重要インフラ提供事業として注目される公的および民間企業等を含む、サイバー対応に関する国家政府のリーダーシップの役割についても評価しています。
サイバーディフェンスの実装状況
米国のCIPの84%が、企業内である程度のEDRおよびXDR機能を「開発、実装、および展開」していますが、これらの回答者の35%のみが完全な機能を展開していると報告しています。ただし、医療サービスでは、完全な実装を達成したと主張しているのは21%にすぎません。
回答者の44%が、新しいサイバー防御の採用に対する最大の障壁として「入札および入札プロセスの課題」を報告し、続いて「実装に関する専門知識の欠如」(42%)、「投資の必要性へのリーダーシップの認識の欠如」(39%)、および社内の人材、信頼できるベンダーパートナー、および予算の不足(30%)となっています。
ソフトウェアサプライチェーンのリスク管理
さらに回答者の83%は、ある程度のソフトウェアサプライチェーンのリスク管理ポリシーとプロセスを実装したと主張しましたが、これらの対策を完全に実装したと報告したのはわずか26%です。これは、米国のCIP全体の37%、地方政府サービスの回答者の31%と同等です。
医療サービスの回答者の92%は、ソフトウェアサプライチェーンのリスク管理ポリシーとプロセスについて、実装が難しいサイバーセキュリティ対策として挙げています。
また、回答者の68%は、サイバーセキュリティ製品自体がどのように開発され、どこで開発されたかについて、慣例的にほとんど監視されていなかったことに強く同意しています。
回答者の83%は、米国連邦政府が政府機関内でより高いソフトウェアサイバーセキュリティ基準を要求した場合、これがソフトウェア業界全体のソフトウェア開発者の基準を引き上げる役割を果たすと考えています。部門回答者の88%は、ソフトウェア開発のサイバーセキュリティ基準は政府によって義務付けられるべきであると考えています。
とはいえ、回答者の51%は、ソフトウェアに関する政府のサイバーセキュリティ基準は複雑すぎて実装できないと考えています。45%は、そのような提案された標準を実装するコストについて懸念しており、約40%は、義務付けられた実装スケジュールの実行可能性についても懸念しています。
COVID-19インパクトとレガシー
回答者の88%は、COVID-19の間にサイバーセキュリティ体制を維持する上で、企業リソースへのリモートアクセスを保護することが、より重要な問題になったと報告しています。
部門回答者の42%は、ハイブリッドリモートワークモデルが永続的であると考えており、34%が経過観察、25%がいずれは元に戻ると考えています。
米国のサイバーセキュリティ安全委員会
医療サービスの回答者の88%は、バイデン政権が提案した米国国家運輸安全委員会と同様に米国サイバーセキュリティ安全委員会の設立を重要視しています。
回答者の61%は、サイバーセキュリティ安全委員会が連邦政府および公共施設と民間施設の両方に焦点を当てるべきであると考えています。これに対して、全体的に対策の重要性が拡大している米国のCIPはわずか48%であり、あまり高いとは言えず対照的です。
米国政府とのパートナーシップ
医療サービスの回答者の81%は、ランサムウェアなどのサイバー犯罪の問題を解決するために協力する中で、米国政府とのパートナーシップに関しては、少なくともある程度の改善の余地があると考えており、35%は、改善の余地が非常に大きいと考えています。
回答者は、米国政府がサイバーセキュリティパートナーとして部門と協力する方法についてさまざまな意見を持っていました。44%がサイバー犯罪の加害者へのより大きな結果を支持し、42%が攻撃の進行中にサイバーインシデント管理に関するより緊密な協力を行うべきだとし、39%がインシデント通知と保護を組み合わせることで、影響を受ける組織、政府パートナー、および業界の聴衆の間で攻撃データの共有を促進するべきだとしています。
回答者の70%は、組織がサイバーインシデントに対応する方法に実際の一貫性はないと考えており、38%は、ベストプラクティスについての連邦政府のガイダンスの改善を支持しています。
この部門のサイバーセキュリティは、何十年にもわたってテクノロジーへの投資不足に悩まされてきました。38%が、このセクターのサイバーセキュリティ改善のための連邦資金の向上を支持しているのは当然のことです。
回答者の79%は、米国政府がそのセクターの組織と共有しているサイバー脅威データには改善の余地があると述べています。
※本ページの内容は2022年4月14日(US時間)更新の以下のTrellix Storiesの内容です。
原文: Cyber Readiness of U.S. Healthcare Services