セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
Segmentation
Trevor Dearing
インダストリーソリューションマーケティングディレクター
Illumio Editorial
2022年3月24日
23分読む

ゼロトラストは今や医療の必須です:HIMSS 2022の要点

米国で記録的な数の医療データ漏洩が報告された年が終わった直後、先週、世界最大の医療カンファレンスである HIMMS が業界にとって極めて重要な時期に開催された。   

ショーの中心には、画像管理から PACS、自動化された患者ワークフロー システムまで、患者ケアの最新の補助装置を展示する、ハイテクで高価値なブースがいつものように並んでいました。システムの相互接続が進み、より多くの場所でそれらのシステムへのアクセスが必要になるにつれて、ヘルスケア市場ではインダストリー 4.0テクノロジへの移行が主流になりつつあります。 

洞窟のようなホールの一端には、医療分野のセキュリティ担当者の中心となるサイバーセキュリティ コマンド センターがあり、最先端のベンダーや最新のセキュリティ トピックとトレンドを調査する教育セッションが行われていました。  

カンファレンスの参加者との会話から、新しいシステムの導入における変化のペースが、サイバーセキュリティに必要な投資に見合っていないことが明らかになりました。  

私たちが最も多く聞いた一般的な課題は次のとおりです。 

  • 新しいテクノロジーの実装のペース
  • 医療機器の保護
  • システム可用性の維持
  • テクノロジーのスプロール化
  • ランサムウェア攻撃

良い面としては、多くのチームが取っている賢明な選択は、 ゼロ トラスト戦略を構築することです。教育シアターでは、ゼロ トラストに関するどのセッションにも多くの参加者が集まりました。 

セキュリティに対するゼロトラストアプローチの優れた点は、あらゆるインフラストラクチャから独立できることであり、新しいテクノロジーを実装するという大きな課題に対処します。主要な資産を特定し、そのシステムを構成するリソースを区画化するプロセスは、それが財務アプリケーションであるかベッドサイドカートであるかに関係なく機能します。同様に、ゼロトラストは場所に依存しないため、保護しているものが病室にあるかクラウドにあるかは関係ありません。

ここでは、医療機関がゼロトラストを簡単に導入し始めるために実行できる簡単な手順をいくつか紹介します。 

  1. 保護する必要があるシステムと資産を特定します。通信が必要なシステムと不要なシステムを識別します。現在のトレンドはハイパーコネクティビティですが、MRI スキャナーが HR システムと直接通信する必要がある可能性は低いです。アプリケーション、データ、医療資産間の接続をマッピングすると、各システムがどのコンポーネントで構成されているかを視覚化するのに役立ちます。通信を確認することで、画像管理システムを構成するスキャナー、端末、データベース、アプリケーションを特定するのに役立ちます。ここから、データの流れを制御し、デフォルトではランサムウェアの横方向の移動を制御するために、制限を導入する必要がある場所を強調表示できます。
     
  2. インフラストラクチャ内に存在する潜在的なリスクを特定します。すべてのシステムには、まだ適用されていないパッチや未発見のセキュリティホールが原因である可能性のある、何らかの脆弱性が存在します。システムが接続されている他のリソースを知ることは、これらの脆弱性がもたらすリスクを理解する鍵となります。脆弱性スキャン、脅威情報、接続データの組み合わせを使用して、制限を適用する必要がある場所を強調表示するコンテキスト ビューを作成できます。
     
  3. 最適なセキュリティ ポリシーを適用します。システムを構成するコンポーネントを特定し、リスクを判断したら、攻撃の潜在的な拡散を阻止するためにシステムを相互に区分化します。環境を区分またはセグメント化しようとする場合の障害の 1 つは、ネットワークを再設計する必要があることです。基盤となるインフラストラクチャから切り離されたシステム レベルでセグメンテーションを適用すると、ネットワークを変更する必要がなくなります。アプリケーション、医療機器、その他のシステムを簡単にセグメント化することで、攻撃を受けている場合でも重要な資産の可用性を維持できます。

これらの手順によりゼロトラストは実用的で達成可能になりますが、多くの新しい医療機器がIT機器と同じように機能しないため、医療インフラ全体のセキュリティを確保することはますます困難になっています。ベッドサイドカートなどの資産が Windows ベースのシステムによって駆動されている場合、その資産がどのように機能しているか、および通信方法に関する情報を収集するのは比較的簡単です。ただし、デバイスがポンプの場合は、少し異なる方法で機能します。同じコマンドには応答せず、同じ方法で応答しません。

この課題により、従来の IT システムと医療 IoT 間の相互作用を視覚化することが困難になります。この問題に対処するため、Illumio はCylera と提携し、2 つの環境を簡単な方法で統合しました。Cylera が行っている多くの業務の 1 つは、医療用 IoT デバイスに関する情報とメタデータを収集することです。このデータはIllumio Coreにインポートでき、すべての資産が 1 つのビューのマップ上に表示されます。

これにより、医療システム全体の非常にシンプルなビューが提供され、さまざまな医療システム間の相互作用が示されます。このプロセスを使用すると、どの通信を許可し、何を停止するかを決定できます。

マップから、ゼロトラストポリシーはマウスを1回クリックするだけで簡単に適用できるため、資産の種類や場所に関係なく、医療インフラ全体にゼロトラスト戦略を展開するプロセスがはるかに簡単になります。

イルミオが医療機関のゼロトラストへの取り組みをどのように支援できるかについて、詳しくはこちらをご覧ください。

関連トピック

ヘルスケア

関連記事

ゼロトラストの運用化 – ステップ 1: 保護する対象を特定する
Segmentation

ゼロトラストの運用化 – ステップ 1: 保護する対象を特定する

テクノロジーは小規模に導入されていたため、規模の経済を追求したり、全体的に関連する戦略的ソリューションを設計しようとしたりするよりも、アドホック ソリューションは管理しやすく、生産性が高くなりました。

詳細はこちら
マイクロセグメンテーションのポリシーモデルで重要なことは何ですか?
Segmentation

マイクロセグメンテーションのポリシーモデルで重要なことは何ですか?

マイクロセグメンテーションソリューションで説明するすべての機能の中で、ほとんどのベンダーはポリシーモデルから始めません。

詳細はこちら
マイクロセグメンテーションがCCPAセキュリティ義務の履行にどのように役立つか
Segmentation

マイクロセグメンテーションがCCPAセキュリティ義務の履行にどのように役立つか

CCPAのセキュリティに関する最初の議論は、データ侵害の損失を防ぐために、データ収集へのアクセス、削除、オプトアウトの要求を尊重することに焦点を当てていました。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る