医療業界ばかりがなぜ狙われる？

2022.08.22

2022年8月10日、Tony Burgess

このブログを長年読んでくださっている皆様は今、既視感を覚えているのではないでしょうか。医療業界を標的としたサイバー攻撃が激化していると私たちが警告するのはもう何度目でしょうか。

COVID-19が医療資源を圧迫し始めた2020年の春を通じて、特にランサムウェアに関する脅威のレベルが高いという報告が複数あり、それについてはこちらとこちらで書きました。データ侵害や侵入の割合は、2020年から2021年にかけてランサムウェアとともに急増し、こちらとこちらで説明したとおりです。

そしてこの流れは、米国保健社会福祉省のサイバーセキュリティ・コーディネーション・センター（HC3）が最近発表した脅威の状況報告へとつながってきます。医療機関を標的としたWebアプリケーション攻撃キャンペーンが増加している、という内容でした。

複合的な要因がある

サイバー犯罪者は倫理的、道徳的に問題がありますが、頭が悪いわけではありません。サイバー犯罪者が医療業界に狙いを定めているのにはれっきとした理由があり、それらを絞り込むと2つになります。

高価値のデータ – 医療機関から盗める可能性のあるデータには、職員や患者に関する個人的な財務データや、患者の個人的な医療データなどがあります。いずれも大規模な侵害に成功すれば、高い金銭的見返りを得ることができるものです。
脆弱性と攻撃対象の拡大 – 医療業界は、新しいテクノロジーの導入やクラウドベースのデジタルトランスフォーメーションの実現が他業界に比べて遅れています。これは、時代遅れのソフトウェアを実行する大量のレガシー医療機器に依存していることや、逆説的ですが、個人データ、特に医療データを保護するためのインセンティブがきわめて高いことに起因しています。現在では、大半の医療機関が（セキュリティ上の問題から）ワークロードをクラウドに移行することへの当初の抵抗を克服していますが、この変革の多くは、ご存じの通り、パンデミックに対応するために急いで行われたものです。リモートワーク・ソリューション、フル機能の患者ポータル、高度な遠隔医療ソリューションの導入が突然必要になったため、場合によっては業務の継続を重視するあまりセキュリティが二の次になりました。

アプリケーション攻撃のリスクを最小化する

アプリケーション層やWebサイトへの攻撃はどんどん頻度が高くなり、また巧妙になっています。対する医療業界のIT専門家は、こうした脅威に対抗し、高額で破壊的なデータ侵害のリスクを劇的に減らすために、次のような手段をとるようになっています。

その最たるものが、概念的にも技術的にもプラットフォームアプローチへと移行することです。それまで使っていたのは、特定の脆弱性や脅威の形態に対処するポイントソリューションでしたが、それを複数の機能や性能を統合して包括的な保護を提供するプラットフォームへと変えたのです。

例えば、Barracuda Cloud Application Protectionは、完全なWebアプリケーションファイアウォール（WAF）機能を高度なセキュリティサービスおよびソリューションの完全なセットと組み合わせて、オンプレミス、クラウド、またはハイブリッド環境のいずれに導入されていても、複数の種類の脅威からアプリケーションを保護します。

どのようなソリューションやプラットフォームを選択するにしても、以下のような機能を備えている必要があります。

OWASPトップ10リストのアプリケーションの脅威に対する保護。SQLインジェクション、クロスサイトスクリプティングなどを含む。
高度なボット保護。攻撃を仕掛けるために使用される高度に洗練されたボットの膨大な増殖に対処するため。
あらゆるタイプの分散型サービス妨害（DDoS）攻撃からの包括的な保護。
API保護。APIベースの新たな脅威が急速に広がっていることに対処するため。
DevOpsとの統合。新規に開発・更新されたアプリケーションを展開する前に安全性を確認するため。
クラウド展開全体におけるセキュリティポリシーコンプライアンスを継続的に監視する機能。

Barracuda WAF-as-a-Serviceは、WebアプリケーションおよびAPI保護（WAAP）プラットフォームの基盤として機能し、上記の多くの機能を提供します。また、非常に重要なことですが、設定、導入、および使用が非常に簡単であるという点が、他のWAFソリューションと一線を画しています。このため、ITセキュリティの予算、人材、スキルが限られている企業にとって理想的なソリューションとなっています。