ヘルスケア業界、サプライチェーンセキュリティとID管理で依然として課題に直面

Dive Brief:

Dive Insight:

ヘルスケア機関は、あらゆる重要インフラ分野の中でも屈指の攻撃件数にさらされており、こうした侵入はコストの面でも最も深刻な部類に入ります。Fortifiedの新たなデータは、ランサムウェア攻撃やその他のセキュリティ侵害への対応に苦戦するヘルスケア業界の姿を浮き彫りにしています。

同レポートによると、2026年上半期には、平均的なヘルスケア機関が2025年上半期と比べて、深刻度が「重大」または「高」と評価される脆弱性を60%多く発見しました。各機関は、自らが修正できる能力を上回るペースで問題を発見している状況です。研究者らは「これは単一の壊滅的な侵害の物語ではありません。可視性が対応能力を上回ってしまっている物語なのです」と記しています。

ヘルスケア事業者を最も悩ませ続けているセキュリティ分野は2つあります。サプライチェーンリスク管理と、ID管理・アクセス制御です。

Fortifiedによると、各機関が2026年上半期に特定したサプライチェーンリスクの件数は、2025年上半期の6倍に達しました。そのうち、深刻度が「重大」または「高」の脆弱性が全体の約3分の2を占めています。病院をはじめとするヘルスケア施設は、ハードウェアメーカーからソフトウェア開発企業まで数十社に上る技術ベンダーに依存しており、Change Healthcareの一件が示したように、そのうちどれか一つのサプライヤーで侵害が発生すれば、業界全体に波及効果が及びかねません。レポートは「評価の結果、多くのヘルスケア機関がサードパーティリスクへの対処プログラムを持たないままギャップを抱えていることが明らかになっています。しかも、そうしたギャップが判明した後でも、是正に苦労しているのが実情です」と述べています。

ユーザーアカウントを侵害や不正利用から守ることも、ヘルスケア機関にとって依然として大きな悩みの種です。多くの機関では、従業員の入退職を細かく把握し、それに応じてアカウントを発行・無効化するだけのセキュリティ人材が不足しています。トラベルナースや契約医師が多くの医療施設に出入りしていることも、こうしたアクセス制御の課題をさらに難しくしており、特に小規模な医療機関にとっては大きな負担となっています。

Fortifiedのレポートによると、ヘルスケア機関が2026年上半期の6か月間に特定したID・アクセス制御関連の脆弱性は、2025年同時期の4倍に上りました。

研究者らは「ID・アクセス管理(IAM)をめぐる組織的なプロセスには、実際に改善が見られます」としつつ、「しかしその土台となる作業、すなわちユーザー・サービス・ハードウェアの認証、そしてID情報の保護・伝達・検証は、依然として各チームにとって難題であり続けています」と記しています。

Fortifiedによると、2026年上半期時点で、ヘルスケアのネットワークドメインの92%に、3年以上パスワードが更新されていない管理者アカウントが存在していました。

新レポートは数多くのセキュリティ課題を取り上げていますが、中でも特に力点を置いているのがIDの問題です。

Fortifiedは「ID管理の維持は、サイバーセキュリティの中で決して華やかな部分にはなり得ません」としつつ、「それでも、地味ながらも極めて重要な役割を担っています。攻撃者の多くが侵入に使う『扉』を閉ざしてくれるのです」と述べています。

レポートでは、レガシー医療機器に対するセキュリティ対策についても取り上げています。Fortifiedは、MRI装置のようなサポート終了(EOL)機器について「置き換えられないものは封じ込めよ」と述べ、こうした機器を厳格なファイアウォールの内側に配置し、旧式機器を管理者ドメインアカウントで「絶対に、絶対に」稼働させないよう医療機関に強く求めています。「一つでも忘れられた過剰権限のシステムがあれば、攻撃者はそれを足がかりに他のあらゆるシステムへ横展開できてしまいます」としています。

もう一つ強く打ち出されている提言が、インシデント対応の備えに関するものです。

ヘルスケア機関は危機的状況への対応には慣れているものの、サイバーセキュリティインシデントへの対応には別途の訓練が必要です。Fortifiedは、侵害が起きる前に「業務上の体で覚えた対応力」を築いておく必要があると述べ、そうすることで効果的かつ連携の取れた対応が可能になるとしています。

Fortifiedによると、医師や看護師、そしてそのスタッフは、消防士のようにサイバー攻撃への対応訓練を積むべきだといいます。大規模な火災をめったに扱わない地方の消防署でさえ、はるかに大きな危機に対応できるだけの装備、人員、訓練水準を維持しています。Fortifiedは、ヘルスケア施設も同様のアプローチを取るべきだとしています。

研究者らは「緊急対応にあたる人々は、ある重要な真理を深く理解しています。それは、発生確率の低さが責任の軽さを意味するわけではない、ということです」と記しています。「深刻なインシデントは、いずれ必ず発生します。唯一の問題は、それが起きたときに組織として運用面の備えができているかどうかです」。

翻訳元: https://www.cybersecuritydive.com/news/healthcare-cybersecurity-risk-management-identity-fortified/825175/

ソース: cybersecuritydive.com