セキュリティのモッシュピットからの脱出#
MultiCare Health SystemのCISOであるJason Elrodがレガシーの医療IT環境を説明するとき、彼は言葉を選びません。「医療は未来に向かって後ろ向きに歩くのが好きです。そしてこれは、私たちがどのようにここにたどり着いたかということです。なぜなら、私たちが準備できたはずの多くのことがあったのに、それをしなかったからです。なぜなら、私たちは自分たちがどこにいるかに集中しすぎていたからです。」
この混沌としたアプローチは、何十年もの間、医療ITを特徴づけてきました。技術が24/7/365で完璧に機能することが命に関わるセクターでは、セキュリティチームは伝統的にイノベーションやケアの提供を犠牲にして保護に焦点を当てた「ノーの部署」として機能してきました。
しかし、医療がデジタル変革の旅を続ける中で、このアプローチはもはや持続可能ではありません。14の病院、数百の緊急ケアクリニック、そして数百万人の患者にサービスを提供する約30,000人の従業員を抱えるMultiCareは、安全性を犠牲にせずにイノベーションを追求する異なる道を必要としていました。その変化は、これらの緊張を正確にナビゲートする経験から駆動されたトップのマインドセットの変化から始まりました。
Jason Elrodの見解:医療セキュリティの難題#
15年以上にわたる医療CISOとしての経験を持つElrodは、医療組織が直面するセキュリティの課題について独自の視点を持っています。彼によれば、医療の特定の運用現実が他の業界とは異なるセキュリティのジレンマを生み出します:
- 常時稼働の運用: 「いつ停止できますか?いつすべてを停止してアップグレードできますか?」とElrodは問いかけます。他の業界とは異なり、医療は24/7/365で稼働し、ダウンタイムの余地がほとんどありません。
- 生死に関わるアクセス要件: 「必要な情報が必要なときに利用可能であることを最低限の摩擦で確保しなければなりません。なぜなら、それは私たち自身、私たちのコミュニティ、私たちの愛する人々、そして生死に関わることだからです。」
- 拡大する攻撃面: テレメディシン、リモートワーク、接続された医療機器へのシフトにより、脅威の状況は劇的に拡大しました。「それはスパゲッティのボウルのようなもので、各ストランドが一方の端または他方の端と通信できる必要がありますが、必要なストランドだけと通信する必要があります。」
- 不一致のインセンティブ: 「ITは歴史的に可用性と速度、アクセス、ユビキタスアクセスに集中してきました… そしてセキュリティは、『それは素晴らしいレゴカーです。外に出て遊ぶ前に、セキュリティ、プライバシー、コンプライアンスと呼ばれるレゴをもっと上に積みます。』と言います。」
それは燃え尽き、非難、崩壊のレシピです。しかし、セキュリティがケアを妨げるのではなく、可能にすることができたらどうでしょうか?
MultiCareがその可能性をどのように実践に移したかを、Elisity Microsegmentation PlatformのケーススタディでJason Elrod、CISO、MultiCare Health Systemと共にご覧ください。
アイデンティティ:現代医療セキュリティの鍵#
MultiCareの突破口は、Elisityを通じたアイデンティティベースのマイクロセグメンテーションの実装にありました。
「最大の攻撃面は、各個人のアイデンティティです」とElrodは指摘します。「なぜ攻撃は常にアイデンティティに対して行われるのか?それは、医療では必要な情報が必要なときに利用可能であることを最低限の摩擦で確保しなければならないからです。」
従来のネットワークセグメンテーションアプローチは、複雑なVLAN、ファイアウォール、エンドポイントエージェントに依存していました。その結果、「ビザンチンのスパゲッティの混乱」が生じ、管理と更新がますます困難になりました。
Elisityのアプローチは、ネットワークの場所ではなくアイデンティティに焦点を当てることでこのパラダイムを変えました:
- ネットワーク上のどこに現れてもユーザー、ワークロード、デバイスに従う動的なセキュリティポリシー
- 個々の資産周辺にセキュリティ境界を作成する詳細なアクセス制御
- 新しいハードウェア、エージェント、または複雑なネットワーク再構成を必要とせずにマイクロセグメンテーションを実装するために既存のインフラストラクチャを活用するポリシー実施ポイント
懐疑から変革へ#
Elrodが最初にElisityをチームに紹介したとき、彼らは健全な懐疑心を持って応じました。「彼らは『頭を打ったのか?自分が言っていることをちゃんと読んだのか?飲酒をやめたと思っていたのに』と言いました」とElrodは振り返ります。
技術チームは、そのようなマイクロセグメンテーションソリューションが既存のインフラストラクチャで機能するとは疑っていました。「彼らは『それは実現可能なことではないように聞こえる』と言いました」とElrodは共有します。
しかし、見ることが信じることでした。「技術に精通した人々が、自分の技術を本当に知っている人々が何かを見て『ワオ』と言うとき、それは彼らの意見の柱を揺るがします」とElrodは説明します。
Elisityソリューションはその約束を果たしました:
- 破壊的なネットワーク変更なしでの迅速な実装
- 以前は数週間かかっていたリアルタイムの自動または手動のポリシー調整
- 以前はサイロ化されていた環境全体の包括的な可視性
- 可用性を損なうことなく強化されたセキュリティ姿勢
…保護とパフォーマンスの間でのトレードオフを強いることなく。
しかし、Elrodを最も驚かせたのは、技術が何をしたかだけでなく、それを使用する人々をどのように変えたかでした。
チーム間の壁を壊す#
おそらく最も予想外の利益は、ソリューションがチーム間の関係をどのように変革したかでした。
「摩擦点がありました。ネットワークにこの制御と制約をかける。最初に誰に電話するか?彼らはITに電話します。『これができない』と言います。そして私は言います、『すべてを開くことはできません。なぜなら、すべての人がすべてを持つことができないからです。悪者がすべてを持つことになるからです』とElrodは説明します。
アイデンティティベースのマイクロセグメンテーションはこのダイナミクスを変えました:
「それは『どうやってあなたを回避するか?』から『どうやって私を回避するか?』から協力に変わりました。なぜなら、今では『ああ、それを一緒に変更しましょう』という感じだからです。それは文化的にシフトし、これは私が予想していなかったことでした… 私たちは本当に同じチームにいます。これは私たち全員にとって機能するソリューションであり、私たち全員の仕事をより良くします。セキュリティとITです。それは組織全体での力の乗数です」とElrodは言います。
Elisityを使用することで、セキュリティとITチームは競合する優先事項ではなく、インセンティブを共有するようになりました。「このエリアとここでの接続性を摩擦なく機能させることを可能にする同じものが、それを取り巻く合理化されたセキュリティを提供するものでもあります。同じツール、同じダッシュボード、同じチームです」とElrodは指摘します。
イエスの文化を可能にする#
医療提供者にとって、その影響は深いものです。「アクセスを心配する必要がなく、制御を心配する必要がない場合、彼らはそれに関するコンプライアンス要因、セキュリティ、プライバシー、彼らが作業しているテーブルの下にある技術について考えたり心配したりする認知負荷を取り除くことができます」とElrodは言います。
このシフトは、セキュリティが臨床スタッフとどのように相互作用するかの根本的な変化を可能にします:
- 提供の速度: 「私たちは官僚主義の速度、技術の速度、レガシーの速度ではなく、必要の速度でそれを行うことができます」とElrodは説明します。
- 詳細な制御: 「ネットワーク上で自分のセグメントがどこにいても欲しいですか?私はあなたのアイデンティティに基づいて、どこにいてもそれをベースにすることができます」とElrodは共有します。
- 信頼の向上: 「『それは安全で、安定していて、スケーラブルで、機能的で、サポートできます。そしてあなたが進みたいペースで進むことができます』という自信を植え付けることができること。」
サイロを壊す:セキュリティとIT統合のビジネス上の必要性#
セキュリティとIT運用チームの伝統的な分離は、統合の戦略的利点を認識する組織が増える中で急速に時代遅れになりつつあります。最近の研究は、特に製造業、産業、医療セクターにおいて、このギャップを埋めることに成功した企業にとっての説得力のあるビジネス上の利益を示しています。
Skybox Security(2025年)によれば、76%の組織がネットワークとセキュリティチーム間のコミュニケーション不足がセキュリティ姿勢に悪影響を与えたと考えています。この不一致は具体的なセキュリティリスクと運用の非効率を生み出します。逆に、統一されたセキュリティとIT運用を持つ組織は、サイロ化されたチームを持つ組織と比較して、重大なセキュリティインシデントが30%少ないと報告しています。
医療組織にとって、リスクはさらに高まります。ランサムウェア攻撃を経験した医療機関の中で、サイロ化されたセキュリティとIT運用を持つ組織は、2024年に患者の死亡率が28%増加し、2023年の23%から増加しました(Ponemon Institute & Proofpoint、2024年)。この厳しい現実は、サイバーセキュリティの統合が単なる運用上の考慮事項ではなく、患者の安全性の必要条件であることを強調しています。
統合の財務的な理由も同様に説得力があります。ServiceNow Security Operationsソリューションに関するForresterの総経済的影響調査は、セキュリティとIT運用の統合により238%のROIと620万ドルの現在価値利益が得られ、6か月の回収期間があることを示しています(Forrester/ServiceNow、2024年)。
先進的な組織は、サイバーフュージョンセンターのような洗練された統合モデルを採用しています。Gartnerの研究は、これらが従来のセキュリティ運用に対する重要な進歩を表しており、2028年までに大企業の20%が内部および外部の敵対者と戦うためにサイバーフラウドフュージョンチームに移行すると予測しています。2023年の5%未満からの増加です。
企業のリーダーにとって、メッセージは明確です:セキュリティとITチーム間の運用サイロを壊すことは、包括的な保護、運用効率、そして今日の脅威の状況における競争優位性のために不可欠です。Elrodは、このギャップを技術的にも文化的にも埋めようと数十年を費やしてきた人物として、それをよく理解しています。
現代医療への架け橋#
Elrodにとって、アイデンティティベースのマイクロセグメンテーションは単なる技術ソリューション以上のものであり、医療が過去にいた場所と行くべき場所の間の架け橋です。
「過去の技術はクオリティが低いから買われなかったわけではありません… それらは素晴らしかった。良い意図がありました。彼らはその時に必要なことをしました。しかし、今とそれが意味を持っていた時の間には多くの時間的な距離があります」と彼は説明します。
ElisityはMultiCareが「私たちがいた場所から行くべき場所への橋を構築するのを助けます… それは穴からのはしごです。これは素晴らしい。そこに物を投げ込むのをやめましょう。実際に合理的な方法で物事を行いましょう」とElrodは言います。
今後の展望#
医療のすべてのセキュリティの課題を解決する単一のソリューションは存在しませんが、アイデンティティベースのマイクロセグメンテーションは「医療セキュリティと技術をイエスの文化にするための黄色いレンガの道の1つのレンガ」ですとElrodは述べています。
医療組織がセキュリティ要件と摩擦のないケア提供の必要性をバランスさせ続ける中で、これらの競合する優先事項を調整するソリューションはますます重要になります。
アイデンティティベースのマイクロセグメンテーションを実装することで、MultiCareはセキュリティを現代医療の障壁から可能にするものに変えました。適切なアプローチを取れば、「はい」がデフォルトの応答でありながら、セキュリティやコンプライアンスを妥協しない文化を作り出すことが可能であることを証明しています。
自分自身のセキュリティ「モッシュピット」から脱出し、現代医療への架け橋を築く準備はできていますか?Elisityのマイクロセグメンテーション購入者ガイド2025をダウンロードしてください。このリソースは、MultiCareのような組織が「ノーの部署」から「イエスの文化」へと変革するのを助けた評価基準、実装戦略、ROIフレームワークを医療セキュリティリーダーに提供します。アイデンティティベースのセキュリティへの旅を今日から始めましょう。Elisityと、MultiCareのような医療組織をどのように変革するかについて詳しく知るには、こちらのウェブサイトをご覧ください。
翻訳元: https://thehackernews.com/2025/05/from-department-of-no-to-culture-of-yes.html