医療業界はサイバーセキュリティの岐路に立たされている

医療は世界最大級の産業の一つです。米国では、医療費が国内総生産（GDP）の約17%を占めており、2030年代初頭には20%を超えると予測されています。最近のデータ（2025年の予測）によると、健康・医療保険の収益は1兆5400億ドル、病院の収益は1兆5200億ドルで、いずれも収益規模でトップ2の産業です。

これだけの資金があれば病院は潤っていると思われがちですが、実際はそうではありません。2024年の病院の中央値の営業利益率（患者ケアや関連サービスからの収益からすべての営業費用を差し引いたもの）は5%未満であり、今年はさらに低下傾向にあることが示唆されています。当然ながら、営利病院は非営利病院よりも業績が良く、都市部の病院は地方の病院よりもはるかに財政的に成功しています。メディケアやメディケイドなどの連邦プログラムの最近の削減は、財政難をさらに悪化させるでしょう。

変革する産業

利益率の圧迫はさておき、医療業界は、従来の出来高払いモデルから価値重視型ビジネスモデルへの進化に伴い、テクノロジー主導の大きな変革を経験しています。これらの技術変化には以下が含まれます：

• ビジネスプロセスのデジタル変革。 例として、遠隔医療、リモート患者モニタリング、電子処方、環境音声記録・メモ取りなどが挙げられます。これらのシステムには、医療用IoT（IoMT）、高速ネットワーク、クラウドサービス、API、密接に統合されたアプリケーションなどの新しい機器が必要です。
• AIの積極的な導入。 AI診断は、特に大規模な教育病院で、循環器科、腫瘍科、放射線科などの分野で普及が進んでいます。管理面では、医療機関がAIを医療コーディング、保険請求処理、予約最適化、患者コミュニケーションなどに活用しています。
• 膨大なデータ生成。 電子カルテ（EHR）、医療画像、検査、ゲノム、管理システムなどから、平均的な病院で年間約50ペタバイトのデータが生成されます。医療機関全体では、年間エクサバイト規模のデータが20%以上の複合年間成長率で増加しています。そのうち約90%が規制対象または機密性の高いデータであり、これはほとんどの業界よりもはるかに高い割合です。

このような技術投資によって、医療業界は今後10年で大きく様変わりするでしょう。ケアはゲノム解析、AI、24時間患者モニタリングによって、より個別化・予防的になります。AIや（場合によっては）量子コンピュータによって新薬開発が加速します。ロボットが日常的な手術を行い、スマート病院は入院受付、患者モニタリング、記録管理、請求などのプロセスが高度に自動化されます。

サイバーセキュリティ課題が山積する業界におけるイノベーション

医療の理想郷を夢見る前に、これらの取り組みによって医療業界がサイバー攻撃の格好の標的になるのではないかと非常に懸念しています。現状でもすでに深刻です。2024年、医療業界では2億7670万件もの患者記録が漏洩し、これは米国人口の80%以上に相当します。これは前年から64%の増加です。その中でも特に大きかったのが、2024年2月に発生したChange Healthcareランサムウェア攻撃で、約1億9000万人に影響を与え、医療サプライチェーンの大部分に混乱をもたらしました。

医療業界に押し寄せる新技術の波は、この状況をさらに悪化させるだけです。特に、重大な脆弱性やバックドア、不十分なファームウェア開発が指摘されているIoMT機器への依存度が高まることで、リスクはさらに増大します。加えて、CISOが守らなければならないデータ量も増え続けており、イノベーションのためのAI導入に伴うリスクにも対応しなければなりません。

医療業界のCISOが備えるべきこと

サイバーリスクを軽減し、組織のデジタル資産を守るために、CISOは以下を実施する必要があります：

AIガバナンスでリーダーシップを発揮する。 臨床や管理分野でAIを導入する前に、医療機関はビジネスユースケースの特定から開発、導入、リスク管理、継続的なセキュリティまで、ガバナンスフレームワークを確立する必要があります。

そのためには、AIガバナンスの策定に部門横断型の経営チームを含め、リスクフレームワーク、厳格なデータ管理、倫理的・法的配慮、ソフトウェア開発、従業員教育、継続的な監視を含めるべきです。アメリカ医師会（AMA）、世界保健機関（WHO）、政府機関（HHS、NISTなど）、主要医療機関（クリーブランドクリニック、カイザーパーマネンテ、マスジェネラルブリガム、メイヨークリニックなど）からのガイダンスも参考にしてください。

人員と予算の必要性を正確に把握する。 CISOは、経営陣や取締役会に対し、デジタル変革、遠隔患者ケア、AI導入には追加のサイバーセキュリティ予算と人員投資が必要であることを認識させる必要があります。

新しい技術主導の取り組みには早い段階からセキュリティチームを関与させ、リスクモデルを作成し、適切なトレーニングとスキルを持つことが重要です。人員が限られている場合は、Fortified Health Services、Clearwater Compliance、Censinetなど、医療に特化したサービスプロバイダーの活用も検討しましょう。

攻撃対象領域管理を強化する。 近い将来の医療ITインフラには、IoMTシステム、リモート消費者デバイス、AIアプリケーション、分散型医療ネットワーク、多数のサードパーティ接続が含まれます。ネットワークはAPIコール、AIエージェント間通信、データ転送で混雑するでしょう。これは脆弱性・露出管理の悪夢とも言えます。

これに先手を打つため、CISOは継続的かつ広範な可視化、正確かつタイムリーなリスクスコアリング・優先順位付け、自動修復が必要です。Axonious、Nucleus Security、ServiceNowのツールが役立ちます。

データ管理を徹底する。 医療機関はすでに大量のデータを生成・処理・保存していますが、新技術の普及でその量はさらに増加します。したがって、データセキュリティは最優先事項とすべきです。

ガバナンスと併せて、CISOはデータの発見、分類、暗号化、アクセス制御、継続的な監視・記録、規制遵守に注力する必要があります。定期的なテストを伴うイミュータブルバックアップは必須です。また、CISOはデータの完全性の定義を、AIモデルの完全性も含めて拡張すべきです（不正なデータ改ざんだけでなく）。

「脅威インフォームド・ディフェンス」を意識する。 孫子の言葉を借りれば、「敵を知り己を知れば百戦危うからず。己を知らずして敵を知れば一勝一敗。敵を知らず己を知らざれば戦うごとに必ず敗れる。」

CISOはこの賢明な助言に従い、医療を標的とするサイバー攻撃者やそのキャンペーン、戦術・技術・手順（TTPs）を理解すべきです。こうした脅威インテリジェンスの理解は、防御策の構築・テスト・調整に役立ちます。Google/Mandiant、Ticura、ZeroFoxなどのサイバー脅威インテリジェンス（CTI）専門家も有用です。脅威インテリジェンスプラットフォームの活用も検討できます。

最後に、政府機関や規制当局へのメッセージです。デジタル変革と技術の爆発的普及は、都市部の資源が豊富な医療機関と、規模の小さいまたは地方の医療機関との間で、サイバーセキュリティを含むあらゆる分野でデジタルヘルス格差を拡大させます。政府の支援がなければ、これらの機関はサイバー犯罪者の格好の標的となるでしょう。