2026年の四半期サイバーセキュリティ・ニュースレター第1号において、保健福祉省(HHS)公民権局(OCR)は、HIPAA規制対象組織に対し、システムセキュリティを強化し、ハッカーがネットワークおよび機微な患者データや医療保険プラン加入者データへアクセスすることをより困難にするための措置を講じるよう促しました。
HIPAAセキュリティ規則は、規制対象組織が作成、受領、維持、または送信する電子的保護対象保健情報(ePHI)の機密性、完全性、および可用性を確保することをHIPAA規制対象組織に求めています。これには、ePHIに対するリスクおよび脆弱性を特定し、それらのリスクおよび脆弱性を低く許容可能な水準まで低減するために適時の措置を講じることが含まれなければなりません。 OCRのポーラ・スタナード局長は、OCRが今年すでにHIPAAセキュリティ規則の遵守状況を厳しく注視すると述べています。OCRはリスク分析に関する執行イニシアチブを継続し、規制対象組織がリスク分析で特定されたePHIへのリスクおよび脆弱性を低減するために迅速な措置を講じていることを確保するため、リスク管理を含むように発展させていく予定です。
OCRはニュースレターで、リスクは、異なる種類の電子情報システム向けに標準化されたセキュリティ制御と設定の一式を作成すること、セキュリティ上の弱点や脆弱性に対処すること、そして攻撃対象領域を縮小するよう電子情報システムをカスタマイズすることによって低減できると説明しました。
OCRは医療機器メーカーに対し、製品ライフサイクル全体を通じて機器のセキュリティを確保するための措置をユーザーが講じられるよう、正確なラベリングを機器に含める義務があること、ならびにセキュリティリスク管理、セキュリティアーキテクチャ、セキュリティテストに関する食品医薬品局(FDA)のガイダンスに従うことの重要性を改めて喚起しました。医療提供者は、機器のラベリングを注意深く読み、製品ライフサイクル全体を通じて安全かつ有効であり続けるために機器をどのように構成すべきかを理解していることを確認する必要があります。
OCRは、システムセキュリティ強化のための3つの重要領域を強調しました。いずれもHIPAAセキュリティ規則の遵守に不可欠です。脅威アクターは、ネットワークに足場を築くために悪用可能な既知の脆弱性を探し回ります。これには、オペレーティングシステム、ソフトウェア、デバイスのファームウェアの脆弱性が含まれます。デバイスが新品であっても、あるいはしばらく使用されているものであっても、既知の脆弱性を修正するためにパッチを適用しなければなりません。脆弱性が発見され次第すぐにパッチを適用できない場合もありますが、その場合でも、パッチがリリースされ適用可能になるまでの間、悪用リスクを低減するために、ベンダーが推奨する他の是正措置を講じるべきです。包括的かつ正確なIT資産インベントリを維持し、すべてのオペレーティングシステム、ソフトウェア、デバイスに対して適切なパッチ適用の頻度(サイクル)を確保するための方針および手順を策定・実施する必要があります。
すべての組織は、不要なソフトウェアやデバイスを削除することで攻撃対象領域を縮小するための措置を講じるべきです。これには、もはや使用されていないソフトウェアやデバイス、規制対象組織にとって目的を持たないオペレーティングシステムに含まれるソフトウェア機能、ならびにインストール過程で作成される汎用アカウントやサービスアカウントが含まれます。インストール時に作成されたアカウントにはデフォルトパスワードが設定されている場合があり、これらは変更しなければなりません。OCRは、多くの調査において、著名なデータベース、ネットワーキングソフトウェア、アンチマルウェアソリューションのアカウントが、特権アクセスを与えるデフォルトパスワードのまま残っていることが見つかっていると説明しました。
多くのサイバー攻撃は設定ミスの結果として発生します。HIPAA規制対象組織は、セキュリティ対策がインストールされ、有効化され、適切に構成されていることを確保しなければなりません。「オペレーティングシステムにしばしば備わっているセキュリティ対策、ならびに一部の他のソフトウェアに含まれるセキュリティ対策は、たとえばアクセス制御、暗号化、監査制御、認証など、HIPAAセキュリティ規則の技術的保護措置の基準および実装仕様の一部と交差します」とOCRは説明しました。「規制対象組織のリスク分析およびリスク管理計画は、これらおよびその他のセキュリティ対策の実装に関する意思決定に資することができます。」
OCRがリスク管理を精査し、規制対象組織に対してシステムセキュリティを強化する責務を助言していることから、すべての規制対象組織は、この助言を確実に踏まえるべきです。「システムハードニング技法を定義し、作成し、適用することは、一度やって終わりの作業ではありません」とOCRは説明しました。「実装したセキュリティ対策の継続的な有効性を評価することは、それらの対策が時間の経過とともに有効であり続けることを確保するために重要であり」、HIPAAセキュリティ規則の遵守に不可欠です。
翻訳元: https://www.hipaajournal.com/ocr-harden-system-security/
