Cobaltによると、医療機関(HCO)は重大な脆弱性の修正が最も遅い分野の一つであり、システムやデータが数週間、場合によっては数か月間も露出したままになっています。
このペネトレーションテスト企業は、10年分の社内データと米国のセキュリティリーダー500人への調査をもとに、State of Pentesting in Healthcare 2025レポートを作成しました。
この分析は、重大な脆弱性の発生頻度、解決率、解決までの中央値(MTTR)、および未解決の指摘事項の半減期(すなわち、50%以上の指摘事項が解決されるまでの期間)の4つの主要指標をカバーしています。
レポートでは、この分野が「苦戦している」象限にしっかりと位置付けられました。重大な欠陥自体は比較的少なく、発見されたバグのわずか13%ですが、解決率は他の多くの業界に遅れを取っています。
医療分野の情報漏洩について詳しく読む:腎臓透析プロバイダーDaVitaへのサイバー攻撃で臨床データが盗難
Cobaltの調査によると、HCOは以下のような状況です:
- 重大な指摘事項のうち、解決できたのはわずか57%で、13業界中11位。1位の運輸業界(80%)とは大きな差
- 重大な指摘事項のMTTRは58日で、13業界中10位。ホスピタリティ業界が20日でトップ
- 重大な指摘事項の半数を解決するのに244日かかり、HCOは13業界中11位。運輸業界は43日で1位
CobaltのCTO、Gunter Ollmann氏は、HCOが迅速に修正しないことで「危険な露出期間」を無意識のうちに生み出していると警告しています。
「調査データによれば、リーダーたちは生成AIやサードパーティソフトウェアのリスクを最も懸念していますが、脆弱性の解決能力は依然として遅れています」と彼は付け加えました。
「明らかな教訓は、予防だけでは不十分であり、医療分野は修正の遅れを解消し、スケジューリングの遅延などの構造的障壁に対処しなければ、患者の信頼を守り、コンプライアンスを維持することはできません。」
重大な問題は迅速に修正されている
良いニュースとしては、ビジネスクリティカルな資産における重大な指摘事項はHCOによって迅速に対応されていることです。レポートによると、43%が1~3日で、37%が4~7日でこれらを解決しています。
しかし、このアプローチは誤った安心感を生む可能性があります。CobaltのSVP、Jason Lamar氏は、一見無害に見えるバグでも組織に壊滅的な影響を与える可能性があると警告しています。
「このSLAに基づく修正への集中は、他の重大だがクリティカルではない脆弱性が放置され、セキュリティ負債につながる可能性があります。例えば、ウェブアプリケーションの情報漏洩脆弱性が未解決の場合、攻撃者にサーバーソフトウェアのバージョンが知られてしまうかもしれません」と彼は説明します。
「それ自体は大したことがないように思えますが、このような情報を得た攻撃者は、既知の脆弱性を利用してソフトウェアを悪用し、アプリケーションを侵害することができるのです。」
医療分野は依然として、データ窃盗犯やランサムウェア攻撃者による標的となる頻度が最も高い分野の一つです。
Darktraceの最近のレポートによると、2024年にはこの業界への攻撃が激化しており、エッジ脆弱性の悪用(36%)が最も一般的な初期侵入手段となっています。
翻訳元: https://www.infosecurity-magazine.com/news/healthcare-58-days-resolve-serious/