米国保健福祉省が医療サイバーセキュリティのパフォーマンス目標を設定 ブックマークが追加されました
最新動向/市場予測
米国保健福祉省が医療サイバーセキュリティのパフォーマンス目標を設定
【第197号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2024年1月24日、米国保健福祉省(HHS)傘下の戦略的準備・対応管理局(ASPR)は、「医療・公衆衛生セクター固有のサイバーセキュリティパフォーマンス目標(HPH CPGs)」と題する文書を公表しました。本文書は、医療組織が影響度の高いサイバーセキュリティプラクティスの実装を優先順位付けする際に役立てることを目的として、サイバー攻撃からの医療セクター保護、イベント発生時の対応向上、残存ディスクの最小化を強化するために設計されたものです。
第197号 2024.2.15公開
目標設定に先立ちHHSは、バイデン大統領が2023年3月2日に発表した「国家サイバーセキュリティ戦略」に基づき、2023年12月6日に「医療セクターのサイバーセキュリティ」を発表して、その中で、以下のようなアクションをとることを表明していました。
1)医療セクター向けに自発的なサイバーセキュリティのパフォーマンス目標を設定する
2)サイバーセキュリティプラクティスを動機づけて実装するためのリソースを提供する
3)より広い法執行措置と説明責任を支援するために、HHS全体の戦略を実装する
4)医療セクターのサイバーセキュリティに関して、HHS内部のワンストップショップを拡張し、熟成する
今回公表したHPH CPGsは、上記の1)に対応したものであり、サイバーセキュリティ・インフラストラクチャセキュリティ庁のサイバーセキュリティパフォーマンス目標(CISA CPGs)を踏襲しています。その中では、「不可欠な目標(Essential Goals)」と「強化された目標(Enhanced Goals)」の2つのカテゴリーを設定した階層アプローチが特徴となっています。これらのカテゴリーごとに、HHS 405(d)プログラムと保健医療セクター調整委員会サイバーセキュリティ作業部会(HSCC CWG)が実施した「病院サイバーレジリエンシーイニシアティブ俯瞰分析」(2024年4月17日)で特定された共通の攻撃アクターに対するリスク低減策をマッピングしています。
具体的には、以下のような構成になっています。
不可欠な目標(Essential Goals):
- 既知の脆弱性の低減
- 電子メールセキュリティ
- 多要素認証
- 基礎的なサイバーセキュリティトレーニング
- 強力な暗号化
- 被雇用者、外部委託先、関連会社、ボランティアなど、労働力メンバーを分離するための資格情報の無効化
- 基本的なインシデント計画策定と対応準備
- 固有の資格情報
- ユーザー・特権アカウントの分離
- ベンダー/サプライヤーのサイバーセキュリティ要求事項
強化された目標(Enhanced Goals):
- 資産の在庫管理
- サードパーティの脆弱性情報開示
- サイバーセキュリティテスト
- サイバーセキュリティ低減策
- 関連する脅威・戦術、手法、手順(TTP)の検知と対応
- ネットワークセグメンテーション
- 中央集中型のログ収集
- 中央集中型のインシデント計画策定と対応準備
- 構成管理
なおHHSは、全省レベルのサイバーセキュリティゲートウェイとして、「HPH サイバーセキュリティパフォーマンス目標」Webサイトを開設しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・日本国内では、医療機関を含む重要インフラのサイバーセキュリティについて、内閣サイバーセキュリティセンター(NISC)が所管しているが、重要インフラで発生したサイバーセキュリティインシデントに関する具体的な情報の収集・開示については、各セクターのセキュリティ成熟度によってばらつきがある。その点、米国の方が、重要インフラのセキュリティを所管するサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と医療情報セキュリティを所管する保健福祉省(HHS)など、関係省庁間の連携・情報共有活動が進んでいるので、HHSの「HPH サイバーセキュリティパフォーマンス目標」Webサイトや、MITREの「Health Cyber」Webサイトなど、重要インフラセキュリティの視点に立った公開情報を参考にして、病院のインシデント対応計画策定などに役立てるべきである。
医療機器メーカー/医療品メーカー
・米国の場合、医療機器メーカー/医薬品メーカー、保険会社など、医療に関わる民間ステークホルダーも、サイバーセキュリティ情報共有・分析組織(ISAO)に関与するのが一般的だが、日本の場合、医療機関、政府・自治体、メーカー、ITベンダーなどがサイロ縦割状態になっており、重要インフラに係るインシデント情報の収集・共有が難しい状況にある。日本の医療機器/医薬品メーカーは、米国法人やそのパートナー企業のサイバーセキュリティ窓口と連携しながら、重要インフラセキュリティに関する情報収集・共有活動を強化すべきである。
サプライヤー
・日本国内で医療機関向けにIT製品・サービスを提供するサプライヤーは、医療サイバーセキュリティのエコシステムを構成する医療以外の部門・部署や外部パートナー企業のサイバーセキュリティ窓口と連携しながら、重要インフラセキュリティに関する情報収集・共有活動を強化すべきである。
関連記事 [外部サイト]
- U.S. Department of Health and Human Services (HHS)「Healthcare and Public Health Sector-Specific Cybersecurity Performance Goals」(2024年1月24日)
- U.S. Department of Health and Human Services (HHS)「HPH Cybersecurity Performance Goals」
- Cybersecurity and Infrastructure Security Agency(CISA)「CISA Releases Updated Cybersecurity Performance Goals」(2023年3月21日)
- U.S. Department of Health and Human Services (HHS)「HHS Cybersecurity Task Force Provides New Resources to Help Address Rising Threat of Cyberattacks in Health and Public Health Sector」(2023年4月17日)
- U.S. Department of Health and Human Services (HHS)「HHS Announces Next Steps in Ongoing Work to Enhance Cybersecurity for Health Care and Public Health Sectors」(2023年12月6日)
- The White House「FACT SHEET: Biden-Harris Administration Announces National Cybersecurity Strategy」(2023年3月2日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
執筆者
笹原 英司/Eiji Sasahara
デロイト トーマツ サイバー合同会社 シニアマネジャー
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事
