米国保健福祉省(HHS)が最近、医療セクター向けの自発的なサイバーセキュリティパフォーマンス目標を概説したガイダンスを発表しました。Google CloudのサイバーセキュリティエグゼクティブであるTaylor Lehmannは、このガイダンスが将来の規制要件や法律に反映される可能性が高いと指摘しています。
サイバー攻撃は医療提供者にとって大きな脅威であり、ハッカーの手法は日々洗練されています。例えば、ニューヨーク州のKathy Hochul知事は、サイバー脅威から自身を守るための新しいポリシーと手順を確立することを要求するサイバーセキュリティ規制の提案を発表しました。HHSのガイダンスでは、基本的なサイバーセキュリティトレーニングの義務化、既知の脆弱性の軽減、メールセキュリティの強化、多要素認証の使用、強力な暗号化の確保、ユニークな認証情報の要求、退職する職員の認証情報の取り消し、ユーザーと特権アカウントの分離、インシデント対応計画の確立、ベンダーのサイバーセキュリティの審査など、医療提供者のサイバーセキュリティを強化するための10の主要目標を概説しています。
Lehmannは、これらの規制努力が業界の協力と情報共有と組み合わせることで、実際の長期的な変化をもたらすと考えています。彼は、病院がアイデンティティを制御メカニズムとして強化することに焦点を当てるべきだと推奨しており、HHSのガイダンスでこれが強調されていることを歓迎しています。また、ペネトレーションテストを実施することの重要性を強調し、これにより医療機関は攻撃者が侵入する可能性のある方法と、直ちに実施すべき簡単な対策を特定できると述べています。
【ニュース解説】
米国保健福祉省(HHS)が医療セクター向けに自発的なサイバーセキュリティパフォーマンス目標を概説した新しいガイダンスを発表しました。この動きは、サイバー攻撃の脅威が増大する中、医療提供者が直面するリスクを軽減するためのものです。Google Cloudのサイバーセキュリティエグゼクティブ、Taylor Lehmannは、このガイダンスが将来の規制要件や法律に反映される可能性が高いと指摘しています。
サイバー攻撃は、技術が進化するにつれて、より洗練され、医療提供者にとって大きな脅威となっています。このような背景の中、HHSによるガイダンスは、医療セクターにおけるサイバーセキュリティの強化を目指すものです。ガイダンスには、基本的なサイバーセキュリティトレーニングの義務化や、多要素認証の使用など、10の主要目標が含まれています。
Lehmannは、これらの目標が医療提供者にとって基本的なものであるとしつつも、実際には適切に実装されていないことが多いと指摘しています。そのため、医療機関はアイデンティティを制御メカニズムとして強化し、ペネトレーションテストを実施することで、攻撃者が侵入する可能性のある方法とその対策を特定することが重要です。
このガイダンスの発表は、医療セクターにおけるサイバーセキュリティの強化に向けた重要な一歩です。しかし、実際の効果を発揮するためには、業界全体での協力と情報共有が不可欠です。また、各医療機関のITシステムの現状やリソースに応じて、適切な対策を講じる必要があります。
長期的には、このようなガイダンスと規制努力が組み合わさることで、医療セクターのサイバーセキュリティが大きく向上することが期待されます。しかし、新しい技術や手法の出現により、サイバーセキュリティの脅威は常に進化しているため、医療機関は常に警戒し、対策を更新し続ける必要があります。
from Why One Google Cloud Exec Thinks HHS’ New Cybersecurity Guidelines Are A Step In The Right Direction.
