医療分野のサイバーインシデントに「内部犯」が他分野の3倍多い理由

ヘルスケア分野でのサイバー侵害は従業員が原因になっていることが多い。特に「不正な権限の乱用」による問題はその他の分野の3倍に上るが、その背景には業界特有の構造的な問題があるのかもしれない。

[Rebecca Pifer，Cybersecurity Dive]

　ヘルスケア（医療機関）におけるサイバーセキュリティ侵害は2021年に最高を記録し、膨大な量の患者データが危険にさらされた。ランサムウェアのような外部からの脅威は「セキュリティ対策資金の慢性的な不足」「ロシア関連のサイバー攻撃の懸念」「極めて攻撃的なランサムウェアグループの台頭」などの要因とともに高く懸念される。

　ただしヘルスケア分野は、その他の分野と「原因」の割合が異なる。具体的には、サイバー侵害の40％が従業員を原因とするものだったという。従業員の不正な権限乱用による侵害はその他の業界に比べて3倍に上る。

医療業界にとっての「常識」がインシデントの温床に？

　Verizonが2020年11月〜2021年10月にサイバーインシデントの被害に遭った組織から収集したデータを基に作成した報告書によれば、ヘルスケア業界における侵害の要因のトップ3は「基本的なWebアプリケーションへの攻撃」「雑多なエラー」「システム侵入」で、全体の4分の3を占めた（注1）。その中で同社は「侵害の原因のほぼ40％が従業員によるもの」と指摘し、内部プロトコルの見直しを提言する

　主な侵害の要因は、2021年に発表した前回調査の結果と変わらなかった。基本的なWebアプリケーションへの攻撃は侵害の約30%を占める。システム侵入はマルウェアやハッキングを使った複雑な攻撃で、侵入の約26%を占めた。意図せずして情報のセキュリティを直接侵害する「雑多なエラー」は、約21％を占めた。

　報告書によれば、ヘルスケア企業にとって内部関係者は「厄介なサイバーセキュリティ上の問題」だ。他業界では従業員が関与する侵害は18％程度だったが、ヘルスケア分野においては39％に上る。

　内部関係者による侵害で目立つのは、メールの宛先間違いなどによる「データの誤送信」だ。「デバイスの紛失」「文書の紛失」と並んで「最も一般的な従業員によるミス」と報告されている。一般的なミスによる意図しないエラーは、悪意ある不正アクセスよりも2.5倍多い。

　特にVerizonが警告するのは、従業員による「権限の乱用」だ。正規の権限を持たない従業員が間違ったり、悪意を持ったりしてシステムを不正に使用することによって起きるインシデントは、他の業界に比べて3倍多い。

　報告書は「ヘルスケア領域は長い間、内部の関係者が正当な理由なくデータにアクセス可能な環境にある。侵害の理由として『上位の理由』ではないが、解決済みの問題と見なすべきではない」と伝える。

　ヘルスケア関連の侵害で漏えいしたデータは60%近くが個人情報で、46%が医療情報だった。Verizonによれば、個人データが医療データよりも多く漏えいしたのは2年連続となる。

　この傾向の理由は不明だが、組織が医療データのセキュリティを強化する一方で、個人データの保護が不十分なままである可能性や、サイバー攻撃者が機密性の高い医療情報の入手に焦点を当てていない可能性がある。

　「現状が医療データを大量に扱う業界にとって『当たり前のこと』なのか。攻撃者は標的とするデータの種類を気にせず、ただ『暗号化ゲーム』を楽しんでいるだけなのか。医療データの管理のみ強化され、個人データは待合室に放置されたままなのか。それは業界関係者のみが知っていることだ」と報告書は述べる。

　Verizonの報告書によれば、ヘルスケア業界では2021年、849件のインシデントと571件の侵害が発生した。これは、インシデントと侵害の両方で金融や他の専門分野より少ないが、ヘルスケアはインシデントだけで教育、情報、製造、行政に後れをとっている。

出典：Employees cause more cyber breaches in healthcare than other industries, report finds（Cybersecurity Dive）

注1：2022 Data Breach Investigations Report