医療に関する場合、サイバーセキュリティは文字通り生死の差となることがあります。患者のケアを行い、適切な医療スタッフに適切な電子健康記録を提供したり、機密情報を保護したりするために、病院、研究所、およびその他の医療提供者はオンラインで適切に接続されており、保護されている必要があります。
そのため、National Health Service(NHS)のすべてのエンティティに多要素認証(MFA)を実装する新しい 要件 すべての事業体が 多要素認証(MFA) は、そのような重要なマイルストーンなのです。RSAを代表して言っているのではなく、個人的なことです。私は英国出身で、今でも家族がいます。MFAを導入することで、NHSは患者(私の家族も含まれる)の機密性の高い健康情報を守り続けることができる。
MFA ポリシーは、組織またはシステム全体で多要素認証を実装するためのルールと要件の概要を示す。その目的は、許可されたユーザのみがシステムやデータにアクセスできるようにし、不正アクセス、データ漏洩、サイバー攻撃のリスクを低減することである。明確に定義された MFA ポリシーでは、どのユーザが多要素認証を行う必要がある か、使用する認証方法、機密データへのアクセスや高リスクのアクションの実行など、MFA が必 要となる状況が指定される。ポリシーには通常、コンプライアンス、実施、および新たなセキュリティ脅威に対応するための定期的な更新に関するガイドラインも含まれる。
この方針はNHSに特有のものだが、より広範な世界的傾向の一部でもある。NHSの新たな要件は、米国における以下の義務化に続くものである。 サイバーセキュリティの改善を求める命令に続くものです。同様に、 EUのNIS2 は、すべての加盟国の間で「高い共通レベルのサイバーセキュリティ」を確立することを目指しています。 Log4j, や、 ウクライナ, 、 国家主導のサイバー攻撃 などのインシデントは、世界中でサイバーセキュリティの重要性を前面に押し出しました。すべての組織が防御を強化することに焦点を当てることは今まで以上に重要です。特に医療分野においては非常に重要です。そのため、NHSがサイバーセキュリティを真剣に受け止めていることに非常に感銘を受けています。
しかし、NHSのような大規模かつ複雑なシステムにおいて、2024年2月の実装計画の提出期限や、完全な準拠を示すための2024年6月の期限を守るために、多要素認証を実装するには実際の作業が必要です。したがって、なぜMFAがサイバーセキュリティに重要なのか、NHSのMFAポリシーの要件を確認し、NHS Trust、統合ケア委員会、保健及びソーシャルケアの独立組織、および他の医療提供者が優先すべき機能について見てみましょう。
多要素認証は、ユーザが本人であることを確認するのに役立つセキュリティの追加レイヤーを提供します。MFAは、電子メールアドレスとパスワードだけを要求するのではなく、認証コードの入力、プッシュ通知への応答、セキュリティキーの使用、生体情報の提供など、ユーザーがログインするための追加要素を提供することを要求します。
その追加のセキュリティレイヤーを導入することは、非常に大きな効果をもたらします。パスワードとメールアドレスだけでは、ほとんどのデータ侵害を防ぐのに十分ではありません: Verizonの2023年のデータ侵害調査レポート 全侵害のうち74%が「エラー、特権の悪用、盗まれた認証情報の使用、ソーシャル・エンジニアリング」のいずれかに関与していることがわかった。報告書はまた、過去5年間で、盗まれた認証情報が侵害の最も一般的なエントリポイントになったことを発見した。
盗まれた、または侵害された資格情報から始まる侵害が増加しているだけでなく、それらの侵害がより大きな影響を持つ傾向にあることも重要です。 IBMの2023年のデータ侵害コストレポート によると、これらの資格情報から始まる侵害は平均して検知および制御に308日かかり、最も多く、最も期間がかかり、最もコストのかかる初期攻撃の1つとなっています。
強固な多要素認証(MFA)ポリシーを導入することは、機密情報を積極的に保護する上で非常に重要です。サイバー脅威がますます巧妙化する中、パスワードだけの認証ではもはや不十分です。包括的なMFAポリシーは、ユーザーに複数の要素による本人確認を要求し、認証情報が漏洩した場合でも、不正アクセスの可能性を大幅に低減します。すべてのアクセスポイントにMFAを導入することで、企業はセキュリティ態勢を強化するだけでなく、ベストプラクティスやコンプライアンス要件に準拠し、進化するサイバー脅威に対する強固な保護を確保し、潜在的な侵害の影響を最小限に抑えることができます。
GP、病院、研究所は、NHSのMFAポリシーを、サイバー攻撃の非常に現実的な脅威に対処する方法として利用することをお勧めする。なぜなら、NHSのデジタル・システムはすでに攻撃を受けているからだ:
- 2023年、あるサイバーセキュリティ企業は、次のような予測を発表した。数百万 の医療機器が...サイバー犯罪団によるランサムウェア攻撃に完全にさらされている」と報告 しました。
- また2023年には、ランサムウェア・シンジケート「BlackCat / ALPHV」が、以下のものを持ち去ったと報じられている。 患者データ7テラバイトを持ち去ったと報じられました。
- 同じ時間枠の中で マンチェスター大学 は、「100万人以上の患者のNHSの詳細が侵害された」と発表しました。
- 2022年、NHSのITプロバイダーであるAdvancedは、 ランサムウェア攻撃, この攻撃により、医療関係者は何週間も「ペンと紙で」ケアノートを取らなければならなくなった。処理と入力に6ヶ月を手動で行うことになりました。
- アメリカの ナショナルサイバーセキュリティセンター(NCSC) は、州主導の脅威者が「パンデミックの最中にNHSを標的にした」と指摘しています。
まだまだ続く。ランサムウェア攻撃であれ、アカウント侵害攻撃であれ、ソーシャル・エンジニアリングであれ、単なるフィッシングであれ、サイバー犯罪者はユーザー・アカウントや患者データを手に入れようと、あるいは病院が代金を支払わなければならないほど業務を妨害しようとしている。2020年、脅威者はドイツのデュッセルドルフ大学病院のシステムを無効にした。この攻撃中、医師は患者を別の病院に移して治療を受けさせようとした。患者は移送中に死亡した。結果として命を失った報道された最初の事例となりました。
RSAは何十年もの間、医療セクターと協力してきました。今年、私たちは電子健康記録を安全に保つのに役立つ重要な 新機能 をリリースしました。そして、医療システムのセキュリティを確保するには、組織がコンプライアンス要件に対処し、サイバー攻撃に対して自らを強化する必要があると考えています。
私は、NHSイングランドのMFAポリシーが実現可能な目標を優先してうまく取り組んでいると考えています。多要素認証の導入は、サイバーセキュリティにおける最低限の要求事項であり、このポリシーがMFAを「すべてのシステムへのリモートユーザーアクセスに強制する」と「すべての特権ユーザーアクセスを外部ホストされたシステムに強制する」という指針を採用していることで、多くの高リスクなユーザーやユースケースを確実にセキュリティ保護するのに役立つでしょう。
より広範なMFA実施の必要性
とはいえ、私はこの義務はさらに進んで、すべてのユーザーに及ぶべきだと思う。NHSは "特権ユーザー "を "システム管理者またはセキュリティ関連の機能を持つ者 "と定義している。管理者を最初に保護する意図は、彼らのアカウントが侵害されないようにし、システム全体のセキュリティ変更を実施することだと私は期待している。
この場合、合理的な第一歩ですが、最後の手段としてはいけません。外部システムにアクセスする特権ユーザーまたはリモートユーザーで止めることは、システムに過度な信頼を置いたままにすることにつながります。サイバー犯罪者はセキュリティシステムの隙間を見つけ出して利用するのが得意であり、セキュリティ関連の機能を持たないユーザーや内部ユーザーを対象外にすることは非常に大きな隙間となります。
内部攻撃のリスクを理解する
組織は、より価値の高いアカウントを中心に防御の大部分を置き、外部からの攻撃から自らを守る準備をする傾向がある。そのような考え方は、多くの攻撃が、より低いレベルのアカウントを侵害した後に内部で進行することを認識していない。管理者認証情報の侵害から始まる攻撃はほとんどありません。
その代わりに、攻撃者は「フィッシングや盗んだ認証情報を使ってアクセスを取得し、バックドアを追加してアクセスを維持したり、脆弱性を利用して移動したりするなど、さまざまなツールを使ってお客様の環境を横取りし、その後ピボットする」。
Verizon 2023 Data Breach Investigations Report(ベライゾン2023年データ侵害調査報告書)」によれば、「横方向に侵入する」。攻撃者は徐々に上に移動し、その都度権限をエスカレートさせようとするが、まずは低レベルで安全性の低いアカウントを侵害することから始める。
MFAポリシーのデメリット
さらに、MFAは重要ではあるが、特効薬ではない。組織は、次のような課題に取り組む必要がある。 ゼロトラスト そして、セキュリティをあらゆるビジネスプロセスの重要な要素とする。バーツ・ヘルス・トラストに侵入したBlackCat / ALPHVハッキング・グループを見てみよう。この秋、同じグループがラスベガスのシーザーズ・エンターテインメント・グループのITヘルプデスクをソーシャル・エンジニアリングすることでMFAを回避し、その結果、次のような事件が発生したと報じられている。 1,500万ドル の身代金支払いにつながりました。
誤解しないでいただきたいのですが、NHSイングランドの多要素認証ポリシーには、多くの良い点があります。たとえば、業界標準の使用です。NHSのオフィスが生体認証を実装することを選択した場合、ポリシーでは、 NIST SP 800-63B s5.2.3 また、 NCSC '生体認証と認証システムを見直すことを推奨しています。これらは非常に役立つ文書です。これらを参照することで、NHSの職員はMFAの展開にベストプラクティスを組み込むことができます。
アメリカの NHSイングランドのMFAポリシーガイド は、実用主義と柔軟性を優先し、すべての技術的アプローチが現在許可されていることを指摘しています。組織は「理想的な」解決策を見つけようとしないでください。「代わりに、実現可能なものを実装し、時間とともに改善してください。」NHSは、組織とユーザーの状況に基づいて、1つまたは複数の要素を選択すべきであると述べています。
完璧を良しとせず、時間をかけてMFAを改善するというアプローチは素晴らしい。おそらくNHS組織は、複数の環境で働く複数のユーザーグループをサポートする必要があるだろう。さらに、組織のニーズが進化するにつれて、新しいユーザーグループや新しい環境に適応できるMFAポリシーが必要になるだろう。
そのためには、NHSが今日、さまざまなMFA方式をサポートし、オンプレミス、マルチクラウド、ハイブリッド環境に拡張できるように構築されたソリューションを優先することが不可欠だ。NHSの職員は次のことができる。 45日間ID Plusを試す ことができます。
