タブレットを使用する医療従事者。医療技術コンセプト。

ヘルスケアデータの適切なセキュリティに関する厳しい現実

6 2023
ブログホーム

医療機関は、保護医療情報(PHI)と呼ばれる個人的な医療データの保存と転送を日常的に行う必要があります。サイバー攻撃やデータ損失を防ぎ、PHIの安全を確保するためには、データセキュリティを優先させることが引き続き重要となります。実際、アメリカ医師会 の調査によると、患者の92%が、自分は医療データのプライバシー権を有しており、保護されるべきであると考えています。これは口で言うのは簡単ですが、実際にはデータをいつでも即座に転送して共有する必要があるため、一筋縄では行きません。

個人情報保護は軽く見られがちですが、侵害は現実的な結果を招きます。例えば、Scripps Health社は、2021年のランサムウェア攻撃を受け、350万ドルの和解金を支払いました。

脅かすつもりはありませんが、医療機関が標的となる侵害が増加していることを直視する必要があります。攻撃者は医療データを侵害することに価値を見出しており、ランサムウェア攻撃は急速に拡大しているため、世界中の医療機関が戦略的に狙われています。

それでは、強固なデータセキュリティを確保するためには、どうしたらよいのでしょうか?

セキュリティと医療のアイコン。医療機関におけるデータセキュリティの懸念に関するコンセプト。

このような特有の課題や、刻々と変化する規制には、物事をシンプルにすることで対応しましょう。必要なのは単純です。医療機関のセキュリティ戦略の要として、データの暗号化を採用する必要があります。

結局のところ、見えるものはセキュリティで保護しなければ、攻撃を受けてしまいます!これは、データセキュリティ計画を検討する際に知っておくべき重要なことです。

Kingstonは、医療データの適切な保護 が重要であることを理解しています。医療データの暗号化セキュリティを取り入れる際には、いくつかの注意点があります。まず、規制遵守のためのデータ暗号化の価値を理解することが重要です。HIPAA、GDPR、CCPAなどの国際的な規制では、個人データの暗号化に関する要件が定められています。暗号化を活用することで、医療機関はデータ侵害の被害から身を守り、これらの規制へのコンプライアンスを維持することができます。

しかし、暗号化はそう単純ではありません。通常、ハードウェアベースの暗号化とソフトウェアベースの暗号化の2種類にわかれます。

ソフトウェアとハードウェアの暗号化の違いを理解することは、患者の医療データを保護するために重要です。ソフトウェアによる暗号化は、多くの場合、初期導入コストは安価ですが、その安全性はホストシステムに左右されます。その結果、パスワードやリカバリーキーがホストシステムのメモリ、ページングファイル、ハイバネーションファイルで見つかると、ハッキングに対して非常に脆弱になってしまいます。さらに、多くの暗号化されたファイル形式は、インターネット上で無料または非常に安価に入手できるソフトウェアツールを使って、総当たりパスワード攻撃をかけることで認証プロセスを突破できてしまいます。最新のコンピュータは、1秒間に10億回以上、パスワードを推測できます。また、ソフトウェアで暗号化されたファイルをコピーし、多数のコンピュータで並行して攻撃することで、総当たりパスワード攻撃にかかる時間はさらに短縮されます。

ハードウェア暗号化は、USBドライブや外付けSSDなど、ストレージデバイス内で完全に完結する、専用のセキュリティエコシステムです。ハードウェアによる暗号化はどんなときもデータを保護し続けますが、ソフトウェアによる暗号化はドライブを再フォーマットすることで誰でも解除できます。医療機関では、悪意を持った従業員が保護を無効化し、ソフトウェアで暗号化されたドライブを侵入可能なストレージデバイスに変えてしまう可能性があります。

一般的にハードウェア暗号化は、パスワードや暗号化キーをホストシステムに公開しないため、飛躍的に安全性が高まります。しかし、暗号化されていないストレージドライブと比較すると、このセキュリティ強化はコスト面で割高になります。2022年に米国で発生した侵害では、平均被害額が435万ドル{{Footnote.A68763}}を超えています。このため、モバイルデータではXTS-AES 256ビット暗号化を施し、総当たり攻撃とBadUSB攻撃の保護機能を組み込んだハードウェア暗号化USBドライブや外付けSSDドライブが使用できることを考えると、ソフトウェア暗号化で費用を節約する意味はありません。たとえハードウェア暗号化されたドライブを紛失しても、強力なセキュリティ機能でPHIデータを保護し続けると言うことはできるでしょう。

Kingston IronKey XTS-AES 256ビットハードウェア暗号化ドライブのラインナップには、セキュリティに対するユーザーの不満を解消する、使いやすいドライブも存在します。マルチパスワードに対応し、パスワードを忘れても、ユーザーやプロバイダーがドライブへのアクセスを回復することができます。今では、誰も覚えられないパスワードの代わりとなる方法、パスフレーズが存在します。最大64文字で、好きな本や歌の題名、言葉の羅列、詩や歌の一節など、医師や医療従事者が覚えやすい他の語句を使えます。そのうえで、総当たりパスワード攻撃によるロックダウンや暗号解読の再試行が制限される環境では、攻撃者がパスフレーズを推測するのはほぼ不可能です。

パスフレーズは、Vault Privacy 50、50C、Vault Privacy 80 External SSDドライブで利用可能です。Vault Privacy 80ESやKeypad 200などのキーパッドドライブはPIN方式を用いており、PINを好むユーザーはスマートフォンと同じような感覚で使用することができます。また、VP80ESドライブは、タッチパネル上のわかりやすい英数字キーボードを使ったパスフレーズにも対応しています。

各Kingston IronKeyハードウェア暗号化ドライブのレイアウト。ハードウェアで暗号化されたUSBドライブやSSD。

すべてのIronKeyドライブは、総当たりパスワード攻撃の強力な防止機能を備えています。攻撃者がパスワードを推測すると、ドライブは無効な試行をカウントしてユーザーパスワードをロックし、管理者パスワードの試行回数を超えると、ドライブは自動的に暗号化され、すべてのデータは永久的に失われます。ソフトウェアによる暗号化では、そうした攻撃をこれほど強力に防御することはできません。

Vault Privacy 80ESやKeypad 200などのOSに依存しないドライブは、医療機器とコンピュータ間でやり取りされるデータの保護に最適です。これは、医療サービスで使用される多くの機器に普通に要求されます。例えば、多くの検査機器では、技術者が手作業でデータをプロバイダーのコンピュータシステムに転送する必要があります。

明るいオフィスでノートパソコンを使用して会議する5人の医療従事者。背景にはホワイトボードがある。職員がテーブルを囲んで集まっている。1人は立っていて、他の人は座っている。1人はカメラに向かって微笑んでいる。

医療機関は、ハードウェアで暗号化されたデバイスに加えて、ベストプラクティスに関する従業員のトレーニング、多要素認証の導入、ソフトウェアやシステムの定期的なアップデートなど、サイバーセキュリティのデータ汚染防止対策も検討する必要があります。小規模な医療機関であっても、ハードウェアで暗号化された外付けSSDに定期的にバックアップを取ることが、ランサムウェア攻撃の被害に遭うか、システムを迅速に復旧させることができるかの分かれ目となります。

医療機関は、セキュリティに重層的なアプローチを取り、従業員の日々の習慣としてデータ保護を定着させることで、患者のデータを効果的に保護することができます。データセキュリティ戦略の一環としてKingston IronKeyハードウェア暗号化ドライブを導入することは、HIPAAやその他の医療データ保護規制へのコンプライアンスを確保する上で効果的です。

医療データセキュリティのニーズを満たす、様々なKingston IronKeyの製品が存在します。または、患者データの安全を確保する方法について、Kingston IronKeyの「専門家に照会」でお問い合わせください。

#KingstonIsWithYou #KingstonIronKey

回路基板のチップセット上にある Kingston の Ask an Expert (専門家に照会)アイコン

専門家に照会する

正しいソリューションの設定計画を行うには、顧客のプロジェクトのセキュリティ目標を理解する必要があります。そのためにキングストンの専門家がご案内します。

専門家に照会する

関連動画

巨大な 2.5 インチ SSD を抱えている Trisha、その横に、鍵と Windows アイコンと共に表示された M.2 SSD 5:02

ハードウェアベース vs ソフトウェアベースの暗号化

ハードウェアベースとソフトウェアベースの暗号化の違いは何でしょうか?

関連記事

ブログホーム