仮想医療機関であるConfidant Health社におけるデータ侵害で、個人を特定できる情報（PII）と機密データがもう一方の組織に大きな違いがあることが明らかになりました。
物語は、セキュリティー研究者のJeremiah Fowner氏が、Confidant Health社とリンクされた5.3テラバイトの公開データを含む安全でないデータベースを発見したことから始まりました。同社は、コネチカット州、フロリダ州、テキサス州などで依存症の回復支援とメンタルヘルス治療を提供しています。
この漏洩はWIRED誌によって最初に報告され、患者の名前や所在地などの個人情報だけでなく、セラピーセッションの音声・映像記録、詳細な精神科受診記録、包括的な病歴などの機密情報も含まれていました。
その記事は、一部の情報の一部がどれほど恐ろしく危険にさらされていたことを示していました：「7ページの精神科インベントリー・ファイル...患者がどのような方法で来たかなど、アルコールやその他の物質に関する問題の詳細が記載されているもの...家族が死去する前に祖父母のホスピス・サプライヤーからのホスピスケアに至るまで、データベースにテクノロジーを記憶させていたもの」と記事は説明しています。「ある母親は、別の文書の中で、息子が促進剤を使用している最中に、パートナーを性的虐待として告発するなど、夫と息子の間の『問題のある』関係について説明しています。」
IBMの2024年データ侵害のコストに関する調査によると、侵害の46％に顧客のPIIが関係しています。同レポートでは、知的財産（IP）データのレコード1件あたりのコストが156米ドルから173米ドルに大幅に増加したことにも言及しています。
しかし、Confidant Health社のインシデントでの露出のレベルは、影響を受ける個人に対する潜在的な損害が大幅に増大していることを示しており、単なるPIIの侵害に伴うリスクをはるかに上回っています。
サイバー攻撃者や悪意のある行為者は、医療データを含む機密データを高く評価します。医療データは、ソーシャル・エンジニアリング攻撃や標的を絞った恐喝、さらには非倫理的な競合他社や敵対者への販売に利用される可能性があるからです。この情報の機密性こそが、悪意のあるエクスプロイテーションに利用される価値があるものなのです。
明確に言えば、医療詳細のような機密データが漏えいすることは、対象者だけでなくその雇用主にとってもリスクです。このデータは、従業員を脅迫して、従業員の会社への侵害に役立つパスワードやその他のデータを提供させるために使用される可能性があります。
考えられる攻撃ベクトルには次のようなものがあります。
最近のデータ侵害は、特に医療現場における堅牢なデータ保護対策の必要性を痛感させるものです。重要なのは、包括性と常に警戒することです。
医療やその他の環境で機密情報を保護するには、包括的なアプローチが必要です。
暗号化は、機密データを保護する上で重要な役割を果たします。すべての通信とデータ転送にエンド・ツー・エンドの暗号化を使用して、保存中と転送中のデータを暗号化することが不可欠です。紛失や盗難時にデータを保護するために、モバイル・デバイスやノートPCにはデバイス暗号化を実装する必要があります。
ネットワーク・セキュリティーは、データ保護のもう1つの重要な側面です。次世代ファイアウォールと侵入検知・防御システムのデプロイは、外部脅威に対する防御に役立ちます。ネットワーク・セグメンテーションで機密データを分離し、仮想プライベート・ネットワークで安全なリモート・アクセスを実現します。
データ保護対策には、データの移動を監視および制御するためのデータ損失防止ソリューションの実装が含まれます。データ・マスキングとトークン化を使用すれば機密情報を保護でき、テスト済みの復元手順で定期的にバックアップすることで、インシデント発生時のデータ可用性を確保できます。
エンドポイント・セキュリティーは、マルウェアやその他の脅威から保護するために重要です。最新のアンチウイルスおよびアンチマルウェアソフトウェアを維持し、EDR（エンドポイントの検知と対応）ソリューションを導入し、会社が所有するデバイスのモバイル・デバイス管理を使用します。
組織の観点から見ると、包括的なデータ保護ポリシーを策定し、実施することが基本です。これには、正式なインシデント対応計画の実施や、明確なデータ保持と廃棄手順の確立が含まれます。全従業員に対する定期的なセキュリティー意識向上トレーニングと、機密データを扱う従業員向けの専門トレーニングは、組織全体のセキュリティー意識の文化を育むのに役立ちます。
リスク管理は、定期的なリスク・アセスメントと脆弱性スキャンの実施を含む継続的なプロセスです。正式なリスク管理プログラムを実施し、すべてのシステムとソフトウェアに定期的な更新とパッチを適用する必要があります。
サードパーティー・リスクの管理も同様に重要です。これには、厳格なベンダー・リスク管理手順の実施、すべてのサード・パーティー契約にデータ保護条項が含まれるようにすること、サード・パーティーのアクセスとデータの取り扱い方法を定期的に監査することが含まれます。
コンプライアンスと監査は、堅牢なセキュリティー・プログラムの重要なコンポーネントです。組織は、HIPAAなどの関連する医療規制を確実に遵守する必要があります。定期的に内部および外部のセキュリティー監査を実施し、すべてのデータ・アクセスとシステム・アクティビティーの詳細なログを維持する必要があります。
データ・ガバナンスは効果的なデータ保護に不可欠です。これには、正式なデータ分類システムの導入、データの所有権と管理の役割の確立、すべての機密データの定期的なインベントリー作成とマッピングが含まれます。
セキュリティー侵害の影響を最小限に抑えるためには、インシデント対応と復旧機能がきわめて重要です。組織はインシデント対応計画を策定して定期的にテストし、専用のインシデント対応チームを設立し、自動化された脅威検知と対応機能を導入する必要があります。
物理的なセキュリティー対策も見落としてはなりません。データセンターや機密エリアへの物理的アクセスの確保、物理メディアの適切な廃棄手順の実施、重要なエリアでの監視およびアクセス制御システムの使用はすべて、包括的なセキュリティー戦略の重要な側面です。
これらの対策を実施することで、組織はデータ保護体制を大幅に強化できます。ただし、サイバーセキュリティーは、継続的な警戒が必要な継続的なプロセスであることを覚えておくことが重要です。進化し続けるサイバー脅威の環境で機密情報の堅牢な保護を維持するには、定期的な評価とセキュリティー・プログラムの改善が不可欠です。
デジタル化が進むランドスケープを乗り切る上で、このインシデントは、機密データの閲覧と保護の方法のパラダイムシフトが緊急に必要であることを浮き彫りにしています。PIIの保護だけに着目するだけでは、もはや不十分です。組織は、機密性の高い個人情報の独自の価値と脆弱性を認識する総合的なアプローチを採用する必要があります。