ソフトウェア・インテグリティ

 

サードパーティーのセキュリティの甘さが招いた医療業界のメガブリーチ(大規模なデータ漏洩)

AMCAのデータ漏洩はサプライチェーンのセキュリティの必要性について強く考えさせられた出来事でした。以下では、QuestやLabCorpの二の舞にならないようにベンダーを精査する方法を説明します。

AMCAのデータ漏えいがQuestとLabCorpにもたらした影響:サードパーティー・セキュリティ

この投稿は『Forbes』誌で発表された記事を元にしています。

「お客様の情報の安全性、セキュリティ、プライバシーが最優先事項です」という企業の発表があったときには、そのデータの安全性、セキュリティ、プライバシーが最近侵害されたと思ってほぼ間違いありません。

当該企業で直接問題が発生していないにもかかわらず漏洩は起こりました。サイバーセキュリティの専門家たちは、自社のセキュリティが厳格であってもそれだけでは不十分だということを何年も前から説いてきました。自社のデータにアクセスできるサードパーティーのセキュリティが脆弱であれば、自社のセキュリティも不備になります。サードパーティーのセキュリティが侵害されれば、自社のセキュリティも侵害されます。

今週の最新のメガブリーチで、このような一件がまたしても明るみに出ました。

約2,000万人に影響を及ぼすAMCAの漏洩

約2,000万人に影響を及ぼすAMCAの漏洩

医療検査の巨大企業Quest DiagnosticsLabCorpは、両社の集金代行業者American Medical Collection Agency(AMCA)に対する侵害により約1,940万人の患者の個人情報と医療情報が漏洩されたことを、証券取引委員会(SEC)への提出を通じて公表しました。この侵害による影響を、Questは推定1,170万人、LabCorpは推定770万人に上るとしています。

数日後、同じ侵害によって422,600人の患者のデータが漏洩した可能性があるというOpko Healthからの報告により、その数字は合計約2,000万人にまで押し上げられました。

BSIMMscでサプライチェーンのリスクを管理する

EUの一般データ保護規則(GDPR)の1周年に関する一連の論評で多くの専門家が指摘したように、米国では2003年から医療データのセキュリティを規定するGDPRと同様の法律、医療保険の携行性と責任に関する法律(HIPAA)が定められていたにもかかわらず、このような事態が起きました。

このことは、データ保護法を整備することはできても、なお事件が発生することを示唆しています。

セキュリティ・ブロガーのBrian Krebs氏は、ブログ記事の中で、他にもこのリストに追加される企業が出てくる可能性が高いという意見を述べています。Krebs氏は、「AMCAは、臨床検査室や病院、ダイレクト・マーケター、通信会社、州や地方の運輸/通行料徴収機関など、幅広い企業を代行して積極的に債務回収サービスを行ってきた歴史で知られるニューヨークの企業です」と説明しています。

AMCAに対する侵害は8か月かけて準備された

攻撃者はAMCA(およびその顧客)のデータを収集して精査するために8か月もの時間をかけたようです。

SECへの提出書類によれば、AMCAは2018年8月1日から2019年3月30日まで漏洩が続いたと報告しています。また、漏洩した情報には、氏名、生年月日、住所、電話番号、サービス提供日、プロバイダー、残高情報が含まれている可能性があるとしています。報告によれば、医療情報は含まれていたものの、検査結果は含まれていませんでした。

AMCAから漏洩の通知を受けてから3日後の6月3日にプレスリリースを発表したQuestは、AMCAへの接続は実際には別のベンダー、Optum 360を通じて行われているとしています。プレスリリースでは、「AMCAは、影響を受けた可能性のある個人とその情報内容など、AMCAのデータ・セキュリティ・インシデントに関する詳細あるいは完全な情報をQuestまたはOptum360にまだ提供していません。また、QuestはAMCAから受け取った情報の正確性を確認することができませんでした。」と発表しました。

Krebs氏によると、AMCAからは質問に対する回答がないまま、Questは外部のPR会社を通じて声明を発表し、セキュリティ・コンプライアンス会社から侵害の可能性を通知された後、「内部レビューを実施し、Web支払いページを取り下げた」と説明しています。

「当社は、当社のシステムの潜在的なセキュリティ侵害を調査するためにサードパーティーのフォレンジック企業を雇い、Web支払いポータル・サービスをサードパーティー・ベンダーに移行し、当社のシステムのセキュリティを強化するための手順について助言・実施するためのエキスパートを増員しました。また、このインシデントを法執行機関に報告しました。」

QuestはAMCAへの代金回収依頼を停止したとしていますが、泥棒が1,170万頭もの馬を盗んで逃げた後で家畜小屋のドアを閉めるといった後手の感があります。

AMCAに対する侵害の余波

ありがちな結末

そして、ありがちな不吉な余波はまだ始まったばかりです。

惨事の回避

この一連の惨事は避けることができたでしょうか。攻撃者にエクスプロイトを許した脆弱性をAMCAが公表していないため(おそらくまだ検出されていないため)、それを確かめる方法はありませんが、AMCAの契約企業がセキュリティ・プラクティスの監督を積極的に行っていれば、漏洩の可能性は低減していたでしょう。

意外にも、サプライチェーンのリーダーはリスクを認識しています。しかし、その認識は明らかにセキュリティの方針に変化をもたらすような行動につながっていません。

リサーチ&アドバイザリー企業Gartnerによる5月30日付けの報告書「Get Ahead of the Expanding Risk Frontier: Supply Chain Security」によると、「サプライチェーンのリーダーたちは、サイバー攻撃のリスクを懸念事項のトップに位置付けているが、自分たちの部門とIT部門との関係を戦略的なものとみなしているリーダーは10%に過ぎない」ことがわかりました。

その支援のためのさまざまな助言やサービスがあるにもかかわらずです。

サプライチェーン攻撃から身を守る方法

サプライチェーン攻撃から身を守る方法

BSIMM (Building Security In Maturity Model:セキュア開発成熟度モデル) は、他の組織が何を行い、何が効果を上げているかを示すことによって、組織のソフトウェア・セキュリティ対策(SSI)の向上を支援します。 サードパーティーが提供するソフトウェアに対応するBSIMMsc(旧称vBSIMM)もあります。

シノプシスの主任科学者であり、BSIMMの共同作成者であるSammy Miguesは、近日発表のホワイトペーパーで、BSIMMscは「立証と自動化を活用して、ソフトウェア・サプライチェーンのリスク管理のための基礎的なセキュリティ・コントロールとしての機能を果たすことを目指している」と述べています。

もう少し簡単に言えば、組織が「無知」なソフトウェア・ベンダーを回避するために役立つように設計されているということです。

米国政府説明責任局(GAO)のITおよびサイバーセキュリティ担当ディレクター、Nicholas Marinos氏は、ヘルスケア企業を含むほとんどの企業が「セキュリティ・サービス、IT、または業務遂行」をサードパーティーに頼らざるを得ないのが現実だと述べました。

つまり、保護対象保健情報(PHI)を扱う組織は、「サードパーティーがベストプラクティスに従って対象データを保護していることを確認する手段を設けている必要があります」とMarinos氏は指摘しています。これには、約束したセキュリティ・テストが実際に行われたことを確認するためのフォローアップが含まれます。

「ということは、テストが行われ、結果のフォローアップがあったことを確認するための専門知識を備えている必要があることを意味します」とMarinos氏は述べました。

ヘルスケア業界は重要インフラだと同氏は指摘します。「最終的には、情報が肝心です」と、Marinos氏は述べました。「セキュリティというとテクノロジーとシステムに重点が置かれることがありますが、あらゆる企業にとって、所有しているデータの内容、その使われ方、その行き先、および自社組織に接続しているテクノロジーの種類を把握しておくことは有益です。」

また、Gartner のレポートでは、サードパーティー・ベンダーのセキュリティを効果的に監視しようとしている組織向けの定石を提示しています。

アナリストのKatell Thielemann、Mark Atwood、Kamala Ramanの各氏からの推奨事項の一部を以下にご紹介します。

  • 自社とそのサードパーティーが所有しているもの、保護する必要があるものは何かを把握する。
  • サードパーティーのセキュリティおよびリスク管理体制を評価する。
  • 自社に適用されるすべての業界規制を把握し、サプライチェーン・リスク管理戦略に含める。

レポートでは、これらの目標やその他の目標を達成する方法について詳しく説明しています。

どの方法を用いても完璧にはなりませんが、完璧に近付くことはできます。攻撃者は狙いやすいターゲットを探すものですから、たいていはそれで十分です。

ソフトウェア・サプライ・チェーンに潜むリスクを管理

 

この著者によるその他の情報