メインコンテンツへスキップ

健康-ISAC ハッキング ヘルスケア 5 年 11 月 2026 日

今週は、Health-ISAC®ヘルスケアのハッキング® 議会の予算措置により、重要なサイバーセキュリティ機関に影響を与えていた76日間の閉鎖が解除された後、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)で何が起こっているのかを皆様にお伝えするよう努めています。

念のためお知らせしますが、これは Hacking Healthcare ブログの公開バージョンです。さらに詳しい分析と意見については、H-ISAC のメンバーになって、このブログの TLP Amber バージョン (メンバー ポータルで入手可能) を受け取ってください。

 

PDFバージョン:

 

テキストバージョン:

Hacking Healthcareへようこそ® !

アメリカ大陸ホビー演習2026

本日の記事に入る前に、第7回アメリカ大陸ホビー演習が間近に迫っていることをお知らせします。Health-ISAC会員の皆様には、ぜひ参加をご検討ください。この演習は、Health-ISAC会員、米国政府機関、その他の重要インフラ部門が参加する終日ワークショップおよび机上演習です。この演習は、大規模災害発生時および発生後に医療部門が直面する課題への認識を高め、医療部門と政府機関の間における永続的な関係を構築することで、理解、対応、復旧計画および活動を強化することを目的としています。

今年のホビー演習は6月24日にワシントンD.C.で開催されます。参加希望者はこちらから登録できます。

https://portal.h-isac.org/s/community-event?id=a1YVn000005srUHMAY.

さらに詳しく知りたい方は、昨年の報告書をこちらからご覧いただけます:https://health-isac.org/2025-americas-hobby-exercise-after-action-report/

長期にわたるシステム停止後のCISAの評価

4月30日、76日間に及ぶ政府機関閉鎖を経て、トランプ大統領は国土安全保障省(DHS)への資金提供を目的とした妥協案の議会法案に署名しました。この資金提供により、CISAは業務を本格的に再開し始めました。そのため、長らく待たれていた(そして技術的には期限を過ぎていた)重要インフラ向けサイバーインシデント報告法(CIRCIA)の最終規則に関して、CISAが現在どのような状況にあるのか、また、重要インフラ分野はCISAが新たに導入した「CI Fortify」イニシアチブをどのように捉えるべきなのかを評価する絶好の機会と言えるでしょう。

CIRCIA アップデート

2022年に可決されたこの法律の主な目的は、対象となるサイバーインシデントおよび身代金支払いについて、対象となる様々な組織における報告義務を確立することでした。これらの報告は、CISAが必要に応じて対応する際に役立つとともに、政策立案者に対し、脅威の全体像と対象組織への影響をより明確に把握するのに役立つと期待されています。CIRCIAの最終化におけるCISAの役割には、CIRCIAの技術的な詳細の多くを明確にする最終規則の策定が含まれます。

CIRCIAの条文は最終的に、CISAに対し昨年10月までに最終規則を作成するよう指示した。CISAがこの期限を守れなかったため、2025年春の規制および規制緩和に関する統一アジェンダに5月に公表される可能性が示唆されていたことから、新たな目標日は2026年春になるのではないかと推測された。しかし、CISAが今年2月に、CIRCIAの「範囲と負担」を「精緻化」するために、より多くの利害関係者からのフィードバックを収集する目的で、3月と4月に一連のタウンホールミーティングを開催する意向を発表したことで、この新たな目標日に対する懐疑論が高まった。[I] その後、政府機関閉鎖により不要不急の業務がすべて停止されたため、この取り組みは頓挫した。

シャットダウンが終了したため、現在CISAのCIRCIAウェブページで入手できる情報は以下のとおりです。[II] 彼らは依然としてこれらのタウンホールミーティングを開催する意向を示しており、閉鎖によって「CIRCIA最終規則の発行が遅れる可能性が高い」と指摘している。[III]

強化せよ!

政府機関閉鎖がようやく解除されたばかりにもかかわらず、CISAは国の重要インフラ機関のレジリエンス(回復力)を高めるための新たな取り組みを開始した。5月5日、CISAは「CI Fortify」を発表するプレスリリースを公開した。[IV] CISAは、この取り組みを「あらゆる分野の重要インフラ(CI)組織が危機や紛争を乗り越えて事業を継続できるよう支援し、システムが攻撃を受けている間でも重要なサービスの提供を継続できるようにする」ためのガイダンスであると説明しており、「…回復力を強化し、CI組織とそのパートナーがサイバー攻撃中に重要なサービスの継続性の基本水準を維持できるよう支援する」としている。[V]

このイニシアチブの現在のウェブページでは、特に「より広範な地政学的紛争」の状況下において、国家主体が重要インフラに及ぼす脅威が強調されている。このイニシアチブは、「地政学的紛争中に不可欠な業務を維持する」手段として、「隔離」と「復旧」能力に重点を置いているようだ。[VI] 隔離とは、必要に応じて第三者との接続を積極的に切断し、長期間(数か月)にわたって必要不可欠なサービスを提供し続ける能力を指します。復旧とは、適切な文書化、バックアップの確保、および通信上の依存関係への対処を指します。

また、「非事業者向けの行動喚起」もあり、どのように 産業オートメーション制御システムのベンダーおよびサプライヤーマネージドサービスプロバイダーおよびインテグレーターセキュリティベンダーボランティア 取り組みを支援できます。

現時点では、CI Fortifyに関する具体的な目標、スケジュール、資金、または新たなリソースは確認されていないようです。

 

アクションと分析
**Health-ISAC メンバーシップに含まれます**

 

[I] https://www.federalregister.gov/documents/2026/02/13/2026-02948/cyber-incident-reporting-for-critical-infrastructure-act-circia-rulemaking-town-hall-meetings

[II] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia

[III] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia

[IV] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure

[V] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure

[VI] https://www.cisa.gov/topics/industrial-control-systems/ci-fortify

[VII] https://health-isac.org/health-isac-hacking-healthcare-2-19-2026/

[VIII] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs

[IX] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs

[X] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure

[xi] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure

クロード・ミトスとその医療分野への影響
CISOのプレイブック第2巻 – Salesforceへの情報漏洩を引き起こした0Authトークンの脆弱性