メインコンテンツへスキップ

Health-ISAC がヘルスケア CISO 向けのゼロ トラスト実装ガイドを公開

医療分野でゼロトラストセキュリティモデルを採用する際の課題は、IoTデバイスの急速な拡大と「一部の医療従事者の移動性」に関連する認証の複雑さという2つの主要な問題に集約される。 新しいホワイトペーパー Health-ISACより。

記事へのリンク:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

ゼロ トラストへの移行を行う前に、これらのハードルに対処する必要があります。「ゼロ トラスト アーキテクチャの実装は、1 つのベンダーに行って既製のソリューションを選択するほど簡単ではありません。」

以前に報告されたようにゼロ トラストは医療にとって理想的ですが、システムの複雑さやその他の障害により、ほとんどのプロバイダー組織は移行に苦労しています。

しかし、保健福祉省はAPIに大きく依存する相互運用性の向上に引き続き取り組んでおり、 ゼロトラストの導入 病院が拡大するネットワークに適応するためには、これが優先事項となるべきです。

アイデンティティは「ゼロトラストの中核」であり、多要素認証、承認ガバナンス、および「アクセス用の役割と属性の適切なプロビジョニング」を含むと Health-ISAC は指摘しています。「アクセス ルールは、最小限の権限を可能にするために可能な限り細かくする必要があり、すべての対象、資産、およびワークフローは明示的に認証および承認される必要があります。」

たとえば、ゼロ トラストでは、従業員は必要な職務を遂行するために必要な要素にのみアクセスできるようになります。このモデルでは、ネットワークが最小権限アクセスに基づいてセグメント化され、ユーザーに合わせた信頼ポリシーに基づいて最小限のアクセスが提供されます。

ヘルスケア分野の最高情報セキュリティ責任者がゼロトラスト セキュリティと、サイバーセキュリティに対するアイデンティティ中心のアプローチを構築するためのモデル アーキテクチャへの推奨アプローチをより深く理解できるよう支援することを目的としています。

Health-ISAC は、このガイドはゼロ トラストとその必要な基盤、基本原則、ゼロ トラストへの移行における一般的な課題、移行の開始方法について CISO を教育するために設計されていると述べています。このガイドは、あらゆる規模と成熟度の組織を対象に作成されており、これらの CISO がサイバー セキュリティに対する ID 中心のアプローチの重要性を理解することを期待しています。

セキュリティリーダーは ゼロトラストの定義、セキュリティモデルの影響、医療環境内でゼロトラストを実装するための具体的な手順について説明します。この論文では、ゼロトラストのコンポーネントも追加しています。 アイデンティティ管理のためのHealth-ISACフレームワーク 2020年にリリースされました。

このフレームワークはゼロ トラストの概念を取り入れて更新され、「ゼロ トラスト アーキテクチャの中核要素を提供するための追加の制御を組み込んで」おり、これには通信のセキュリティ保護、資産の監視、アクセスを許可するための境界、ポリシー ベースの承認、対象システムおよびリソースへのデバイスの追加などの標準が含まれます。

ヘルスケア CISO は、このガイドを活用して、モデルを導入する際に組織が直面する可能性のある特定の課題を評価できます。Health-ISAC は、業界の関係者からのフィードバックも求めています。

「この基準は最初は困難に思えるかもしれないが、長期的には組織のセキュリティ向上につながるだろう」と Health-ISAC は結論づけている。「誰かを玄関から入れて、アクセス権限のある役割を与え、あとは好き勝手にやらせていた時代は終わった」

Health-ISAC がヘルスケア CISO にゼロトラスト セキュリティ ガイダンスを提供
アイデンティティとゼロトラスト: CISO 向け Health-ISAC ガイド