2023年10月4日、クラウドセキュリティアライアンス(CSA)の健康医療情報管理ワーキンググループは、「医療におけるデータ損失防止(DLP)」(https://cloudsecurityalliance.org/artifacts/data-loss-prevention-in-healthcare/)を公開した。ここでは、その概要について概説する。
医療データシステムのクラウド化で広がるDLPの活用機会
「医療おけるデータ損失防止(DLP)」は、医療業界における患者情報の転送に焦点を当てて、DLPを有効活用する方法の概要を示すことを目的としており、以下のような構成になっている。
・謝辞
・要約
・イントロダクション
-医療におけるデータ損失防止(DLP)
-DLPクラウドはデータ転送の重要な手段
・DLPはどのように機能するか
・DLPのタイプ
・DLPのEDM(正確なデータマッチング)とIDM(インデックス文書マッチング)
-偽陽性
-データ分類
・DLPと脅威インテリジェンス
・地域別のデータ用途
・DLPの保護
・DLPのベストプラクティスがデータセキュリティを強化する
・DLPポリシー設定のベストプラクティス
・リアルタイムのDLP
・DLP成熟度の評価
・結論
・参考文献
近年のクラウドコンピューティングの普及拡大とともに、組織は、主にクラウド経由で、データを転送・共有するようになり、世界的なCOVID-19パンデミックによって、その傾向が顕著になった。反面、組織がデータを遠隔で保存し、アクセスできるようになると、権限のない個人によるアクセスの可能性や、意図しない暗号鍵の削除といった技術的問題に起因する損失など、医療データに対する新たなリスクが生まれている。
ここでは、DLPの定義について、「患者記録、個人健康情報(PHI)など、機微情報の偶発的または許可されていない損失や暴露を防止する対策」としている。PHIの侵害は、ID窃盗や治療処置に対する害など、患者に重大な結果をもたらす可能性があり、これらの対策は、医療業界において特に需要である。DLPは、検知困難なデータの流出をレビューするために、多くの組織や医療業界が検討する多面的なセキュリティソリューションであり、データ漏えいを防止し、医療データのセキュリティや完全性を保証するために、DLP戦略を設定することが重要だとしている。
DLPソリューションの技術機能とタイプ
「DLPはどのように機能するか」では、DLPソリューションで利用される技術機能として、以下の8つを挙げている。
- ルールベースのマッチング: 特定のルールにマッチするデータを発見するために、既知のパターンを利用する
- データベース指紋: EDM(正確なデータマッチング)として知られているこの手法は、ファイル内の構造化データの正確なマッチングを探し出す(例. “患者番号123”の正確なストリング向け)
- 正確なファイルマッチング: ここでは、ファイルコンテンツ全体よりも、ファイルコンテンツの暗号学的ハッシュ値に対してマッチングが行われる
- コンテキスト分析: これは、ユーザーのロール、物理的ロケーション、利用するアプリケーションなど、データ転送に関する様々な要因を考慮する際に利用され、偽陽性の削減や、ポリシー強制の正確性の改善に役立つ
- 部分的文書マッチング: この手法は、異なるユーザーがフォームの複数バージョンに入力する際に、あらかじめ設定されたパターンに部分的にマッチするファイルを探し出す
- 統計学的分析: ここでは、違反のきっかけとするために、ベイジアン分析など、機械学習またはその他の統計学的手法が利用される
- 事前組込型カテゴリー: あらかじめ組込まれたカテゴリーは、機微性やセキュリティ要求事項に基づいてデータを特定する、医療提供組織(HDO)のデータ分類に基づいたルールを利用する
- ユーザー行動分析: この手法は、疑わしいエンドユーザーの行動にフラグを立てる
次に「DLPのタイプ」では、DLPソリューションとして、以下の3タイプを挙げている。
- ネットワークDLP: データが移動している時に、抽出を監視、検知、ブロックする(例. 悪意あるインサイダーが、機微な企業情報を悪意のあるアクターにメール送信したり、退社時に知的財産を個人メールに送信したりする)。
- エンドポイントDLP: 従業員が機密データをリムーバル機器(例. USBドライブ)にコピーするのを防止する。また、エンドポイントで、ローカルに検知を実行するデータ損失ポリシーに基づいて、機微データをキャプチャするために、ファイルやネットワークの共有をスキャンする場所で、ローカルエージェントを介した保存データをスキャンする。
- クラウドDLP: データ抽出や偶発的なファイル共有に対して保護する。また、境界ベースのネットワークから、ユーザー・アプリケーション中心のネットワークに変換する際に、オンプレミス型DLPソリューションは、クラウドベースのDLPに置き換わっていく。これにより、アウトバウンドデータの調査が可能になり、ユーザーエクスペリエンスにマイナスの影響を与えることなくトラフィックをブロックするか否かの判断が容易になる。
医療業界の場合、世界保健機関(WHO)が管理・発行する医学的分類に関する変更を時系列的に組み込んでいく必要がある。そして、FDAが確認した医薬品、医師診療行為用語(CPT)/国際疾病分類(ICD-10コード)、医療診断用語などを含む文書の転送を追跡し、ブロックする際には、しばしば医療用語のDLPへの取込みが要求される。これらの用語は、EDM(正確なデータマッチング)やIDM(インデックス文書マッチング)のような機能を介して、取り込むことが可能である。
DLPソリューションの鍵を握るデータ分類と脅威インテリジェンス
データ分類は、特にDLPソリューションと合わせて、機微データを特定、追跡、保護する際にギャップを埋める橋渡し役を担う。DLPベンダーの多くは、各社固有のデータセキュリティソリューションを強化するために、データ分類サービスに依存しており、通常、固有の製品またはサードパーティ統合の形態で提供される。データ分類の標準規格は、成功するDLPプログラムの基盤であり、企業データの機密性を明確にして、データリスクを評価する基礎となる。適切にラベリング・タグ付けされたデータは、DLPプロセスを簡素化して、組織が機微データを機微でないデータと区別し、DLPのパフォーマンスを改善することを可能にする。このようなことから、データ分類機能は、DLPプログラムの統合コンポーネントとなり、DLP製品と組み合わせて提供する形態が増えている。
次にDLPソリューションとの連携が期待されるのが脅威インテリジェンスである。たとえば、脅威インテリジェンスチームがユーザー行動分析機能を強化すると、データの移動を認識する手段を達成して、データ抽出よりも前にフラグを立てることができる。DLPポリシーは、インサイダー脅威に関して、リスクのあるユーザーをモニタリング・警告するために設定することが可能であり、外部からデータ転送の監査や遮断などの行動をモニタリングできる。さらに、ファイルサイズを制限すると、ユーザーが閾値を超えるか、単独ユーザーによるファイル抽出のパターンが認識された場合、アラートのきっかけとすることができる。
ロケーションによるデータの取扱とIAM・IRM
コンプライアンスに関連して、複数の厳格な地域的・国際的規制(例.コロラド州プライバシー保護法(CPA)、欧州一般データ保護規則(GDPR)、フロリダ州デジタル権利法(FDBR)など)が、ロケーションに基づくデータ転送を管理している。将来のDLPソリューションがデータを自動的に分類・追跡する可能性はあるが、現時点では、予期しない漏えいの発生に備えて、ポリシーに基づいた特定の地域など、個人データの全タイプについてデータ保護とコンプライアンスの重要性を理解することが必要となっている。
データの共有が必要な場合、データに関する責任を有する組織は、セキュリティを保証しなければならない。データ利用に際しては、アイデンティティ/アクセス管理(IAM)がセキュリティ上重要となる。最低限、DLPソリューションには、データ利用状況のモニタリングを組み込むべきだとしている。DLPは、機微なデータを損失したり、誤用したりしていないかを保証するために利用される。DLPソフトウェアは、規制された機密データを分類し、組織や、HIPAA、PCI-DSS、GDPRのような規制遵守に従ってあらかじめ設定されたポリシー集の範囲内で、明らかなポリシー違反を特定する。加えて、組織は、情報権利管理(IRM)を考慮する必要がある。IRMは、不正なアクセスから、機微な情報を含む文書を保護するセキュリティ技術である。
DLPの保護策
DLPベンダーは、ネットワークゲートウェイにおける基本的なコンテンツフィルタリングから、複雑なネットワーク/ホストベースのモニタリングソリューションまでの広範囲なソリューションを提供する。組織は、機微な情報リソースを保護するために、ポリシーをモニタリング、発見、導入する。そのために必要な抽出の手段として、電子メール、Webブラウザ、クラウドファイル共有、インスタントメッセンジャー、ソーシャルメディア、ポータブルストレージデバイス、スクリーンキャプチャを挙げている。
DLPは、平文のパケットを調査し、調査時にデータが暗号化されていないことを要求するので、暗号化の戦略や要求事項と直接コンフリクトを起こす可能性がある。もしDLPが誤ったレイヤに導入されたり、不適当に構成されたりすると、実際に脅威ポイントを作り出すことになる。そこで本文書では、以下のような留意事項を挙げている。
- データの暗号化: データを暗号化することにより、適正な復号鍵を持たない者が判読できないようにする。暗号化は、リアルタイムで検索可能な暗号に対してクラウド上の牽引力を持つ他の手法が存在するので、機微情報に対する不正アクセスを防止するために役立てることができる。
・対称暗号 – 暗号化と復号化の双方に単一鍵を利用する。
・クラウド上でのデータ断片化 – データの復号化に必要な暗号鍵を削除することによって、データを判読不可能にする。
・トークン化、準同型暗号(PHE) – 機微なデータ要素を代替値やトークンに置き換える。
・ポリモーフィック型暗号 – 複数の鍵で保護された複数フォーマットによるデータの暗号化。
・準同型暗号 – 復号化の必要なく、暗号化データのあるところで操作や検索ができる。
- アクセス制御 – 不正なデータアクセスを防止するためのユーザー認証や許可。
- ユーザー行動分析 – ユーザー行動分析を有効活用して異常または疑わしいデータアクセスパターンを検知して、潜在的なインサイダー脅威を特定するのに役立つ。
- 定期的な監査の実行 – 定期監査は、データ損失に関する脆弱性や潜在的な領域を特定するのに、役立てることができる。
- データのモニタリングと分析: データ侵害を特定・防止するために、リアルタイムのデータモニタリングとコンテンツ分析を実行する。
- トレーニング – セキュリティのベストプラクティスに関する従業員向けトレーニングは、偶発的なデータ損失を防止するのに役立てることができる。たとえば、テンプレートの電子メールをユーザー宛に発行して活動を周知し、データを外部に公開するリスクに関する特別なメッセージを利用し、四半期ごとに常習者を対象としたセキュリティ意識向上トレーニングを実施する。
データセキュリティの強化に向けたDLPのベストプラクティス
本文書では、DLPのベストプラクティスについて、技術、プロセス制御、知識のあるスタッフ、従業員の意識を組み合わせたものだとして、以下の通り、効果的なDLPプログラムを構築するための指針を挙げている。
- 単一の中央集中型DLPプログラムの実装 – 単一の中央集中型DLPプログラムを実装することにより、一貫したデータモニタリングを保証し、よりよい可視性をデータ資産に提供して、組織全体のデータセキュリティを強化する。
- 内部リソースの評価 – DLP計画を実装するために、医療提供組織は、DLPリスク分析、データ侵害への対応・報告、データ保護法規、トレーニング・意識向上などの経験を有する人材を必要とする。
- 在庫管理や評価の実行 – DLPプログラムの実装において、データのタイプや価値の評価は重要である。評価には、どのようにデータを処理し保護するか、どのように転送し保護するか、どこに保存し保護するかなど、データやコンプライアンス(HIPAA、PCI、PII)、ビジネス上の機微性の特定が含まれる。
- 段階的な実装 – DLPは長期的プロセスである。段階的な実装が最善である。
- 分類システムの構築 – 医療提供組織は、DLPポリシーを構築・実装する前に、分類フレームワークを構築しなければならない。
- データ処理・救済ポリシーの設定 – 分類フレームワークの構築後に、異なるデータのカテゴリーを処理するためのポリシーを構築(または更新)する。
- 従業員の教育 – セキュリティポリシーや手順に対する従業員の意識や受容が不可欠である。
DLPポリシー展開のベストプラクティス
さらに、医療提供組織がDLP投資を最大化するのに役立ち、ソリューションが組織の既存のセキュリティ戦略や既存の対策に合致していることを保証するようなベストプラクティスとして、以下のようなことを推奨している。
1. 第一目的の決定 – DLPは、医療提供組織が、HIPAAのような複雑で進化するコンプライアンス基準を満たせるように、多くの医療提供組織で採用される。これは1つの重要機能であるとともに、包括的なソリューションが、データ保護、インシデント防止、可視性、インシデント対応能力など、医療提供組織に対するその他の支援を提供する。柔軟なソリューションにより、医療提供組織が優先順位に応じてカスタマイズすることが可能になる。
2. 医療提供組織のセキュリティアーキテクチャや戦略に合わせたDLPの保証 – DLPソリューションを設計・実装する時、医療提供組織は、凝縮された統合型のセキュリティアーキテクチャを保証する互換性を決定するために、ファイアウォール、モニタリングシステムなど、レガシーなセキュリティ技術注意深く評価しなければならない。
3. 規則的な頻度のセキュリティレビュー構築 – 医療提供組織は、DLPソリューションのパフォーマンスを継続的に評価する必要がある。新たな機能や能力が追加され、上市する際に評価する必要がある場合がよくある。
4. 変更管理ガイドラインの設定 – 医療提供組織は、ステークホルダー間で取り決められた構成について、実装前に統一の承認を受ける必要がある。
5. 検証 – DLPソリューションが意図通りに稼働することを保証するために、定期的な監査と包括的なテストが重要であり、対策中に潜在的な脆弱性やギャップを特定し、処理する。
ランサムウェア対策として注目されるリアルタイムのDLP
- リアルタイムのデータモニタリング: DLPソリューションは、医療提供組織のネットワークやシステムを通じてデータが流れる際にリアルタイムで、継続的にデータをモニタリングする。たとえば、DLPは、機微データ向けのファイル転送をモニタリングし、転送を遮断する。それは、ネットワークの出口ポイント、ユーザーのエンドポイント(例.ラップトップ、デスクトップ)、クラウドアプリケーションなど、異なる地点で遮断することができる。
- コンテンツ調査・分析: DLPソリューションは、コンテンツ調査を実行し、それを通してデータを分析する。機微データを発見したら、通過から遮断する。それは、明確なポリシーや分類に基づいて機微データを分類するために、キーワードマッチング、正規表現、データ指紋、機械学習アルゴリズムなど、様々な手法を利用する。
- コンテキスト分析: DLPソリューションは、データ転送やアクセスのコンテキストを考慮することによって、偽陽性を回避し、正確なポリシー強制を保証する。機微データの転送を発見したら、ソリューションはそれを遮断する。ソリューションは、ユーザーの役割、ロケーション、利用されるデバイス、目的地、利用されるアプリケーションなどの要因を分析する。
- ポリシー強制: DLPソリューションがポリシー違反を特定または潜在的に特定すると、リアルタイムに強制する。ポリシーは、機微データ転送の遮断、データの暗号化、ユーザーや管理者へのアラート、詳細な分析向けのインシデントのログ付けなど、構成の設定に合わせて様々な行動を引き起こすことができる。
- インシデント対応: DLPソリューションは、ポリシー違反が発生すると、インシデント対応ワークフローの引き金となる。対応には、セキュリティ要員への通知、問題のエスカレーション、リスク低減とさらなるデータ露出防止のために必要なステップをとることなどがある。
- 報告: DLPソリューションは、ポリシー遵守報告、インシデント報告、傾向分析hポウ国など、詳細な報告書を生成する。これらの報告は、データ保護活動、ポリシー違反、組織全体のデータセキュリティポスチャに関するインサイトを提供する。
- 継続的な更新と改善: DLPソリューションは、新たなパターン、出現する脅威、規制変更に対して、最新の状態を維持するために、最新のデータベースやアルゴリズムを必要とする。定期的な更新は、そのソリューションが、新たに出現するリスクを効果的に特定し、保護することを保証する。
DLP成熟度の自己評価モデル
本文書では、最後に、医療提供組織のDLPプログラムを効率化する方法を理解するために、HCLテクノロジーズが策定したDLP成熟度の自己評価モデルを紹介している。ここでは、データ損失防止プログラム成熟度の重要な要素を、以下の通り6つにカテゴライズしている。
CE1 – プログラムガバナンス – プログラムガバナンスは、DLPのビジネス利用、実装、組織ポリシーに関する戦略的・戦術的意思決定のガイダンスを組織に提供する一連の階層、プロセス、ポリシーである。
CE2 – エンタープライズカバレッジ – エンタープライズカバレッジは、組織のネットワーク、ユーザー、データ空間に渡るDLP保護の範囲である。
CE3 – ポリシーカバレッジ – ポリシーカバレッジは、組織に関連するデータのタイプのスコープ全体に渡るDLPの検知・保護の幅を表す。
CE4 – インシデント救済策 – インシデント救済策の成熟度は、妥当性のあるDLP保護ポリシーに違反したユーザー、データ、ネットワークの活動への組織的対応を定義するプロセス、要員、トレーニング、サブプログラムをカバーする。
CE5 – セキュリティ意識 – この明確な目的向けに定義されたセキュリティ意識は、セキュリティ、データセキュリティ考慮事項、DLPツーリングのセキュリティ組織的意識、必要性、価値、セキュリティに関連したDLPメトリクスやツールの内部利用に対するエンドユーザー従業員の意識を定義する。
CE6 – メトリクスと報告 – データ損失防止プログラムは、確実なROIと明白なセキュリティ改善へのデータ駆動型の道筋を保証するために、追跡可能で報告可能な成功のメトリクスを有する必要がある。
他方、これら各要素の成熟度評価指標については、前述のHCLがカーネギーメロン大学の能力成熟度モデル統合(CMMI)を適用して策定した、以下の5つの成熟度レベルを紹介している。
- 初期(Initial) – プロセスは、予測不能で、制御が難しく、リアクティブだとみなされる。この段階の組織は、リスクや非効率性の拡大を招くような予測不能な環境にある。
- 管理された(Managed) – プロセスは、プロジェクトにより特徴づけられ、リアクティブなことが多い。
- 明確な(Defined) – プロセスがよく特徴づけられ、よく理解されている。組織はリアクティブ以上にプロアクティブであり、組織全体の標準規格がガイダンスを提供する。
- 定量的に管理された(Quantitatively Managed) – プロセスが評価され、制御されている。組織は、定量データを利用して、組織の目標を満たすような予測可能なプロセスを実装する。
- 最適化している(Optimizing) – プロセスが安定して、柔軟性がある。組織的なフォーカスが、継続的改善と変化への対応に当てられている。
このようなことを踏まえて、結論では、データ保護が、すべての個人・組織、特に様々なコミュニケーションチャネルにおいて重要であり、データおよびその周りにある課題を認識するための堅牢なプラットフォームを設定することが鍵だとしている。デジタル化の最前線にある医療業界はDLPの重要市場の1つであり、データの境界のモニタリングやデータオーナーとの継続的な連携により、予防策を拡張するとともに、データ損失につながる攻撃面を縮小するメリットがあるとしている。
なおCSAでは、一般的なクラウド環境のデータ損失防止利用動向に関連して、2023年3月14日、「データ損失防止とデータセキュリティ調査報告書」(https://cloudsecurityalliance.org/artifacts/data-loss-prevention-and-data-security-survey-report/)を公開するなど、積極的に取組んでいる。
CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司