マウントサイナイ医療センター: クラウド変革の旅における機会と脅威

マウントサイナイ医療システムの CIO であり、医学部の IT 学部長でもあるクリスティン マイヤーズ氏は、データ保護とセキュリティを最優先事項としながら、ニューヨーク市を拠点とする医療提供者をクラウドに移行させています。

クイーンズランド工科大学で法律とITの学位を取得し、コロンビア大学で公衆衛生の経営管理の修士号を取得したマイヤーズ氏は、2019年にカーネギーメロン大学でCISO認定を取得するために大学に戻り、そこでマウントサイナイ医療センターのサイバーセキュリティ戦略を再構築するというアイデアを思いついた。

「このプロジェクトは 6 か月間続き、非常に困難でしたが、多くのことを学びました。ネットワーク プロジェクトに何を含めるべきか、今後達成すべき成熟度レベルについて、CIO の視点を得ることができました。」

これを受けて、マイヤーズ氏はマウントサイナイのビジネスおよび臨床アプリケーションのクラウドへの移行に備えるため、2021 年 5 月に最高情報セキュリティ責任者の Rishi Tripathi 氏をマウントサイナイ医療センターのクラウド変革実行運営委員会のメンバーとして採用するなど、さまざまなセキュリティ対策を講じました。

「アプリケーションをクラウドに移行すれば安全だと考える人もいるかもしれないが、それは真実ではない」とマイヤーズ氏は述べ、CIO と CISO の関係が非常に重要であると考えている。 「移行を行う際には、セキュリティを確保する必要があります。」

シナイ山を雲の上へ

マイヤーズ氏は、2021年後半にクラウド移行のビジネスケースの作成を開始する予定だが、このプロセスは「データセンターの技術予算内にすべてが収まるわけではなく、施設予算など予算の他の領域にも影響が出るため、かなりの時間がかかる」という。

これらの影響を評価するために、マイヤーズ氏と彼女のチームは、データセンターのコストのボトムアップ予算項目分析を実施し、財務部門にビジネスケースをレビューしてもらいました。

「施設チームと検討したところ、分析は非常に明確でした」と彼女は語った。 CEO が監督するマウントサイナイ エンタープライズ リスク委員会と協力して、彼らは「3 大」クラウド プロバイダーすべてを評価することに着手し、最終的に Microsoft Azure と Accenture のマネージド サービスを選択しました。

「私たちにとって重要だったのは、マイクロソフトのデータセキュリティに関する理念と、ヘルスケア分野の顧客を支援するマイクロソフトの市場での地位でした」と彼女は語った。

マイヤーズ氏は、Oracle Financials、Supply Chain、HCM Talent Management、Learning などの一部のビジネス アプリケーションも Oracle のクラウドに移行しましたが、その他のビジネスおよび臨床クラウド アプリケーションについては、「目に見えないようにするなど、もっと多くのことを実現したいと考えています」と述べています。

マウントサイナイ医療センターはクラウド移行の初期段階にあり、マイヤーズ氏の目標は 3 年以内にアプリケーションの大部分をクラウドに移行することです。

マウントサイナイ医療センターの電子健康記録システムである Epic は、Microsoft Azure に移行されるアプリケーションの 1 つになります。マイヤーズ氏が組織に加わって以来、Epic はセンターのさまざまな側面に導入されており、少なくとも 2025 年まで導入を拡大する計画がある。

「終点はないように思えますが、組織を買収または合併する際には、すべての病院や施設をそのメインハブに接続できるようにする必要があります。」

マウントサイナイ医療センターでは、すでにゲノム研究にマルチクラウド環境を使用しており、最善のソリューションを採用しているものの、「ビジネスおよび臨床アプリケーションにマルチクラウド戦略を採用するのは意味がありませんでした」とマイヤーズ氏は言います。

その理由の一部は人材の問題であり、マルチクラウド環境では、異なるが重複するスキルセットを維持する必要があると彼女は述べた。 「人材の確保と、これらの環境を管理する適切なチーム メンバーを見つけられることを考えると、当然、アプリケーションの 80% ～ 90% を 1 つのベンダーに任せたいと考えています。」

量子の脅威に備える

マウントサイナイ医療センターが IT 業務の多くをクラウドに移行したため、データセキュリティはマイヤーズにとって最優先事項となりました。

「移行プロセス全体にセキュリティを組み込む必要がある」と彼女は語った。 「アプリケーションをクラウドに移動したからといって、データを暗号化しない限り、保護されるわけではありません。」

データが暗号化されているかどうかだけでなく、どのように暗号化されているかも重要です。今日のコンピューティング デバイスを使用して解読するには何年もかかる可能性のある暗号化アルゴリズムは、量子コンピューティングを使用する攻撃者にとっては数秒で解読される可能性があります。

量子コンピューティングはまだ短期間の研究室実験段階にあるが、ある日、量子コンピューターはより広く使用され、人々にさらに明白な脅威をもたらすだろう。たとえば、ホワイトハウスは量子コンピューティングがもたらす脅威を深刻に受け止めており、2022年1月に国家安全保障システムの運営者に量子脅威に対抗するためのセキュリティ計画とシステムの更新を要求する大統領令を発令しました。

医療機関は同じ要件の対象ではありませんが、同じ脅威に直面しています。データが適切に保護および暗号化されていない場合、量子コンピューターが現実のものとなったときに最終的にハッキングされることになります。

マイヤーズ氏は、量子の脅威は今後3～5年以内に出現すると考えている。 「時間がかかりそうに聞こえますが、実際はそうではありません。」

準備として、彼女はグーグルの子会社であるサンドボックスAQを雇い、マウント・サイナイの暗号システムの目録を作成し、それを量子耐性にするのを手伝わせた。

Sandbox AQ は、企業の内部ネットワーク上で実行される監査ツールを提供し、使用中のすべての暗号化システムを検出し、それらのシステムのアップグレードを推奨します。

マイヤーズ氏は、今年末までにどのような緩和策が必要なのかが明らかになると予想している。「今からその作業を始めれば、これらの脆弱性が悪用される前に対処できる良い立場に立てるだろう。」

これをマウントサイナイの IT 資産と患者データの予防ケアと考えてください。