大手医療機関の CISO がクラウド変革を通じてサイバーセキュリティを強化した方法

[[422321]]

医療サービス提供会社 Jefferson Health の最高情報セキュリティ責任者 (CISO) である Mark Odom 氏は最近、医療サービス提供会社がクラウドファースト戦略に移行する方法について説明し、サイバーセキュリティに対してより効率的で俊敏かつリスク中心のアプローチを構築する方法を共有しました。

オドム氏は、サイバーセキュリティに関してはジェファーソン・ヘルスのモットーは「正しくできないなら、やらない」ことだと指摘した。このアプローチは、COVID-19 パンデミックの間も通常通り業務を遂行するという要求を満たすために、ジェファーソン ヘルスがクラウド ファーストのリモート モデルに迅速に移行するために不可欠であることが証明されました。

実際、同社はサイバーセキュリティをクラウド コンピューティングのイノベーションの最前線に置くことで、一部の病院がより効率的で機敏かつリスク重視のセキュリティ アプローチを採用してビジネスを保護できるようにしています。オドム氏は「ここ数年、当社の戦略はクラウドを中心に据えてきたが、当社のプラットフォームの多くは非常に大規模で、通常は数か月で変更や移行が行われることはなく、移行には数年かかる。パンデミックによって事態は加速した」と語った。実際、病院の巨大なデータベースには、医療、教育、研究事業のデータが収められており、その一部は従来のレガシー システムに依存しており、柔軟性、コスト効率、セキュリティを向上させるためにクラウドに移行する必要がありました。

サイバーセキュリティ文化はクラウドコンピューティング導入の鍵

オドム氏は、この取り組みを効果的に完了するためにサイバーセキュリティ文化を導入することを提唱しており、ジェファーソン ヘルスの社長もこの文化を推進しています。 「必要なセキュリティ情報を正確に入手できるため、セキュリティ対策を講じる必要がある理由を管理者に教育するのではなく、実行に集中できます」とオドム氏は語った。 「従来のオンプレミス インフラストラクチャの場合のように時代遅れになることなく、最初から適切な方法で開発を加速できます。」

オドム氏は、適切な安全ツールを導入することで従業員の失敗を防ぎ、安全基準を満たすために生産や運用のシステムを変更するという難しい話し合いを省くことができると説明しています。 「私たちは非常に系統的かつ計画的なアプローチを取り、最初からセキュリティを理解していました。それが大きな成果につながりました」と彼は語った。

オドム氏は、ビジネスの調整はジェファーソン ヘルスのクラウド移行におけるもう 1 つの中核的な文化的要素であり、ガバナンスはサイバー セキュリティを企業のより広範な動向に合わせて位置付けるために不可欠であると述べました。 「規制の観点から見ると、当社はさまざまな事業を展開しており、それぞれに非常に異なる使命と要件がある」と彼は語った。 「その多くは、これらすべての領域におけるビジネスユースケースとクラウド空間でのニーズを理解し、セキュリティチームがクラウドアーキテクトと協力してクラウドを適切に設計することです。」

このビジネス中心の考え方が維持されるように、Odom は他の利害関係者や同業者とともにセキュリティ技術カンファレンスやイベントに頻繁に出席し、企業内でのオープンな対話を促進しています。

クラウドコンピューティングの拡大の中でのリモートワーク

パンデミック中の機敏なリモートワークの必要性により、Jefferson Health はクラウドファースト モデルへの移行を加速しました。 「当社はすでに従業員にリモートワークの時間を増やす取り組みを行っていたので、リモートワークモデルへの移行は実は非常にスムーズでした」と同氏は述べ、セキュリティ上の課題に遭遇することがほとんどなかったことに驚いたと付け加えた。

オドム氏は、ワクチン開発を狙ったサイバー攻撃の急増など、パンデミックがジェファーソン・ヘルスに及ぼす脅威を認識していたが、研究開発チームが自宅からのリモートワークに多くの時間を費やすにつれて、サイバーセキュリティの大きな利点がすぐに明らかになった。 「セキュリティオペレーションセンターの支援により、ほとんどの従業員は仕事と業務に集中できる」と彼は語った。 「当社の従業員は自宅からリモートワークすることですでに完全に安全に作業しているため、多くのインシデント対応活動は、企業オフィスから離れているときに、より効果的になります。サイバー攻撃者は、従業員がオフィスで働いていない金曜日の夜や土曜日の朝にサイバー攻撃を仕掛ける傾向があります。」

オドム氏は、リモートワークによって応答時間が 25% 短縮され、チーム全体の生産性が 20% 向上したと述べました。 「私たちはリモートワークから確実に恩恵を受けており、その生産性の向上をパンデミックがもたらした他の課題にも応用することができました」と彼は語った。

しかし、オドム氏は、リモートワークがジェファーソン・ヘルスの日常業務全般のセキュリティを妨げないようにするために、管理、ポリシー、教育の問題に対処する必要があると述べた。 「ネットワークベースのセキュリティツールはエンドポイント制御へと移行しており、クラウドファースト戦略について考えることが正しい方向だ」と同氏は語った。 「本当の目標がクラウド コンピューティング モデルである場合、ネットワーク レベルの制御に重点を置くのではなく、アプリケーション レベルかエンドポイント レベルのいずれかに重点を置く必要があります。」

オドム氏は、自宅からリモートワークする従業員の個人用 IT デバイスが企業支給の IT 機器に置き換えられたことで、許容使用ポリシーも強化されたと指摘した。

「時間の経過とともに、企業デバイスと個人デバイスの境界線が少しずつ曖昧になってきていると思うので、Google Drive のような多くの無許可の業務用サイトをブロックする必要がある」と同氏は述べた。

同氏は、すべての仕事や生活に不可欠なサービスがパンデミックの影響を受けたわけではないが、同氏と同氏のチームは、流行の影響を最も受ける可能性が高いサービスを評価するため、実際的な取り組みを行う必要があると付け加えた。 「これは明らかにエンドユーザーコミュニティにとって必ずしも満足できるものではないが、彼らが学び、理解し、適応する文化に戻る必要がある」と彼は語った。 「この要因の 1 つは、リモート ワークの新たなリスクに対処するために、サイバー セキュリティ意識向上トレーニングに重点を置いたことです。従業員がオフィスを離れていることへの直接的な対応として、セキュリティ意識向上トレーニング セッションの数を 2 倍に増やしました。」

クラウドファーストのアプローチでリスク管理を強化

クラウド コンピューティングへの移行と、より流動的なリモート ワーク モデルの導入が Jefferson Health のサイバー セキュリティの立場にどのような影響を与えたかを考慮して、Odom 氏はリスク管理に対する多様なアプローチの必要性を指摘しました。 「リモートワークにクラウドファーストのアプローチを採用することで、企業は運用環境をセグメント化せざるを得なくなり、多くのリスクを排除できました」と彼は語った。

「クラウドのリスク指標は、リスク管理への新たなアプローチの鍵となることが証明されている」とオドム氏は語った。 「良い結果を望むなら、それを測定する必要があります。しかし、結果を測定する労力によって全体的な価値が低下し、修復にさらに時間がかかります。Zscaler は、最初からメトリックと測定を自動化する機会を提供してくれるので、優秀な情報セキュリティ専門家は結果の測定に時間を費やす必要がありません。」

指標を改良することで、オドムは、ランサムウェアの脅威などのリスクの変化を、年間のデータ侵害コストの観点から定量化できるようになりました。 「オンプレミスでビジネスを運営していたとき、ランサムウェア攻撃を受ける可能性は 2% ～ 3% でした」と彼は言います。 「当社のビジネスがクラウドに移行するにつれて、ランサムウェア攻撃は環境全体をダウンさせるものではなく、場合によっては単一のサービスラインにしか影響しないため、コスト曲線は大幅に減少しました。つまり、損害額はおそらく 400 万ドルから 500 万ドルにとどまるということです。こうしたイベントの周期的な発生率は高いものの、影響は小さくなっています。」

クラウド中心でネットワークに依存しないセキュリティ アプローチの導入を検討している他の CISO に対して、Odom 氏は早い段階で最初の一歩を踏み出すことを提唱しています。同氏は、「これまで、クラウド コンピューティングは安全ではないと多くの人が言っていましたが、これはまったく正確な発言ではありません。クラウド コンピューティング テクノロジーでは、社内データ センターの従来の慣行を引き継ぐことはありません。適切な計画を立てれば、ビジネスはより安全になります。私たちは、いくつかの悪いセキュリティ習慣と戦う必要があります。企業がセキュリティ対策を早く導入すればするほど、より安全になります。」と述べました。