医療分野を標的としたサイバー攻撃、特にランサムウェアを利用した攻撃は、医療システムを乗っ取り、業務を完全に混乱させます。救命医療活動、重要なスケジュールや支払いの調整、輸血や臓器移植を含めた重要医療物資の手配を停止させるばかりか、医療施設を物理的に危険な状態に陥れる可能性があります。サイバー攻撃が原因で患者が死亡したケースもあり、統計が示す状況は次のとおり非常に深刻です。
2021 年から 2023 年の間に EU の医療分野で確認されたサイバーセキュリティ インシデントのうち、ランサムウェア攻撃は全体の 54% を占め、そのうち 83% は金銭目的。2024 年の欧州委員会の報告書によると、ランサムウェア攻撃の 71% が患者の治療に影響を及ぼし、患者データの侵害を伴う事例も多発。データ漏洩サイトへの投稿のうち、医療関係のものが占める割合は過去 3 年間で倍増し、Google Threat Intelligence グループが追跡しているデータ漏洩サイトの数自体も 2024 年に 50% 近く増加。ヨーロッパの組織を標的とする悪意のあるアクターが、特に救急サービスを提供している病院からは 2~5% 大きい金額を取れると発言した事例も。ランサムウェア攻撃の被害に遭った病院では、被害時に入院していた患者の死亡率が 35~41% も上昇。英国の国民保健サービス(NHS)は、2024 年に発生した大規模サイバー攻撃により、患者の健康被害が 170 件にも及んだと確認。
Google Cloud の CISO オフィスでヘルスケア / ライフ サイエンス担当ディレクターを務める Taylor Lehmann は次のように述べています。「レジリエンスを実現するには、あらゆる脅威に対処できる適合型アプローチが絶対に必要です。安全性を重視した設計の最新テクノロジーを活用したプロアクティブな予防措置、堅牢な検出・インシデント対応、厳格なサプライ チェーン管理、包括的な人的要因の軽減策、AI の戦略的活用、ヘルスケア特有の脆弱性を保護に的を絞った投資を組み合わせ、医療機関、規制当局、情報共有機関と、Google などのテクノロジー プロバイダが横のつながりを深め連携することは、サイバー攻撃に対する予見的な対策の強化に不可欠です。」
この脅威に対抗するには思い切った行動が必要で、医療機関のモダナイゼーション、つまり設計段階はもとより、使用中も安全性を重視した最新テクノロジーに移行できるよう医療機関を支援することも当然ながらこれに含まれています。セキュリティは後付けではなく、最初から組み込まれ、その後も継続的に維持されるべきだと、Google は考えています。安全性を重視して設計された Google のプロダクトとサービスは、ランサムウェアなどのサイバー攻撃がもたらす広範なリスクへの対処において、ヨーロッパ全域の病院や医療機関を支援してきました。
「安全性を重視した設計」とは、Google Cloud、Google Workspace、Chrome、ChromeOS などのコア テクノロジーに、設計段階から以下のような保護機能を組み込むプロアクティブなアプローチです。
Google Cloud ユーザーの保存データをデフォルトで暗号化し、物理的な境界を越えて転送されるデータも暗号化して、暗号鍵の管理や Key Access Justifications のオプションを提供。セキュリティ ファーストの原則に沿って Google Workspace を設計し、スパム、フィッシング、マルウェアの 99.9% 以上をブロックする AI 防御機能とクライアントサイド暗号化を完備。Chromebook に搭載されている ChromeOS にセキュリティとコンプライアンスを組み込み、ランサムウェア攻撃から保護。ChromeOS では、これまで一度もランサムウェア攻撃は報告されていません。そのアーキテクチャには、確認付きブート、サンドボックス化、実行可能ファイルのブロック、ユーザー空間の分離などの機能に加え、自動でシームレスにアップデートを実施して脆弱性をプロアクティブに修正する機能も含まれます。患者の治療に不可欠なインターネット ベースのリソースや院内 IT リソースに医療システムからアクセスする場合に、Chrome Enterprise ブラウザと ChromeOS が安全な代替手段を提供。堅牢な技術的、組織的、物理的なセキュリティ対策を実装および維持し、Google Cloud と Workspace のお客様の NIS2 コンプライアンスの取り組みを支援することを契約に明示。
Google のプロダクトとサービスには、ヨーロッパの医療機関のモダナイゼーションとセキュリティ保護に貢献してきた実績がすでにあります。以下はその一部の例です。
ドイツのヘルスケア スタートアップ Hypros は、Google Cloud と連携し、病院が患者のプライバシーを損なうことなく院内で発生したインシデントを検出できるようにしました。Hypros の革新的な患者モニタリング システムは、Google の AI とクラウド コンピューティング機能を活用して、ベッドからの転落、せん妄の発症、褥瘡(床ずれ)など、入院患者の緊急事態を検知してスタッフに通知します。このシステムは、ヨーロッパ最大級の医療センターであるシュレースヴィヒ=ホルシュタイン大学病院をはじめとする主要機関で本番環境に試験導入され、技術テストを完了させています。19 の病院とクリニックを擁するポルトガル最大の医療機関、CUF は、Google Chrome とクラウド アプリケーションを導入して、エネルギー効率の向上と IT オペレーションの合理化を実現しました。ChromeOS は、エネルギー消費の少ないマシンでの運用を可能にし、現場でのハードウェア メンテナンスの必要性を減らして IT 管理を簡素化する点で、その効率性が業界で評価されています。カナリア諸島の 112 番緊急安全コーディネーション センターは、Google Cloud への移行を進めています。カナリア諸島の公開会社 Gestión de Servicios para la Salud y Seguridad en Canary Islands(GCS)が主導し、Google Cloud と共同で展開したこの移行プロジェクトは、公共の救急サービス管理がパブリック クラウドに移行した最初の事例の一つです。GCS は、Google Cloud の Sovereign Cloud ソリューションを使用して、通話録音や個人データなどの重要な情報を法執行機関や司法機関と安全に共有しています。
パートナーシップの構築と情報の共有
進化するサイバー脅威から医療分野を保護するうえで、情報の共有は必要不可欠です。Google は、10 以上の重要インフラ分野の情報共有分析センター(ISAC)と積極的にパートナーシップを構築しています。これには、Health Information Sharing and Analysis Center(Health-ISAC)や European Union Agency for Cybersecurity(ENISA)との強力なアンバサダーシップも含まれます。
情報共有は、脅威インテリジェンスにとどまらず、効果的な手法、対策、成果について、データに裏付けられた結論を網羅する必要があると、Google は考えています。高度で迅速なインテリジェンス共有への障壁を取り除き、検証可能な対応と組み合わせることで、実効性のある防衛策を確立できるのであり、これが脆弱な防衛策との決定的な違いとなります。
Health-ISAC や ENISA などの国際組織との連携を通じて、多くのコミュニティをまたいで信頼を築くという Google Cloud のコミットメントを強化しています。このコンセプトは、欧州の Health-ISAC はもちろん、米国を拠点とする Health-ISAC の EU における活動を支援する点で、EU の目標と合致するものです。
Sovereign Cloud と Confidential Computing で欧州の医療データを保護
Google Cloud は、EU のデジタル主権を確保し、医療機関がセキュリティや患者のプライバシーを損なうことなく、クラウドと AI の変革力を活用できるよう支援することに尽力しています。
私たちは常に、設計段階から安全性を重視するという原則をデジタル主権ソリューションの開発方針に取り入れてきました。データの場所、処理、アクセスをきめ細かく制御できるスケーラブルなクラウド インフラストラクチャを、欧州の医療機関に安心して導入していただき、その上に高度な AI ソリューションをデプロイすることで、機密性の高い患者データの保護と、GDPR、欧州医療健康データスペース(EHDS)、ネットワークおよび情報システムの安全に関する指令など、欧州の各種規制の遵守を確実にすることができます。
さらに、Google が世界に先駆けてその開発に携わった Confidential Computing 技術は、使用中のデータを保護することで、重大なセキュリティ ギャップを埋める役割を果たしています。
Google Cloud のお客様である AiGenomix は Confidential Computing を活用して感染症の監視やがんの早期発見を可能にしています。Confidential Computing は、ゲノムデータや関連する健康データといったアセットのプライバシーとセキュリティを確保するのに役立ち、データを活用して医療の提供と成果を改善するという EHDS のビジョンにも合致しています。
グローバル規模で医療のレジリエンスに対する信頼を構築
Google が提供するこれらの分析情報と機能は、欧州医療セキュリティ行動計画の成功に大きく貢献できると確信しています。Google は、欧州委員会、EU 加盟国、すべての関係者と継続的に協力し、医療分野におけるより安全でレジリエントなデジタルの未来を構築することに使命感を持って取り組んでいます。
世界中の医療機関を保護し、サポートするための Google の取り組みについて詳しくは、CISO オフィスまでお問い合わせください。