機械制御/振動騒音
IR情報 会社情報

HIPAAコンプライアンス

継続的なネットワーク監視によるコンプライアンスの維持
保護されるべき医療情報 (PHI) または保護されるべき電子医療情報 (ePHI) を扱うすべての医療機関は、非常に複雑なHealth Insurance Portability and Accountability Act (HIPAA) セキュリティルールを順守する必要があります。最近起きたセキュリティ侵害問題により、顧客情報保護が重要であること、および攻撃の頻度と巧妙化が増す中で保護業務がますます難しくなっていることが、証明されています。
各組織は、高度なマルウェアが潜んでいないことを確かめるため、ネットワークを継続的に監視して常に警戒態勢を続ける必要があります。Tenable Network Security™は、攻撃者の検出をサポートし、HIPAAコンプライアンスの監査およびレポーティングを自動化することで、組織の負担と問題リスクを軽減します。

 

参考資料

 

TenableによるHIPAAコンプライアンスの管理

TenableのContinuous Network Monitoring™ (継続的なネットワーク監視) ソリューションである、SecurityCenter Continuous View™は、HIPAAの厳しいセキュリティルールの順守に際し、以下のようないくつかの重要なメリットを提供します。

  • レスポンス時間を短縮し、セキュリティ侵害を素早く抑制する
  • 単一画面上での表示により、すべてのアセット、脆弱性およびコンプライアンス状況の可視化を、企業全体規模で提供する
  • データのセキュリティを確保しながら、ITアセット、アプリケーションおよび医療機器すべてのスキャンまたは監視を支援する

内容の充実度を高めていくダッシュボードとカスタマイズ可能なレポートにより、SecurityCenter Continuous Viewは、セキュリティおよびIT担当者、監査員、幹部役員に必要な実用的情報を素早く提供できます。



zeijyaku_01-01.png
SecurityCenter Continuous View
 

「真の」継続的な監視

SecurityCenter Continuous View (SecurityCenter CV) は、複数のセンサーから収集したデータに基づき、脆弱性、脅威、ネットワークトラフィックおよびイベント情報を高度に分析して、組織環境全体におけるITセキュリティを継続的に表示します。これにより、セキュリティ対策を継続的に調整および改善し組織を保護するのに必要な情報が、提供されます。

 

Tenableと他社との違い:独自のセンサー

zeijyaku_01-02.png
 

アセット検知

ネットワークを能動的に検索し、トラフィックを受動的に監視して、サードパーティITシステムおよびネットワークデバイスから情報を収集することで、対象ネットワーク上のすべてのハードウェア、サービスおよびWebアプリケーションを検知します。

 

脆弱性評価

システム、ネットワークおよびアプリケーションを能動的および受動的に評価することで、セキュリティ対策を脅かす弱点をこれまで以上に徹底的かつ継続的に管理できます。

 

コンプライアンス

CISベンチマーク、DISA STIG、FISMA、PCI DSS、HIPAA/HITECH、SCAPなどの業界標準および規制を基準とした事前定義チェックを使用して、複数のコンプライアンスの取り組みの励行を簡単に立証するために必要な可視性とコンテキストを獲得します。

 

マルウェア検出

ビルトインの脅威インテリジェンスにより、マルウェアを検出し、外部のブラックリストサイトへの疑わしいトラフィックを特定することで、クリティカルコンテキストを獲得できます。

 

異常検出

異常動作を自動的に検出します。SecurityCenter CVは、ネットワークを分析して、正常な状態を学習し、基準ラインを確立します。これに基づき、異常な動作や疑わしい動作をリアルタイムで警告します。

 

統合

インテリジェントコネクタを利用して、パッチ管理、モバイルデバイス管理、脅威インテリジェンス、クラウドなどにおける主要ソリューションと統合します。この統合により、既存のセキュリティ投資を活用して、追加データを提供し、可視性、コンテキストおよび分析を改善できます。

 

警告と通知

カスタマイズ可能な警告、通知およびアクションにより、迅速なレスポンスを実現します。優先度の高いセキュリティイベントを管理者に迅速に警告し、素早いインシデントレスポンスおよび脆弱性修正を可能にすることで、全体的なリスクを軽減します。

 

脆弱性分析

企業全体からSecurityCenter CVが収集したすべての脆弱性データをまとめ、分析します。Assurance Report Cards (ARCs) を使用して、セキュリティプログラムを測定、分析および可視化し、プログラムの効果を評価します。

 

Assurance Report Cards

柔軟なカスタマイズが可能な、組み込み済みのHTML5ベースのダッシュボードおよびレポートを活用します。脅威との接触やリスクを軽減する対策に必要な可視性およびコンテキストを、CISO、セキュリティマネージャ、アナリストおよびプラクティショナに素早く提供します。

 

Tenableソリューションは、セキュリティリスクの優先順位を決め、企業のセキュリティ対策をいつでも評価できる、オールインワンの素晴らしいソリューションです。


–医療サービス提供者

医療機関のセキュリティの傾向

組織を保護するために知っておくべき、医療セキュリティの最新の傾向とは? Tenable Advisory BoardメンバーであるCraig Shumard氏と、Forrester Research Inc.のセキュリティおよびリスクマネジメントの上級アナリストであるRenee Murphy氏が、健全なリスク戦略およびセキュリティプラクティスを実装する課題に医療機関がどのように対処できるかについて、話し合います。

 

Forrester Research上級アナリストRenee Murphy氏とShumard and Associates社長Craig Shumard氏による公開ディスカッション

このオンデマンドWebキャストでは、Forrester Research, Inc.のセキュリティおよびリスクマネジメントの上級アナリストRenee Murphy氏と、元CignaのCISO、現Shumard and Associates社長のCraig Shumard氏が、2015年以降の医療業界におけるセキュリティの傾向および規制の現状について話し合います。


扱うテーマは以下のとおりです。
  • 医療機関はなぜ、健全なリスク戦略を実装し、効果的なセキュリティプラクティスを運用する必要があるのか
  • セキュリティ脅威からの保護、ネットワークアクセスのサポート、および遠隔地の従業員によるモバイルデバイスの使用
  • 医療業界のセキュリティおよびコンプライアンス問題に対処する戦略およびベストプラクティスに関するForresterの見通し
  • 実践的なサクセスストーリへの取り組みに関する、Forresterクライアントの考察
 

効果的なセキュリティソリューションを実装して、規制順守、ベストプラクティスおよび健全なリスク戦略を実施することが、医療業界の課題になっていることを、調査が示しています。業界の多くの組織が、HIPAAへの準拠やOCR監査要件の対応に注力しているものの、必ずしもセキュリティ強化に結びついているとは限りません。
医療セキュリティ、ITおよびコンプライアンスの専門家の方には、Cisco、MobileIronおよびTenable Network Security協賛のこのWebセミナーへの参加をお勧めします。

 

講師:

zeijyaku_01-03.jpg
 

Craig Shumard氏

Shumard & Associates社長
zeijyaku_01-04.png

 

Renee Murphy氏

Forrester上級アナリスト



 

HIPAA準拠のさらに上を目指して

Health Information Technology for Economic and Clinical Health Act (HITECH) があっても、HIPAAセキュリティルールは、概して制約があまり厳しくないので、医療機関は自組織のネットワークを保護するための指導を求めています。システムの安全を守るTenableのCritical Cyber Controlは、ネットワークのセキュリティを確保してHIPAAコンプライアンスを達成する包括的なセキュリティポリシーの開発を、サポートします。


 

ITランドスケープが目まぐるしく変化する中、厳しいビジネスニーズおよび現在のセキュリティリスクに継続的に対応するには、情報セキュリティ戦略を変革することが重要です。しかし、セキュリティプログラムの開発および展開にあたっては、何から対処すべきかが課題となっています。
適切な手順を踏んでいるか、アセットおよびビジネスを保護する十分な対策をとっているかを、どうしたら知ることができるでしょう。



 

どこにガイダンスを求めるべきか

ビジネスのデジタル化に伴うセキュリティ侵害や攻撃から世界中の組織を保護するために、セキュリティの自己改革が求められています。この変革を実現するためには、公開されているさまざまな共同体、標準およびベストプラクティスを利用する必要があります。多くの大手組織は、情報セキュリティプラクティスの評価基準として、以下のようなサイバーセキュリティ標準に注目しています。
Tenableのセキュリティ専門家は、これらを含む標準を検証し、業界のベストプラクティスの実装をサポートする推奨事案を5つのコアコントロールにまとめました。

 

これらの標準はすべて、入念に考案されていますが、すべてを読んで理解するのは非常に困難なことでもあるでしょう。ですが、すべてに共通する要素とテーマが共有されているため、いずれかの標準を採用すれば、セキュリティコントロールの最も脆弱な部分に対処できます。

 

Tenableのセキュリティ専門家は、これらを含む標準を検証し、業界のベストプラクティスの実装をサポートする推奨事案を5つのコアコントロールにまとめました。

 

TenableのCritical Cyber Control

効果的なセキュリティポリシーを作成できるように、Tenableのセキュリティ専門家は、これらを含む標準を検証し、業界のベストプラクティスの実装をサポートする推奨事案を5つのコアコントロールにまとめました。TenableのCritical Cyber Controlを採用することで、組織の長所と短所を明らかにし、不正活動を阻止する対策をとることができます。


zeijyaku_01-05.png

 
  1. ハードウェアおよびソフトウェアの承認済みインベントリを追跡:すべてのアセットを検知することは重要な第一歩です。たとえば、承認済みまたは非承認のハードウェアおよびソフトウェア、一時的に利用するデバイスおよびアプリケーション、不明エンドポイント、BYODデバイス、ネットワークデバイス、プラットフォーム、オペレーティングシステム、仮想システム、クラウドアプリケーションおよびサービスをすべて識別することなどが含まれます。最適なソリューションを実現するには、ほぼリアルタイムで稼動するいくつかの自動検知テクノロジを組み合わせる必要があります。
  2. 脆弱性と不適切な設定を継続的に修正:すべての脆弱性を修正するには、継続的な定期監視プログラムを実装する必要があります。その手順は以下の3つに分類されます。
    • ソフトウェア、ハードウェアおよびクラウドサービスにパッチを適用して、脆弱性を修正する
    • 設定変更を適用して、悪意のあるエクスプロイトを制限する
    • ホストまたはネットワークベースのセキュリティ監視を追加で適用する

Tenableでは、事業およびアセットごとにテクノロジを編成することをお勧めしています。各アセットは、決められたスケジュールに基づいて、再現可能なプロセスによって、評価およびパッチを適用する必要があります。

 
  1. 安全なネットワークを導入:ネットワークセキュリティは毎日の業務です。アセットごとに、悪意のある活動を阻止または検出する1つまたは複数の対策テクノロジを導入できます。たとえば、ホストベースのテクノロジには、アンチウイルス、アプリケーションホワイトリストおよびシステム監視などがあり、ネットワークベースのテクノロジには、アクティビティ監視、侵入阻止およびアクセス制御などがあります。クラウドベースのテクノロジの監査は、API、脅威サブスクリプションおよびネットワーク監視、またはエンドポイントシステム監視で実行できます。
  2. ユーザアクセスを必要最低限に制限:どのユーザも、特定のシステムおよびデータにアクセスするには、それが業務上必要であることを実証しなければなりません。管理権限の制限および制御、デフォルトアカウントの使用の禁止、強力なパスワード作成の実施、すべてのアクセスの記録を実施すべきでしょう。Tenableでは、認証ロギングおよびネットワークプロトコル分析など、複数のテクノロジを実装し、アクティブなユーザアカウントを判別することをお勧めしています。
  3. マルウェアおよび侵入者を探し出す:異常の検出および不正行為がないか、システムを能動的に監視する必要があります。100%問題のないシステム環境を期待することは、正直なところ、現実的ではありません。攻撃者は毎日、新しいテクノロジを手に入れています。そのため、ウイルス、マルウェア、エクスプロイトおよび内部脅威をほぼリアルタイムで継続的にスキャンして、先を見越したシステム管理を行うことで、攻撃者より一歩前を進む必要があります。上記の4つのコントロールはそれぞれ、悪意のある活動を簡単に探し出せるようサポートするとともに、調査分析に使用できるいくつかの追跡記録を作成します。

サイバーセキュリティを実行し、ネットワーク健全化のためのこれら5つの重要なコントロールを実装するよう努めてください。

 

継続的なネットワーク監視の実施

これらのすべてのコントロールを実施していますか? また、実施している場合でも、これらのITコントロールの効果を監視し、現状を把握して、良好な状態を継続的に維持できていますか? 情報セキュリティプログラムに不足を感じたら、真の継続的ネットワーク監視戦略を採用することが、企業リスク軽減のための最善策となります。SecurityCenter Continuous View™のような継続的ネットワーク監視ソリューションにより、組織は、自動化を活用でき、これらの基本的なセキュリティコントロールを実施しているかどうかを簡単に知ることができます。
サイバーセキュリティを実行し、ネットワーク健全化のためのこれら5つの重要なコントロールを実装するよう努めてください。

 

サイバーセキュリティを実行し、ネットワーク健全化のためのこれら5つの重要なコントロールを実装するよう努めてください。
この投稿は2015年3月16日に更新されました。

 

分類されるカテゴリ:


継続的な監視
セキュリティポリシー
標準

 

原文はこちらです。

PAGE TOP