Skip to content

Security Sells: ヘルスケアビジネス獲得のために、デベロッパーはアプリケーションシールディングをどう活用できるか

モバイルヘルスケアアプリのセキュリティに関しては、ヘルスケア事業者が懸念を抱くのも無理はありません。 ある調査によると、ヘルスケア機関の約40%が過去1年間にモバイルデバイス絡みの情報漏洩の被害に遭っています。 同じ調査によると、ヘルスケア従事者の93%が、組織はモバイルデバイスのセキュリティにもっと真剣に取り組む必要があると考えています。

コネクテッドヘルスケアの状況は、脆弱性に満ちています。 KLAS社によると、ヘルスケア事業者が第三者製アプリに対して抱く1番の懸念は、プライバシーとセキュリティが圧倒的に多いそうです。 より多くのモバイルヘルスケアアプリや医療用IoTデバイスが登場すると、攻撃対象が指数関数的に拡大します。

これは、ヘルスケア分野のアプリ開発者にとってどのような意味を持つのでしょうか?

ヘルスケア機関へのサイバー攻撃が頻発する中、規制は強化され、セキュリティを優先する開発者は優位に立つことができます。 開発初日からセキュリティに真剣に取り組むことで、(可能性の高い)ヘルスケア機関のサイバー攻撃を受けても、アプリが耐えられるようになります。 保護健康情報(PHI)にアクセスするアプリの場合、どのようなデバイスでも安全かつ確実に動作することが重要です。

今日のヘルスケア市場では、自動化されたインテリジェントなアプリのセキュリティは、アプリ開発者にとって独自のセールスポイントとなります。

コンプライアンスに適合し、セキュリティ評価に耐えうるヘルスケアアプリの作成

 今日のコネクテッドヘルスケアエコシステムを構成するツールやテクノロジーは、コンピュータの世界と現実の世界のギャップをかつてない方法で埋めています。 これはヘルスケア業界にとって、サイバー攻撃の影響は、デジタルや金銭的なものだけでなく、今や生命を脅かすものであることを意味します。 臨床効率を向上させるためのアプリ、またはバイオメトリクスをモニターするためのIoMTデバイスを開発する場合でも、患者の安全性を確保するためには、ツールの安全性を確保する必要があります。

ヘルスケア機関のサイバーセキュリティにおいて、HIPAAへの準拠やセキュリティ評価の合格は氷山の一角に過ぎません。 一定のデータ保護は法律で義務付けられていますが、テクノロジーが急速に進化し、ハッカーがますます巧妙になるにつれ、規制は追いついていません。

対象事業者は、法規制を遵守するだけでは罰金を免れることはできても、攻撃を防ぐことはできないという事実に悩まされており、独自のセキュリティ評価の基準は、年々アプリ開発者にとって厳しくなっています。

Curt Bashford氏のヘルスケアの脆弱性についての引用

BYOD(Bring Your Own Device)の脆弱性

 

毎年、急激に増加するサイバー攻撃にさらされているヘルスケア業界では、セキュリティを優先する開発者が医療市場での競争力を高めることができます。 アプリの保護は、ヘルスケア機関と開発者の双方にとってますます重要になってきています。特に、対象事業者が採用しているBYOD(Bring Your Own Device)ポリシーを考慮するとなおさらです。

BYODポリシーを採用しているヘルスケア機関では、看護師、医師、およびほかのスタッフの個人端末に医療用モバイルアプリがインストールされ、利用されていると考えられます。 多くの対象企業にとって、 BYODは克服すべき新たなセキュリティ上の障害となっています。しかし、アプリ開発者にとっては、顧客の最大の課題を解決するまたとない機会となります。

BYODとアプリの保護

 

一部の対象事業者はスタッフにデバイスを提供していますが、ほとんどはBYODを導入しています。 実際、 Aruba Networks社 の調査によると、対象事業者の85%が個人デバイスの業務上での使用をサポートしています。

では、BYODを採用しているヘルスケア機関にアプリを販売することは、どのような意味があるのでしょうか。 きっと、提供者と患者の両方にとって、患者の治療をより効率的に、便利に、そして正確に行うためにアプリを開発したのでしょう。 アプリの保護は対象事業者に対してツールの実装とメンテナンスを容易にして、目標達成を支援します。

保護されていない(または保護されている)モバイル医療アプリを個人のデバイスにダウンロードすることは、特に患者データへのアクセスが伴う場合、固有のリスクを伴います。 CIOは、個人所有デバイスの紛失や盗難、ジェイルブロークンおよびルート化された携帯電話、マルウェア、ならびにデータ漏洩などを心配しています。 このような脅威に対応するためには、組織に属さないデバイス上の機密データを分割して保護する強力なセキュリティソリューションが必要です。 セキュリティデザインおよびヘルスケアアプリに組み込まれた適切な保護がなくては、対象事業者は、データを安全に保つために広範囲に及ぶモバイルデバイス管理(MDM)を購入しなければなりません。

しかし、MDMはコストがかかり、使い勝手が悪く、不便なことが多いです。 対象事業者にとっては、自分が所有していないデバイスを管理しようとするよりも、信頼できる安全なアプリケーションをダウンロードする方がはるかに簡単です。

アプリの保護 vs. モバイルデバイスマネジメント

企業のMDM計画は複雑で、ヘルスケア機関の正確なセキュリティニーズを評価するのは悪夢のようなものです。 多くの看護師や医師は、仕事で自分のデバイスを使うことを楽しんでいますが、個人所有のスマートフォンやタブレットが雇用主に管理されることは望んでいません。 さらに、エンドユーザーがアップデートやバックアップの手順を守らないと、大きなセキュリティギャップが生じます。

一言で言えば: BYODは使い勝手がよく、コストも抑えられますが、モバイルデバイス管理によるセキュリティは理想的とは言えません。

アプリの保護は、セキュリティギャップを解消し、対象事業者が個人のアプリを企業の管理下から分離できるようにすることで、より良い代替手段を提供します。 強力な自動化されたセキュリティバイデザインにより、対象事業者が企業のアプリやデータを安全にサンドボックス化して、安全に送信できるようにし、ハックのリスクを軽減することができます。 また、それらのアプリをリモートで管理および更新することも可能です。 コンテナ化によってデータの共有が制限されるため、ユーザーは好きな個人用アプリをインストールすることができます。

データの安全性を保つ自動化されたアプリ内セキュリティ

保存中および転送中のデータの暗号化、改ざん検知技術、ソフトウェアーコード難読化などのインテリジェントなセキュリティ技術を備えたアプリを作成することで、病院やヘルスケア機関が高価なMDMを購入する必要がなくなります。

暗号化

基本的に、暗号化とは、情報をスクランブルし、侵入者が読めないようにする固有のコードを使用して、患者のプライベートな個人情報を保護するセキュリティ対策です。 これにより、アプリとの間でやり取りされるユーザーの機密データに、ハッカーがアクセスすることが非常に困難になります。

改ざん検知技術

この自動化された技術がアプリ内で機能していれば、コードが意図した通りに実行されていると確信することができます。 このセキュリティ方法は、ハッカーがアプリのコードや広範囲のアプリパッケージを変更しようとするのを阻止します。 これにより、他の保護機能がアプリにエンベデッドされたままになり、攻撃者がアプリの仕組みを理解するために突っついたりすることがなくなります。 また、貴重なIPが再パッケージ化されたり、コンテンツを無視して使用されたりしないようにすることもできます。

ソフトウェアーコード難読化

改ざんを防ぎ、リバースエンジニアリングを抑止するために、難読化はコードを隠し、攻撃者予備軍が解読できないようにします。 最初からセキュリティを優先することで、コネクテッドヘルスケア市場特有の難点を理解していることを示し、顧客の体験に共感していることを証明し、さらに長期的には顧客のコスト削減にも貢献します。

Win-Win-Winの関係: 開発者、患者、およびヘルスケア機関のためのセキュリティ

アプリをヘルスケア機関に販売した時点で、開発者にはもう何の関与もないと考えるのは間違いです。 BAA(Business Associate Agreements)は、セキュリティの脆弱性に起因するサイバー攻撃に対して開発者が責任を負うことを意味します。

HIPAAでは、個人の医療情報へのアクセスを必要とする対象事業者に代わって機能を果たす事業者は、BAAを締結する必要があります。 多くの事例では、ハックが発生した場合、高額な罰金の支払いがお客様の財布から発生する可能性があることを意味しています。 そのため、多くの開発者は、BAAのせいで自分たちが被害に合いやすいと感じています。

対象事業者とBAAを締結する際には、自社のビジネスがかかっているため、ヘルスケア機関のネットワークセキュリティや欠陥のあるMDMソリューションを信頼するよりも、自社のインテリジェントなセキュリティを信頼する方がはるかに良いでしょう。

自動化した計画的なインテリジェントセキュリティは、Win-Win-Winの関係にあります。適切なアプリの保護は、ビジネス、ヘルスケア提供者、そして患者のセーフガードとなります。 ビジネスをセーフガードし、規制による罰金を回避したいのであれば、セキュリティに対して積極的なアプローチを取ることが重要です。

引用: 「Hiding your head in sand is not a security strategy(砂に頭を隠すのはセキュリティ戦略ではない)」

アプリシールディングでビジネスと顧客をセーフガード

画期的なヘルスケアアプリを開発し、収益化するためには、セキュリティを起点とすることが重要です。 アプリシールディングは、あなたのビジネスの未来をセーフガードし、貴重な患者データを安全に保ち、最終的には医療市場での強力な競争企業となるでしょう。 ヘルスケアアプリケーションのワークフローをセーフガードする方法の詳細については、Verimatrix(ベリマトリックス 社)のウェビナー「Defend and Protect: How Cybercriminals Are Hacking Healthcare Workflows & How to Stop Them(サイバー犯罪者によるヘルスケアワークフローのハッキングの手口とその対策)」
Verimatrix Summer Summitの告知とサインアップ
Do you have questions about applications and content security?

Book a call with one of our experts

Want to keep up with Verimatrix news?

Sign up to the newsletter

Want to take a deep dive?

Connect with us

Anti-Piracy