米国 CISA 医療・公衆衛生分野の主要リスクと脆弱性に関する調査結果

こんにちは、丸山満彦です。

米国のCISAが、医療・公衆衛生分野の主要リスクと脆弱性に関する調査結果を公表していますね。。。これは、医療・公衆衛生分野の組織（オンプレミス・ソフトウェアを展開する大組織）からの依頼により、脆弱性と改善点を特定するためのRisk and Vulnerability Assessment (RVA)を実施した結果のようです。

RVAは、組織全体に対する2週間の侵入テストで、1週間の外部テストと、1週間の内部ネットワークの評価を行うようです。RVAでは、ウェブ・アプリケーション、フィッシング、侵入、データベース、ワイヤレスの評価を実施したようです。

外部評価では、悪意のある行為者が組織のネットワークへの初期アクセスを容易に取得できるような、重大な状態や悪用可能な状態はなかったようですが、内部評価では、設定ミス、脆弱なパスワード、その他の問題を複数の攻撃経路を通じて悪用し、組織のドメインを取得できたようです。

この報告書の記載方法は、侵入テストをする組織にとっても参考になるように思います。

特徴的と思ったのは、「Noted Strengths（注目される強み）」といった、良い点の記載の仕方ですかね。。。これは、新たなセキュリティ投資を検討する際の優先順位付の参考になりますね。。。

で、今回の調査のリコメンデーションは、内部評価に関するもので、次の３つを強調していますね。。。

1. Use phishing-resistant multi-factor authentication (MFA) for all administrative access.	1. すべての管理者へのアクセスにフィッシング耐性のある多要素認証(MFA)を使用する。
2. Verify the implementation of appropriate hardening measures, and change, remove, or deactivate all default credentials.	2. 適切な堅牢化対策の実装を検証し、すべてのデフォルト認証情報を変更、削除、または無効化する。
3. Implement network segregation controls.	3. ネットワークの分離制御を実施する。

 

・2023.12.15 CISA Releases Key Risk and Vulnerability Findings for Healthcare and Public Health Sector

・[PDF]