API 防御を迅速に実現した大手医療機関

インドの大手医療機関の 1 つは、20 か所以上の病院を運営し、他院の買収や新しい施設の立ち上げを通じて急速に拡大しています。何百万件ともいえる日々のやり取りをサポートするため、同機関は患者の診察予約や電子カルテ（EHR）、遠隔医療、そして請求に至るまで、あらゆる場面でカスタマイズ型のサードパーティアプリを利用しています。しかし、デジタルフットプリントの増加に伴い、アタックサーフェスも拡大し、特に API 周りでその傾向が顕著になりました。相互に接続されたヘルスケア環境の土台として API が機能している現状を踏まえ、同機関はハイブリッドアプリ環境のセキュリティを確保するべく、Akamai に注目しました。その結果、患者のケアを中断することなく、リアルタイムの保護、API の完全な可視化、脅威対応のスピードアップが実現しました。

この医療機関では、モバイルプラットフォームと Web プラットフォームを基盤とするデジタルサービスを通じて、患者が診察の予約、検査結果の閲覧、医師への相談や支払いの手続きを行えるようにしています。バックエンドでは、現場の医師やスタッフが EHR システムと接続したり、診療データを参照したり、保険会社と連絡を取ったりする際などに API を頼っています。デジタルエコシステム全体で毎月 5 億件以上のアクセスを記録している同機関は、その規模に応じてスケーリングできるサイバーセキュリティ戦略を必要としていました。

しかし、その規模が要因となり、ある課題に直面します。「API の一部が公開されており、一貫した管理基準がなかった」と、同組織の CISO は説明します。

同組織が利用していた従来型の Web アプリケーションファイアウォール（WAF） はフォールス・ポジティブ（誤検知）が頻繁に発生し、ルール管理を困難にしていました。さらに、API の可視性も制限されていました。「サイバー情勢がますます危険になりつつある中で、こうした状況はどれも受け入れ難いものだった」と CISO は述べています。

ボットや API の悪用、DDoS 攻撃など、Web トラフィックの 3 分の 1 が悪性と判断されている状況を踏まえ、この組織は従来の境界防御以上の対策を求めていました。「最先端の保護と業界に関する豊富な専門知識の両方を提供してくれる、エンタープライズグレードのセキュリティパートナーが必要でした」と同 CISO は説明しています。

WAF の契約期間が終わりを迎えようとする頃、同組織はさまざまな選択肢を吟味しました。そしてクラウドネイティブなアーキテクチャ、多層型の防御機能、複数のハイブリッド環境をまたぐシームレスな統合を目的として、あるサイバーセキュリティベンダーではなく Akamai を選択しました。

導入からわずか 48 時間以内に、Akamai は App & API Protector ソリューションを、同組織の中でも特に重要なアプリケーションに展開しました。同組織の CISO はこう話します。「この導入によって Akamai の Professional Services チームの強さと Akamai のテクノロジーの力が証明されたのです」

ソリューションの導入により、インジェクション攻撃やボット、悪用に対する防御を素早く展開できたため、同組織の業務や患者のケアに影響が及ぶことはありませんでした。「Akamai は Web ベースの脅威からの保護を通じて当組織のセキュリティポスチャを迅速に強化してくれました」と CISO は語っています。

同組織は Akamai API Security の導入を通じて、API エコシステムの可視化と制御も実現しました。その結果、さまざまな革新的な成果を得ることができましたが、その 1 つは、これまで文書化されていなかった約 6,000 の API を探索したことです。しかもその多くは設定ミスやセキュリティの脆弱性がありました。

API Security により、シャドー API を発見できただけでなく、個人情報（PII）や保護対象医療情報（PHI）、認証トークンなど、ステージング環境における機微な情報の漏えいも明らかになりました。こうした問題が可視化されたことで、同組織はトークンおよび地理ベースの厳格なアクセス制御を導入し、設定ミスを素早く修復することができました。

そして App & API Protector と API Security の導入直後から、重要な API の脆弱性を 60～70% 解消することに成功したのです。

API Security と App & API Protector を併用し、この組織は戦略的に設計された多層型の防御戦略を構築しました。API Security がデータフローと潜在的な脅威に関する詳細な知見を提供するとともに、App & API Protector はインジェクション攻撃やボットの悪用、DDoS イベントに対するエッジでのインラインブロックを実現しました。このように統合された保護によって脅威を特定し、無力化することで、同組織は被害を未然に防止できました。

「Akamai のソリューションのおかげで、組織内の API エコシステムを深部まで可視化し、攻撃からリアルタイムに保護できるようになりました。脆弱性を素早く特定して修復し、悪性のトラフィックをエッジでブロックすることで、API 脅威に起因する業務の中断可能性を最小限に抑えることができました」と CISO は述べています。

導入完了後も Akamai のサポートが終わることはありませんでした。Akamai の Professional Services チームからは、実践的なガイダンスや脅威分析、設定サポートが引き続き提供されました。さらに Akamai の 24 時間体制の Security Operations Command Center（SOCC）は、リアルタイムの監視とインシデント対応を提供することで、この医療機関の広大なネットワーク全体で継続的な保護を維持できるよう支援しました。

CISO は次のように話しています。「ヘルスケア業界では、アップタイムの確保、患者データの保護、および迅速な対応が絶対条件です。Akamai の SOCC のおかげで、昼夜を問わず対応してくれるという安心感が持てます」

Akamai との連携によるもう一つのメリットとしては、この医療機関のセキュリティが合理化したこともあげられます。リアルタイムの脅威インテリジェンスとルール管理の一元化により、同機関のサイバーセキュリティチームは誤検知のトリアージにかかる時間を 40% 短縮しました。その結果、プロアクティブに脅威に対処し、長期的な戦略を推進する余裕が生まれました。

最も重要なことは、インシデント対応にかかる時間が半減したことです。これは HIPAA や ISO 27001 の規制に基づき機微な情報を管理する医療機関にとって大きな一歩です。

この医療機関がインド国内でデジタルサービスを拡大し、デジタルフットプリントを広げ続けている中で、Akamai は同機関のサイバーセキュリティ対策における戦略的パートナーとして支援を続けています。同機関の CISO は次のように述べています。「私たちはセキュリティを備えた患者志向のヘルスケアエコシステムの構築を進めています。適応性に優れた　Akamai のクラウドファーストのソリューションは、その取り組みを進めながら各種規制要件を遵守し、信頼を維持していく上での助けとなっています」

ヘルスケア業界の他のリーダーにアドバイスしたいことを尋ねると、CISO は次のように答えました。「アプリケーションと API のセキュリティを患者の安全の一部として考えること。可視化が基盤となります。そして多層的な防御を構築し、業界の事情を熟知しているパートナーと連携することが重要です」