コンテンツ
- 2FAは連邦規制当局から長い間信頼されています
- 調査:HIPAAで十分に使用されていない2要素認証
- バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
- 2FAドキュメントが必要です
- 2FAソフトウェア自体はHIPAAコンプライアンスを必要としません
- HIPAAの目的:継続的なリスク軽減
ソース:CreativaImages / iStockphoto
取り除く:
HIPAAには2要素認証は必要ありませんが、HIPAAコンプライアンスへの道を開くのに役立ちます。
悪意のある医療データ環境では、ユーザー名とパスワードを使用した従来のログインプロセスでは不十分です。二要素認証(2FA)はますます重要になっています。この技術はHIPAAでは必須ではありませんが、HIPAA Journalはコンプライアンスの観点から賢明な方法であり、実際にメソッドを「HIPAAパスワード要件に準拠する最良の方法」と呼びます。 (2FAの詳細については、2要素認証の基本を参照してください。)
2FA(多要素認証、MFAに拡張されることもあります)の興味深い点は、多くの医療機関で導入されていることです。ただし、薬物取締局の規制薬物規則や支払いカード業界などのその他のコンプライアンス形態についてデータセキュリティ標準(PCI DSS)。前者は、規制物質を電子的に処方する際に使用される基本的なガイドラインであり、患者情報を保護するための技術的保護手段に特に対処するHIPAAセキュリティルールと平行した一連のルールです。後者は実際には、主要なクレジットカード会社からの罰金を回避するために、カード支払いに関連するデータをどのように保護する必要があるかを規定する支払いカード業界の規制です。
EUの一般データ保護規則は、追加の監視と罰金(およびヨーロッパの個人の個人データを処理するすべての組織への適用可能性)を考慮して、2FAに関する懸念を業界全体でさらに重視しています。
2FAは連邦規制当局から長い間信頼されています
二要素認証は、長年にわたって市民権のためのHHS部門(OCR)によって推奨されてきました。 2006年、HHSはすでに2FAをHIPAA準拠のベストプラクティスとして推奨しており、ePHIの不正な閲覧につながる可能性のあるパスワード盗難のリスクに対処する最初の方法として命名しました。 2006年12月のドキュメントHIPAA Security Guidanceで、HHSは、パスワード盗難リスクを2つの重要な戦略で対処することを提案しました。
調査:HIPAAで十分に使用されていない2要素認証
国立医療情報技術コーディネーター(ONC)のオフィスは、2015年11月の「ONCデータブリーフ32」を通じて、この技術に関する特定の懸念を示しました。報告書は、これらの機関のうちどれだけが2FAに対応していたか(つまり、 能力 ユーザーがそれを採用するのではなく、 要求 それのための)。その時点で、2014年には、規制当局がそれを推進していることは確かに理にかなっています。
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
誰もソフトウェアの品質を気にしない場合、プログラミングスキルを向上させることはできません。
● 2013 – 44%
● 2014 – 49%
確かに、2FAはその時点からより広く採用されていますが、遍在しているわけではありません。
2FAドキュメントが必要です
注意すべき重要なもう1つの側面は、書類を作成する必要があることです。これは、連邦監査人による調査が必要になった場合に重要です。パスワードルールは次のようにリストされているため、ドキュメントが必要です。 アドレス可能 –このベストプラクティスを使用するための文書化された推論を提供する意味(聞こえるかもしれませんが、ばかげています)。つまり、2FAを実装する必要はありませんが、実装する場合はその理由を説明する必要があります。
2FAソフトウェア自体はHIPAAコンプライアンスを必要としません
2FAの最大の課題の1つは、プロセスにステップを追加するため、本質的に非効率的であることです。しかし、実際には、2FAはヘルスケアシステムの統合認証のためのシングルサインオンおよびLDAP統合機能の急増により、ヘルスケアの速度が低下するという懸念が大幅に緩和されました。
ヘッダーで述べたように、2FAソフトウェア自体は、PHIを送信するがPHIを送信しないため、HIPAA準拠である必要はありません(コンプライアンスにとって非常に重要なので、ユーモラスです)。 2要素認証の代わりに代替手段を選択することもできますが、最も多様な戦略(パスワード管理ツールと頻繁にパスワードを変更するポリシー)は、HIPAAパスワード要件に準拠するための簡単な方法ではありません。 「効果的に」、HIPAA Journalは、「対象エンティティが2FAを実装する場合、パスワードを再度変更する必要はありません」と述べました。 (認証の詳細については、ビッグデータがユーザー認証を保護する方法をご覧ください。)
HIPAAの目的:継続的なリスク軽減
強力で経験豊富なホスティングおよびマネージドサービスプロバイダーを使用することの重要性は、包括的な準拠姿勢で2FAを超える必要性によって強調されています。それは、2FAが完全なものではないからです。ハッカーがそれを回避する方法には次のものがあります。
●プッシュツーアクセプトマルウェアは、ユーザーが欲求不満で最終的にクリックするまで "Accept"でユーザーを攻撃します
●SMSワンタイムパスワードスクレイピングプログラム
●ソーシャルエンジニアリングによるSIMカード詐欺による電話番号の移植
●音声およびSMS傍受のためのモバイルキャリアネットワークの活用
●偽のリンクをクリックするか、フィッシングサイトにログインするようにユーザーを説得する努力-ログインの詳細を直接引き渡す
しかし、絶望しないでください。 2要素認証は、セキュリティルールのパラメーターを満たし、HIPAA準拠のエコシステムを維持するために必要な方法の1つにすぎません。情報をより良く保護するために講じられた措置は、リスクの軽減と見なされ、機密性、可用性、および完全性の努力を継続的に強化する必要があります。