Written by 田村 彩乃
ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。
目次
患者に最適な医療を提供する上で、医療システムの活用は必要不可欠です。しかし、近年では医療システムを狙ったサイバー攻撃が増加しており、医療現場にも適切なセキュリティ対策が求められるようになっています。
セキュリティ対策が不十分なまま診療を続けると、サイバー攻撃によって業務の継続に深刻な悪影響を及ぼす可能性があります。そこで今回は、医療システムのセキュリティ対策について詳しく解説します。
急増するサイバー攻撃の被害
近年では、サイバー攻撃による被害が急増しています。特に端末を強制ロックした上で身代金を要求する「ランサムウェア」による被害は深刻です。ここでは、ランサムウェア被害の実態や、具体的な被害事例などについて解説します。
ランサムウェア被害の増加
ランサムウェアとはマルウェアの一種であり、攻撃対象の端末に侵入すると端末をロックして制御不能にしたり、保存されているデータを暗号化して使用できない状態にしたりするプログラムです。「ランサムウェア」という名称は、身代金を意味するRansomとソフトウェア(Software)から名付けられました。
ランサムウェアが登場した当初は、悪意のある第三者がサイバー攻撃によって攻撃対象の端末にランサムウェアを感染させ、ロックの解除と引き換えに「身代金」と呼ばれる金銭を要求する手口が一般的でした。しかし近年ではより悪質性の高い手口に変わってきており、「身代金が支払われなければ機密情報や個人情報を流出させる」と脅迫して金銭を要求する手口が増えてきています。
外部に流出させるためのデータを盗み出す目的で社内のネットワークに不正アクセスし、脅迫用のデータを窃取した後で端末をロックし身代金を要求する流れが多いといえます。
被害事例
医療機関を狙ったランサムウェア攻撃として、電子カルテシステムを狙った事例があります。
ある病院では2021年10月に電子カルテシステムに対してサイバー攻撃を仕掛けられ、患者情報の閲覧ができなくなる事態に見舞われました。正確な原因は判明していませんが、同病院のVPN装置の脆弱性を利用して不正アクセスされ、電子カルテシステムがランサムウェアに感染させられたものと推定されています。
データを盗み出した上で「データを暗号化した。身代金を支払わない場合は盗んだデータを匿名ネットワーク上に流出させる」と脅迫し、身代金を要求する手口が使われました。
最初に異常を検知してから最終的に電子カルテシステムが全面復旧するまでに、同病院では2か月もの時間を要しました。復旧までの間、診療報酬の算定などの主要業務ができない状態が続き、無収入の状態での業務を余儀なくされることとなりました。
医療情報システムの安全管理に関するガイドライン 第5.1版
厚生労働省では、医療情報システムをサイバー攻撃から守り安全に運用するための指針として、「医療情報システムの安全管理に関するガイドライン」を公開しています。
このガイドラインは2005年に第1版が公開されてから複数回改定が重ねられており、2021年1月には医療機関等が遵守すべき事項などの規定を設けた5.1版が公開されました。ここでは、同ガイドラインの5.1版について詳しく解説します。
5.1版の改正点
医療情報システムの安全管理に関するガイドライン 第5.1版の主な改正点は、下記の4つです。
- クラウドサービスへの対応
- 認証・パスワードの対応
- サイバー攻撃等による対応
- 外部保存受託事業者の選定基準対応
出典:https://www.mhlw.go.jp/stf/shingi/0000516275.html
それぞれの改定内容について見ていきましょう。
●クラウドサービスへの対応
クラウドサービスへの対応については、クラウドサービス事業者との責任分界についての記載が追加されています。自社のシステムと他社のクラウドサービスを連携させている状態でセキュリティインシデントが発生した場合、双方の責任範囲がどこまでなのかを事前に確認しておくことは重要です。
外部にデータ保存を行うにあたって、事業者の選定基準も記載されています。クラウドサービスの利用と責任範囲を事前に確認しておくことで、なんらかのトラブルが起こったときに初動対応をスムーズに開始でき、結果的に被害を最小限に食い止めることにつながります。
●認証・パスワードの対応
認証・パスワードの対応については、令和9年度(2027年)時点で稼働している医療情報システムを新たに導入・更新する場合、二要素認証の導入が望ましいことや、推定されないパスワードの設定などについての言及が追加されました。
二要素認証はID+パスワードの他にもうひとつの認証要素を加えて、セキュリティを高めることを目的として導入するものです。例えばスマートフォンの電話番号に認証コードを送信する「SMS認証」や、ICカードによる認証などを追加することで、ID+パスワードのみの認証よりも不正アクセスのハードルが上がり、安全性が高まります。
●サイバー攻撃等による対応
サイバー攻撃等による対応では、一定規模以上の病院や地域において、情報セキュリティ責任者や緊急対応体制の整備等に関する記述が追加されています。情報セキュリティ責任者を設置してセキュリティ上の変化にいち早く対応しやすい環境を整えるだけでなく、緊急対応体制を整備することによってセキュリティインシデントが発生したときの初動対応がスムーズになります。
さらに、サイバー攻撃を受けた場合やその疑いがある場合に、速やかに関係機関に連絡をするための連絡体制の整備についても記載されています。
●外部保存受託事業者の選定基準対応
外部保存受託事業者の選定基準対応では、これまで行政機関等と民間事業者等の間で異なっていた基準を一本化し、事業者を選定する際の確認事項等が新たに記載されました。また、医療機関の情報を保存するために外部保存受託事業者を利用する場合は、データを保存する機器が国内法の適用される地域に存在していなければならないことも確認されています。
例えば海外にデータの保存サーバーが置かれているようなケースでは、セキュリティインシデントが発生したときに国内法を適用することができません。このような事態を避けるために、国内地域などの国内法を適用できる場所に機器が置かれなければならないとされています。
ガイドラインのポイント
ガイドラインを遵守する上で注意したいポイントとしては、次の4つの対策が挙げられます。
●組織的安全管理対策
組織的安全管理対策においては、組織体制を整備する、個人情報の取り扱いルールに則って運用する、情報漏えいが発生したときの対応を決めておくといった内容が盛り込まれています。
中小企業においては、個人情報の取扱責任者を定めてルールに基づいた運用が為されているか確認したり、セキュリティインシデントが発生したときの連絡体制を整備したり、個人情報の取り扱いルールを定期的に点検したりする対策が求められるでしょう。
●物理的安全管理対策
物理的安全管理対策においては、個人情報を扱うエリアを管理したり、端末の盗難防止措置を行ったり、端末を持ち運ぶときに情報漏えいを防止したりする措置が求められます。
中小企業においては、個人情報の覗き見を防止したり、個人情報や機密情報が含まれたデータや書類を施錠できる場所に保管したりすることが求められるでしょう。また、データにパスワードを設定する、書類を封筒に入れるなど、簡単に情報漏えいさせないための工夫も重要です。
●技術的安全管理対策
技術的安全管理対策では、「アクセス制御」「アクセス者の識別と認証」「外部からの不正アクセス等の防止」「情報システムの使用に伴う漏えい等の防止」の4点に対して措置を講じる必要があると記されています。
中小規模事業者においては、個人情報が含まれるデータを扱う端末と従業員を決めておき、ID・パスワードを設定しておくことや、アンチウイルスソリューションなどを導入した上でOSを常に最新にしておくこと、添付ファイルを送信するときはパスワードを設定することなどが推奨されています。
●人的安全管理対策
人的安全管理対策においては、「従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない」と記されています。個人情報の取り扱いについて周知するための研修を開催したり、就業規則に秘密保持に関する条文を盛り込んだりする手法が考えられます。
サイバー攻撃への対策
激化し続けるサイバー攻撃に適切に対処するためには、次の3つの対策を行うのが有効です。
現状把握
まずは自社がサイバー攻撃に対してどの程度対策を実施できているのか、現状把握を行いましょう。どのようなセキュリティソフトを導入しているのか、各システムのセキュリティ対策は万全か、職員のセキュリティ意識は十分に浸透しているかなど、一つひとつ現状を把握することで、自社に不足しているセキュリティ対策の実態が見えてきます。
また、自社のセキュリティルールを振り返り、万が一セキュリティインシデントが起こったときに速やかに初動対応を行える体制が整っているかどうかを確認しておくことも大切です。
現状把握を行う際は、厚生労働省が公開している「医療機関のサイバーセキュリティ対策チェックリスト」を利用するのもおすすめです。同チェックリストは経営層向け、システム管理者向け、医療従事者・一般のシステム利用者向けの3種類にわかれており、医療現場で働くさまざまな人の立場に立ってサイバーセキュリティ対策が十分に行われているかどうかをチェックできます。
出典:https://www.mhlw.go.jp/content/10808000/000845417.pdf
不正アクセスを防ぐ
サイバー攻撃を行うためには、多くの場合、攻撃対象となるネットワークに侵入する工程が必要不可欠です。つまり、第三者による不正アクセスを防止できれば、サイバー攻撃被害に見舞われるリスクを大幅に低下させられます。
不正アクセスを防ぐためには、ネットワークセキュリティを強化したり、職員のID管理を徹底したり、社内ネットワークに接続できる端末を制限したりするなどの対策が効果的です。また、セキュリティソフトを最新の状態にアップデートし、不正侵入しようとするプログラムを素早く検知できるように備えておくことも大切です。
職員の教育を行う
社外からの不正アクセスも重大な被害をもたらしますが、セキュリティインシデントが発生する原因は職員のセキュリティに対する意識もあります。
例えばIDやパスワードを書き写した紙をパソコンに貼りつけておいたり、離席時にスクリーンセーバーを設定しなかったりするだけでも、第三者が端末に不正ログインし、情報を盗み出すリスクは増大するでしょう。
セキュリティインシデントを防止するためには、職員の教育を行ってセキュリティに対する意識づけを行うことが大切です。社内で定期的にセキュリティ研修を実施してセキュリティの重要性を理解してもらい、日頃から高い意識を持って業務に臨める体制を整えましょう。
業界最高峰のAIアンチウイルス
医療機関におけるセキュリティ対策なら、エムオーテックスが提供する部脅威対策ソリューション「LANSCOPE サイバープロテクション」がおすすめです。
LANSCOPE サイバープロテクション は、高い検知率を誇る新世代のアンチウイルスソリューションです。AIやディープラーニングを活用して「マルウェアの侵入を未然に防止する」ことを目的としたセキュリティ対策を実施し、99%※もの高い検知率を実現しています。AIがファイルの特徴からマルウェアかどうかを事前に判定するため、パターンが発見されていない新種のマルウェアでも感染前の防御が可能です。
※2018 NSS Labs Advanced Endpoint Protection Test結果
LANSCOPE サイバープロテクション では、ディープラーニングを活用した「Deep Instrict」と、AIを活用した「CylancePROTECT」の2つのアンチウイルスソリューションを扱っています。
Deep Instinct
Deep Instinctは、ディープラーニングの特許技術を活用した「予測脅威防御」によって、マルウェアを検知して感染前に隔離できます。スキャンが完了するまでの時間はわずか20ミリ秒未満※と高速であり、マルウェアが検知されてからシステムに悪影響を与える前に対処が完了するため、深刻な被害をもたらしません。
※出典:Deep Instinct なぜサイバーセキュリティでは時間が重要なのか
CylancePROTECT
CylancePROTECTはAIを活用したアンチウイルスソリューションです。マルウェアの特徴を学習・分析し、99%※以上もの検知精度を実現しています。全てのデータをスキャンするのは初回のみで、2回目以降は必要なデータを都度検知・隔離するため、CPUにかかる負荷が小さいのも特徴です。
※2018 NSS Labs Advanced Endpoint Protection Test結果
ディープラーニングのDeep InstinctとAIのCylancePROTECTを自由に選べるため、自社の体制に合わせた最適な運用が可能です。
まとめ
医療システムのセキュリティを高めることは、患者様に適切な医療を提供し続けるために必要不可欠であり、同時に個人情報を保護して医療機関の信頼性を維持し続けることにもつながります。セキュリティ対策を万全に整えて、安全に業務を行える環境を維持しましょう。
関連する記事