いま医療機関に求められるセキュリティ対策とは? 医療クラウドの安全性を徹底討論【セミナーレポート】
昨今は医療現場でもDX化が進みつつありますが、「個人情報漏洩」や「サイバー攻撃」といった事故・事件も後を絶たず、DX化に二の足を踏んでいる医療機関も多いのではないでしょうか。
本セミナーでは、これからシステム化を進めていきたいとお考えの医療機関や、すでにシステム化を進めている医療機関が抱いているセキュリティに関して、アイテック阪急阪神株式会社の秋山智絵美氏と、エムネスの森下が討論しました。
医療情報システムのセキュリティ対策がわかる!
お役立ち資料はこちらから無料でダウンロードいただけます
▼
目次[非表示]
情報セキュリティ対策のポイントとランサムウェアの現状
━━ 「クラウドはセキュリティ面で大丈夫なのか」という質問をされるケースが少なくありません。まずは情報セキュリティのポイントについて教えてください。
(※エムネスは「LOOKREC」、アイテックさんは「Smart TOHMAS」といずれもクラウド型サービスを展開)
森下 慶(以下、森下) 情報セキュリティには、「機密性」「完全性」「可用性」の三つの要素があります。
「機密性」とは大切なものを金庫にしまっておくように、情報を極力外に出さないこと。
「完全性」は改ざんや欠落がない状態を保持していること、医療業界では「真正性」とも言います。見知らぬ人が情報を変更すれば「改ざん」ですが、権限のある人が変更をすれば「更新」です。「完全性」とは現時点の情報が偽物でないことを証明できる状態のことを指します。
「可用性」は、情報を使いたいときに使える状態にあることを指します。
情報は金庫にしまっておけば安全ですが、使いたいときに活用できなければ価値がありません。
逆に利便性ばかり追求すると機密性が下がってしまう可能性があります。
情報セキュリティにおいては、この三つのバランスが非常に重要です。
秋山 智絵美氏(以下、秋山) 最近は医療機関を狙ったサイバー攻撃やランサムウェア被害のニュースを耳にするようになったので気になります。ランサムウェアとはどのようなものでしょうか?
森下 ランサムウェアは情報を人質に取った身代金誘拐です。
身代金が払える資金力を持っている、あるいは情報そのものに価値があり、情報が使えないことで大きな損失が発生する企業や団体が狙われやすいとされています。
秋山 長時間にわたって外来の診療が停止したり、手術が延期になったといった被害も耳にします。
また医療機関であればカルテや検査情報、会計情報など流出しては困る情報がたくさんあると思いますが、病院や施設はどのように対応すれば良いのでしょうか?
森下 ランサムウェアにもよりますが、一般的には感染すると犯行声明画面が表示され、そこに支払い方法や期日が書かれているものが多いと言われています。
ただし、そのとおりに支払ったとしても復旧できるとは限りません。2022年10月に発生した大阪急性期・総合医療センターのサイバー攻撃では、バックアップデータから復旧・復元をした事例もあります。
秋山 実際にランサムウェアそのものを防ぐためにはどのようにすれば良いのでしょうか?
院内のパソコンをインターネットに接続できないようにして、院内で完結するという形が多いと思いますが、それで十分なのでしょうか。
森下 前述の大阪急性期・総合医療センターの事例では、病院給食事業者のシステムから侵入された可能性があると言われています。したがって院内のパソコンだけをインターネットから切断してもあまり意味がありません。
そもそもインターネット接続を遮断することは、本当の意味での情報セキュリティにはつながらないと考えます。重要なのは一人ひとりのセキュリティ意識と、機密性・完全性・可用性のバランスです。
━━ 局地的に投資をするのではなく、セキュリティの観点から見たバランスを取ることが重要だということですね。
知っておきたい「3省2ガイドライン」とISMS認証
━━ 一般企業向けのセキュリティですと、多くの企業ではCISO(Chief Information Security Officer:最高情報セキュリティ責任者)のようなセキュリティだけを見るポジションの方がいて、その方々向けにCISOハンドブックのような準拠すべき指標が設けられています。
医療機関の運用状況を適切に管理するという観点で見たときに、このような指標はあるのでしょうか。
森下 医療業界では、厚生労働省・経済産業省・総務省の三つの省で取りまとめている医療情報を取り扱う上でのガイドラインが公開されています。
これは「3省2ガイドライン」とも呼ばれており、概要としてはサービスを提供する側と、利用する側のそれぞれの視点で、情報を取り扱う業務をする上でのリスクマネジメントについて記載されたものです。このガイドラインに準拠することで、効率的・効果的にリスクを低減できると思います。
また3省2ガイドライン以外にも「ISMS認証(ISO27001)」があります。審査機関が企業の情報セキュリティマネジメントシステムを審査し、要求事項を満たしていれば認証を与えるというものです。
秋山 お客様にご安心いただくために「Smart TOHMAS」も3省2ガイドラインに準拠していることをお伝えはしています。しかし「ガイドライン」「認証」という言葉だけを取ってしまうと、情報セキュリティに関する知識がない方には難しい印象があります。
セキュリティ専任担当者の必要性とクラウドのメリット
━━ VPNやオンプレミス環境は安心なのかという議論もあります。エンジニアの視点から見てどうなのでしょうか。
森下 VPNは「Virtual Private Network」の略です。インターネットに接続する場合、ブラウザとWebサービスを繋いでシステムを利用しますが、VPNはネットワーク上に仮想の専用プライベートネットワークを作って繋ぎます。
実はVPNもWebサービスも、一般的にはSSLと呼ばれる規格の暗号化を行っており、暗号化した上で通信を行っています。
またサーバーやシステムを院内に設置しているオンプレミスの場合、ファイアウォールで内部環境は守られており、安全であるというのが原則です。
ただし、このような制限や制約事項は内部環境を守るために設けられているものですから、例外を作ってしまうと、そこがセキュリティホールになってしまいます。
例えば、内部環境で守られている情報を外に出したり、外から情報を取り入れたりする場合は、オンプレミスシステムの例外に当たるため、攻め込まれる可能性に繋がります。
サイバー攻撃やコンピュータウイルスは、次々に新しい手段が生み出されているため、守る側のセキュリティ更新や維持、メンテナンスが非常に重要です。
知識を持った専任担当者を付けて、常にメンテナンスをすれば安心かもしれませんが、維持には知識だけでなく手間も費用もかかるので、安全を維持し続けるのは大変だと考えます。
秋山 費用と知識が必要なのは分かりますが、専任担当者を付けて常に安全を保つのは、管理者としても大変だと思います。
森下 その点、クラウドであればクラウドサービス提供者がセキュリティ対策を講じている部分がありますので、そこの手間とコストは利用者側では不要になります。
クラウドの場合は最初から環境を外に置いているので、ファイアウォールで守るのではなく、自分を守ることで安全を維持するという考え方を適用しています。
「外が怖いから一歩も外に出ない」のと「気をつけながら外を歩く」の違いですね。
秋山 弊社ではオンプレミスのシステムも扱っていますが、私もお客様にご説明するときには「セキュリティやリスクを意識していただくことが大事だ」とお伝えしています。
クラウドで管理してもらっているから安心していただくことも大切ですが、システムを利用しているお客様にもセキュリティ意識を持っていただき、何かあったときに「あれ?」という気づきを持っていただければと思っています。
医療機関における現実的なセキュリティ対策とは
━━ 医療機関におけるセキュリティ対策としてはどのような手段がありますでしょうか?
秋山 皆さまの日頃の運営状況やシステム環境によって対策は異なるので、一概にこれが良いとは言えませんが、極論すると、人がいて潤沢な予算があれば社内でガチガチに堅いシステムを組んでしまうという選択肢もあると思います。
ただし、日本の医療機関が置かれている状況を見ると、そもそも社内に専任のシステム担当者がいないケースが多く、セキュリティ攻撃が進歩している中では守りきれない時代になっています。
一般企業では「侵入される前提でセキュリティを担保する」という見方に数年前からシフトしています。性善説ではなく性悪説に則ってセキュリティを担保できる環境を作ろうということです。
森下 BCP(事業継続計画)を考えるのであれば、バックアップを考えるのも一つの方法ですね。バックアップと言うと、データバックアップをイメージしますが、それだけでは不十分です。
有事の際の業務手順を整備したり、システムの代替手段を考えたりと、データバックアップと併用して考えていくことになります。
その上でオンプレミス環境で自分たちで維持管理をしていくか、クラウドサービスをベースにしてセキュリティ対策を任せていくかという選択をすることが必要です。
どちらが正しいということではなく、情報をどのように取り扱いたいか、そこに手間やコストをどれくらいかけられるかなどを考慮しながら、状況に応じてベストな選択をしていただければと思います。
━━ 仮に侵入されたとしても、外部サービスも活用しながら機密情報が抜き出せないような環境を構築する。そうすることで被害を最小限に抑えつつ、機密情報が漏れない環境を作れるということですね。 秋山さん、森下さん、本日はありがとうございました!
医療情報システムのセキュリティ対策がわかる!
お役立ち資料はこちらから無料でダウンロードいただけます
▼
また、医療業界におけるクラウドや医療情報システムに関することは、こちらの記事でも詳しく解説しています。こちらもぜひ参考になさってください。
![](https://ferret-one.akamaized.net/resized_images/62c394007f69e336211b92c4/original.{"image_size"=>"3646", "image_content_type"=>"png", "site_id"=>"c22060134651", "image_fingerprint"=>"563989a6bdb0f941bc741bf53da47b0a", "component_id"=>"5d06c9a5d1268a8b43966d3f"}?utime=1656984576)