著者情報
しまなみ健康マネジメント
以下の表記はありますが具体的な会社等のWEBサイトは見つかりませんでした。
「しまなみ健康マネジメントは、人々の健康を守り、安心して暮らせる社会を創るために始まりました。良い事業としてだけでなく、会社や人として信頼されることが大切だと考えています。当社が安心して暮らせる社会を創る方法は、医療機関のサイバーセキュリティをサポート・アドバイスすることで安心して医療経営を行えるようにすることです。当社は、誰よりも良い結果を出せるサービスを提供していると信じています。」
概要
2021年10月に町立半田病院のサーバーが、身代金ウイルス「ランサムウェア」に感染した例が挙げられています。半田病院はサイバー攻撃で診療停止に追い込まれ、電子カルテが約2ヶ月間使用できなくなりました。
近年では、同様の手口のサイバー攻撃が増加しています。医療における情報のデジタル化が進む一方で、デジタルセキュリティは追いついていない現状があるようです。
本書では、電子カルテをはじめとした医療情報システムに対し、潜在的な機器を理解すること。具体的に取り組むべき知識や対応などについて記しています。
特に次のような医療施設を対象としていると記載があります。
・電子カルテを導入している病院クリニック
・ITの専門家はじめ、人材が不足している病院クリニック
・何らかのシステムの導入を検討している病院クリニック
・病院クリニック間の連携を行っているまたは、検討している病院クリニック
医療情報は攻撃者にとってコスパの良い情報である
著者は近年増える医療施設へのサイバーについて、なぜ医療施設が狙われるかの観点を示しています。
まず前提としてサイバー攻撃を行う側は基本的にはお金になるところに対してサイバー攻撃を行います。
一番わかりやすいのは金融機関に対するサイバー攻撃です。ですので金融産業ではサイバー攻撃に対し堅牢なセキュリティを構築しているというのは有名な話です。
ではなぜ医療機関がサイバー攻撃に合うのでしょう。それは、医療機関は金融産業に比べてサイバー攻撃に対するセキュリティが堅牢でないこと、そして医療情報自体がお金の面で高給であることです。
実は金融情報の代表例であるクレジットカード情報ですが、医療情報はクレジットカード情報よりも価値があるとも考えられています。
ひとくくりに医療情報といっても、電子カルテのデータベースに保存された情報だけでも、次のようなものが含まれます。住所や連絡先などの個人情報、保険請求に関する情報、家族の情報、検査や疾患や治療に関する健康情報、これらは命に関わりの深い情報であるということです。
このような命に関わりの深いデータは、高額な金額で取引されるということです。
つまり、ハッカーからすると金融機関を狙うよりも医療機関を狙う方がコスパが高いということなのです。
まずは、医療機関はこの現状を理解する必要があるということです。
しかしながら、こうしたサイバー攻撃に対して、費用をかけることは、有益なのでしょうか。 どんなビジネスでも、費用対効果を考える必要がありますが、この答えは、イエスつまり、有益です。適切なセキュリティポリシーは、評判の向上やコスト削減、インシデント発生時の対応時間の短縮につながります。
医療機関が注意すべきこと
早朝夜間や連休などの休診時間帯を狙った不正アクセス
早朝夜間の時間帯や連休は人手が少ないことも多く、病院側は不正アクセスへの対応が遅れがちです。そのため、このようなタイミングの添付ファイル付きのメールは危険性が高いということです。
セキュリティ強化はバランスよく
セキュリティ強化を行うために外部と完全に切り離すというのは一つの手法ですが、業務の手間を増やしてしまったり、スタッフがセキュリティを回避する運用(多くがリスクを抱えています)を行ったり、ルールを破って運用するケースを誘発するためかえって逆効果になってしまいます。
最低限のルールとして個人情報が入ったファイルにはパスワードをかけるなどして、攻撃を受けた際に被害を最小限にとどめるような対策が好ましいとされます。
セキュリティにかけるコストの考え方
1万円を守るために10万円の金庫を書くのは良くないでしょうと筆者は例を挙げています。
適切な費用は、万が一攻撃をされた際に、電子カルテの復旧や診察ストップによる減収などのリスクと照らし合わせて算出する必要があります。
防御方法について
ハード機器の対策としては機器の置き場所や機器のアップデート(古い機器の切り替え)などがあります。ルーターの型番からその脆弱性情報を取り寄せられる体制も大事です。
脆弱性情報については本書内に専用のWEBサイトの紹介もあります。
また、ソフト面での対策としては、ファイアウォールやIPS(不正侵入防止システム)、ウイルスチェックソフトなどがありますが、機能によっては賄えない部分も出てきますし、そもそもこれらの管理が煩雑になりコストも上がってしまいます。そのため、UTM(統合脅威管理)という機能をまとめた機器を導入しても良いと記しています。
復元を想定しバックアップを取る
先に挙げた半田病院のケースのように、データを人質に取られた場合でもバックアップがあれば対応ができます。
しかし、バックアップからどうやって復元するかについて考えていない医療施設は多いと考えれます。
例えば、ウイルス感染したPCを初期化すると、ソフトの再インストール、セキュリティのアップデート、電子カルテソフトの設定など多くの作業がまだ残っているのです。この作業の間は結局診察がストップしてしまうのです。
そのため、データのバックアップだけではなく、正常時のPCの状態をそのまま復元できるようなソフトウェアを使用する想定をしておくと良いということです。
バックアップを取ることは大前提として、どのデータを何世代とっておくのか、復元のためのマニュアル整備、まるごとバックアップを取るためにはどうするのかなど、より具体的に詰めておかなければなりません。
院外での病院PC利用
医師が院外に病院PCを持ち出して使用することも増えています。このようなPCは無料wifiには接続しないような仕組みにする必要があります。なぜなら無料のwifiスポットが攻撃者によって偽装されている可能性があるためです。
例えば、強制的に特定のポケットwifiとしか繋げないような設定にするなどの対応が必要になります。
まとめ
以上のように述べては来ましたが、一病院スタッフが行うには非常に荷が重い内容と言えます。もちろん電子カルテベンダーにも頼って入る部分ではありますが十分とは言えないでしょう。
そのためIT人材を確保することが望ましいと著者は記していますが、医療業界のIT人材は不足しているためこれも現実的でないこともあります。
ですので、まずは院内でのセキュリティルールを確立すること、人による脆弱性を作らないようにすることなど、スタッフ教育が重要であるということです。
コメント