2022年12月20日更新
医療情報システムを取り巻くセキュリティについて 第02回 医療機関が行うべきセキュリティ対策とは
富士通Japan株式会社
ヘルスケアソリューション開発本部
クラウドサービス事業部
シニアディレクター 法邑 昇
インフラサービス本部
インフラビジネス戦略企画室 インフラ戦略企画部
吉田 綾
被害を極小化するために早期に対処できる仕組み作りが重要
厚生労働省のガイドライン「医療情報システムの安全管理に関するガイドライン 第5.2版」への対応を行う事は最低限必要なことと考えています。それに加えてポイントを3つ紹介します。
(1)従来対策の棚卸
まずは既存の対策をしっかりと点検するところから始めることが重要です。既存のウィルス対策の見直しとして、パソコン等の端末で使われているウィルス対策ソフトを確認します。ここでは製品やパターンのアップデートルールの確認とそれがきちんと運用されているかを確認します。
次にインターネットと病院をつなぐネットワークの出入り口や、HIS系とそれ以外をつないでいる個所、いわゆるファイアーウォールが設置されている部分を確認します。特に通信の設定はこのタイミングで確認し、不要な通信や意図していなかった通信許可が無いことをしっかりと確認します。
また昨今話題になることが多い、バックアップについても確認します。ここでは方式を確認するだけではなく、「バックアップ取得の対象」、「復元する際にどこまで戻る設計になっているか(リカバリポイント)」「どのくらいの時間で復元できるか(リカバリタイム)」を確認します。ただし、バックアップの方法については、一律の対応ではなく、各院に求められる診療継続や早期の業務再開の方針に応じて最適な方法を検討し選択することが重要と考えています。
棚卸の最後に各システムにおける脆弱性の確認をします。セキュリティ事故の多くはこの脆弱性を起点に発生しています。対象範囲は多いですが万一の際に備えてしっかりと確認することが重要です。
(2)新たな攻撃への対応
従来対策では防ぐことが出来ない攻撃が増加しています。それは攻撃者が使うマルウェアの種類が多く、従来のパターンによる対処は既知の脅威には高い精度で対応できますが、未知の脅威には対応しきれないケースがあるからです。そのためにマルウェア対策は未知の脅威への対応として振る舞いによる検知をすることが有効とされています。厚生労働省のガイドライン「医療情報システムの安全管理に関するガイドライン 第5.2版」にも「EDR(Endpoint Detection and Response)や「振る舞い検知」などの方法も有効である。」と明記されています。
また前回記載しました、”医療情報システムのセキュリティリスクポイント”を参考に、医療機関で実際に行われてきたセキュリティ事故のリスクポイントへの対応も行う事でより強固な対応が実施できると思います。
(3)運用負荷の軽減
3つめのポイントは、それらを行うにあたりシステム管理者の負荷を軽減する事が大事だと考えています。特に未知の脅威への対応は、脅威を発見してから対応するまでを自動化する仕組みなどの導入が有効です。例えば、代表的なマルウェアであるランサムウェアは感染パソコンを経由して同じネットワーク内の他の端末にも感染を広げていく特徴を持つものもあります。そういったマルウェアに対して、検知をしてシステム管理者が手動で対応することは不可能でありそういった自動での処理を行う仕組みの導入が有効と考えています。
また侵入されたあとの迅速な対応や復旧体制を取ることもシステム管理者だけでなく病院システム全体では有効です。というのも対応は24時間いつ脅威が発生するかわからないためシステム管理者だけでの対応は現実的に不可能です。そういった際に外部のセキュリティ運用サービスを使う事で、効果と負荷軽減を両立することが出来ます。それらはマネージドセキュリティサービスと呼ばれ、被害の極小化を実現することでお客様のシステム運用を支える一助になるものです。
最後に人材育成です。新たな脅威に対応できる人材の育成や普段ICTをあまり使う事の無い職員まで、ICTリテラシーを向上させることも有効な対応になります。これについてはいろいろな方法がありますので後述していきます。
(図1)セキュリティ対策の3つのポイント
実施すべきセキュリティ対策とロードマップの検討
ガイドラインで明記されている対応やセキュリティ事故を踏まえた対策状況を整理し、それらの遵守に向けた対策のロードマップを整理することが有効です。
主なSTEPとしては、
<※参考:対応すべき要件や情報>
- 医療システムの現状把握(資産管理、脆弱性、対応状況)
- 医療情報システムの安全管理に関するガイドライン
- 医療機関のサイバーセキュリティ対策チェックリスト
- IPA発行:情報セキュリティ10大脅威
- 昨今の事故事例(各ニュース情報等)
- 内閣サイバーセキュリティセンター(NISC)の各通知、等
(ex、重要インフラにおけるサーバ事案対応) etc
上記の検討を病院だけで実施するのは難しいケースもあると思います。弊社含むセキュリティインテグレータの有償コンサルティングサービスの活用で検討は可能だと思いますので、確実な対応を行いたい病院様はお問合せください。
病院職員のセキュリティに対する意識の改革と向上
ここまでシステム対応について記載してきましたが、実際にそれを使う病院職員のセキュリティ意識の改革と向上が必要であると考えています。富士通では当社の電子カルテユーザに向けた、約1時間のオンラインのセキュリティ研修を用意しています。実施した病院担当者からは、「職員のセキュリティ意識向上につながった」、「情報システム部がセキュリティについて注意喚起をしてもあまり聞いてもらえなかったが、今回の説明で職員の危機感が向上した」などのコメントを頂いています。
(図2)当社の全職員向けオンラインセキュリティ研修
2022年4月の診療報酬改定で診療録管理体制加算を取得するためには400床以上の病院では年に1回セキュリティ研修を実施することが義務付けされました。今後はより有益なお客様向け研修サービスを拡充していきます。
参考:https://www.shinryo-hoshu.com/2022-3-2-10/
著者プロフィール
富士通Japan株式会社
ヘルスケアソリューション開発本部
クラウドサービス事業部
シニアディレクター 法邑 昇
インフラサービス本部
インフラビジネス戦略企画室 インフラ戦略企画部
吉田 綾
【事業内容】
- 医療機関向けのソリューション・SI、パッケージの開発から運用までの一貫したサービス提供
- 自治体、医療・教育機関、および民需分野の企業向けのインフラソリューションデリバリーとお客様起点のインフラ最適化モデル企画
-
WEBでのお問い合わせはこちら入力フォーム
当社はセキュリティ保護の観点からSSL技術を使用しております。
-
お電話でのお問い合わせ
富士通Japan
お客様総合センター0120-835-554受付時間:平日9時~17時30分(土曜・日曜・祝日・当社指定の休業日を除く)