医療情報システムを取り巻くセキュリティについて 第03回 セキュリティ投資の考え方 　

富士通Japan株式会社
ヘルスケアソリューション開発本部
クラウドサービス事業部
シニアディレクター 法邑 昇

インフラサービス本部　
インフラビジネス戦略企画室 インフラ戦略企画部
吉田 綾

費用対効果を踏まえたセキュリティ投資の考え方

医療機関でのセキュリティ事案の増加と厚労省が提示するガイドラインを紹介してきましたが、多くの医療機関ではその投資予算の確保が最大の課題となっているようです。十分なセキュリティ対策は実施できないが効果的に実施するにはどういった対策や投資を行うのが良いかを整理しました。
原則として、医療機関の規模（病床数など）や保有システム数（サーバ/クライアント台数）に関係なく、医療機関が講ずるセキュリティ対策はみな同じと考えています。投資予算が潤沢にある場合は積極的なICT投資により、人手による運用を減らし効率化を進めることが可能です。逆に投資予算が少ない場合は、セキュリティ対策製品ではなく人手による運用で回避できる対策も万全とはいきませんが、存在します。
そういった場合に、セキュリティ投資の優先度としては、費用対効果と既存環境への影響度（システム変更などが少ないもの）から行うのが良いと考えています。例えばまず最初に実施するのは、現状の把握と人的リテラシー向上です。これらは既存環境への影響が発生せずに、即効性のあるセキュリティ投資であると注目されています。具体的には“セキュリティ教育”や“職員の訓練”、“セキュリティ脆弱性診断”などになります。
次に考えるのは、既存システムへの影響は少しあるが投資効果の高いセキュリティ対策です。未知の脅威に備えたネットワーク型の振る舞い検知（NDR：Network Detection and Response）と呼ばれています。
最後に既存環境の変更を考慮しつつ、システム全体を統合管理するセキュリティ対策です。これは各サーバやパソコンのシステム資産管理（OSアップデートやパターンファイルの最新化の統合管理等）やバックアップ強化／リカバリ環境構築になります。投資額が大きく、環境変更も必須になる為、業務への影響や、対策処理の速度や可用性、網羅性について、十分な検討が必要です。

（図1）ICTの活用例とセキュリティ投資の優先度

特に有効でかつ優先的な導入と実施を推奨するセキュリティ製品とサービスを3点紹介します。

定期的なセキュリティ診断で、既知の脆弱性を洗い出し対応検討

お客様のWebアプリケーションやプラットフォームに実在する脆弱性を洗い出し、専門知識をもつ診断員が最新のセキュリティ動向／攻撃手法を加味して診断を実施します。リモート（外部からインターネットを通じた検査）とオンサイト（院内ネットワーク内での検査）診断の両方をラインナップしており、お客様環境やご要件に合わせた診断が可能です。外部からの攻撃における脆弱性診断、内部での被害拡大の観点でも脆弱性診断が可能です。

（図2）セキュリティ脆弱性検査 （診断）

攻撃の疑似体験によりセキュリティ意識や不審メールへの注意力を向上

セキュリティ脅威に、標的型攻撃やメールからの被害があり、病院の持つ情報を狙う標的型攻撃が増加しています。職員にメールアカウントを発行している病院は多いと思いますが、実際に行われる標的型メール攻撃を疑似体験することで、セキュリティの意識が向上し、不審なメールに「気づける力」を養うことができます。訓練を実践してみることで、見えていなかった管理者の課題を顕在化させて対策を打つことが出来ます。新人教育や派遣契約時の初期教育、運用管理者には年2回の実施など、継続的に訓練と改善を実施することで、一過性の対応でなく、継続的な意識向上によりセキュリティリスクの軽減が可能です。

（図3）標的型攻撃メールの特徴・リスク

（図4）訓練実施の流れ

端末接続管理と、マルウェア感染端末の自動隔離を実現

セキュリティ事故の要因のひとつである、院内ネットワークへのマルウェア侵入を防ぐ2つの対策を実現します。
ひとつは、管理外機器の接続を自動で遮断する機能（IT/IoT機器の不正接続対策）により、情報システム部門が管理していない、私物などの未許可端末のネットワーク接続を遮断し、マルウェアの持ち込みを防ぎます。ふたつ目は、ネットワーク通信からマルウェア感染拡大を検知し、感染機器のみを自動隔離することで、自己拡散するランサムウェア対策にも効果が期待できます。

（図5）端末接続管理とマルウェア感染端末の自動隔離を実現

これまで多くのお客様にご利用いただいている富士通のヘルスケアソリューションを更に安心安全にお使いいただくために、富士通Japanはセキュリティインテグレータとしても皆さまへ安心をお届けいたします。