2022年11月30日更新
医療情報システムを取り巻くセキュリティについて 第01回 医療機関を取り巻くセキュリティに関する状況
富士通Japan株式会社
ヘルスケアソリューション開発本部
クラウドサービス事業部
シニアディレクター 法邑 昇
インフラサービス本部
インフラビジネス戦略企画室 インフラ戦略企画部
吉田 綾
医療機関におけるサイバーセキュリティの現状
昨今、サイバー攻撃の手法は日々巧妙化し、医療分野でも電子カルテの停止など事業継続性を脅かす事案が多数発生しています。
その最たる要因としては、マルウェア感染被害の増加があります。医療機関を標的にしたサイバー攻撃が増加し多数の医療機関でマルウェアへの感染による医療システムの停止などの被害が発生しています。また単に悪意のある第三者による攻撃だけでなく、実は医師や職員のパソコン操作ミスやUSBメモリなどの利用で感染被害を引き起こしたケースも確認されています。
そういったセキュリティ事故が起きると、被害に遭った医療機関は情報漏洩や感染拡大を防ぐ為にやむなくシステム停止を余儀なくされることとなり、また最悪のケースでは電子カルテのデータなどが利用できなくなり、バックアップからデータ復旧ができず再構築する事案も発生しています。
これらの感染ルートとしては、情報システム部門が管理できていないパソコン端末や部門システム等の保守ベンダが作業用に持ち込んだ端末が感染経路になっていることも確認されています。
(図1)医療機関におけるサイバーセキュリティの現状
国が医療機関に提示するガイドライン
昨今の医療機関のサイバーインシデントの増加を受けて厚生労働省が「医療情報システムの安全管理に関するガイドライン」を令和4年3月に第5.2版として改訂しました。
これは医療情報システムの安全管理や e-文書法への適切な対応を行うため、技術的及び運用管理上の観点から所要の対策を示したガイドラインであり、今回の改定では技術的な動向として、「医療機関へのサイバー攻撃の多様化・巧妙化」、「ランサムウェアによる攻撃へのバックアップのあり方」などが示されています。
(図2)厚生労働省:医療情報システムの安全管理に関するガイドライン
また、上記のガイドラインにあわせて厚生労働省が各医療機関においてサイバーセキュリティ対策の現状を把握することを目的に項目を整理したチェックリストを公開しています。(2022年5月改定)
https://www.mhlw.go.jp/content/10808000/000936167.pdf
(図3)医療機関のサイバーセキュリティ対策チェックリスト
このチェックリストは、医療機関のどの部分に弱みがあるのか把握し、優先的に必要な対策を検討の上、全体のバランスを取りながらサイバーセキュリティ対策強化の検討を助けるものとしては非常に有効です。
医療機関で発生するセキュリティ事故
近年の医療機関でのセキュリティ事故の件数をインターネット等で公開されている記事をベースにカウントしてみました。その結果、132件(2019年1月から2022年3月で集計)の事故が確認できました。記事の見出しを見ると、外部からの攻撃による被害と職員の操作ミスや、意図的な情報の持ち出しなどの内部不正の事案も確認することができます。
これらのセキュリティ事故を分析し、医療情報システムで注意するべきセキュリティリスクポイントを整理しました。
(図4)医療情報システムのセキュリティリスクポイント
赤枠で示しているのが、医療機関で発生しやすいセキュリティリスクポイントですが、システム管理者の方が意識しているものとそうでないものがあると思います。実際にこういったポイントでのセキュリティ事故が確認されており、これらのリスクを認識することがセキュリティ対策の一歩目であると考えています。
また、それらのセキュリティ事故の中には事後調査を行ったが「原因の特定ができなかったケース」「感染ルートが特定できなかったケース」もあります。悪意のある攻撃者は痕跡を残さないことを意識しているために、こういった状況であることは最近のセキュリティ事故の特徴と考えられます。
セキュリティ10大脅威と医療機関の対応状況
独立行政法人 情報処理推進機構が毎年発表している「情報セキュリティ10大脅威 2022」も非常に参考になります。
2022年の脅威について上位は“ランサムウェア”や“標的型攻撃”が位置付けられています。これらは近年、常に上位にランクインされています。右側の列に弊社の考察として医療機関の対応状況を記載してみました。結果、医療機関としてはそれらに脅威を感じるものの、対応は後手に回っていると傾向があると認識しています。
(図5)出典元:独立行政法人 情報処理推進機構を参考に当社で加筆
https://www.ipa.go.jp/security/vuln/10threats2022.html
次回以降のコラムでは、効果的な対策例などを紹介していきます。
著者プロフィール
富士通Japan株式会社
ヘルスケアソリューション開発本部
クラウドサービス事業部
シニアディレクター 法邑 昇
インフラサービス本部
インフラビジネス戦略企画室 インフラ戦略企画部
吉田 綾
【事業内容】
- 医療機関向けのソリューション・SI、パッケージの開発から運用までの一貫したサービス提供
- 自治体、医療・教育機関、および民需分野の企業向けのインフラソリューションデリバリーとお客様起点のインフラ最適化モデル企画
-
WEBでのお問い合わせはこちら入力フォーム
当社はセキュリティ保護の観点からSSL技術を使用しております。
-
お電話でのお問い合わせ
富士通Japan
お客様総合センター0120-835-554受付時間:平日9時~17時30分(土曜・日曜・祝日・当社指定の休業日を除く)