2022.11.25
5

経営に直結!中小医療機関が知っておきたいサイバーセキュリティーの基礎――実態編

経営に直結!中小医療機関が知っておきたいサイバーセキュリティーの基礎――実態編 

 

編集部より

近年、サイバー攻撃を受ける医療機関が増えており、適切なセキュリティーシステムの構築・運用が急務となっています。そこで、セキュリティー対策に詳しい松山征嗣氏(トレンドマイクロ株式会社 公共ビジネス本部 社会・公共営業部 シニアマネージャー)に、医療機関の経営者や管理者、IT担当者が最低限知っておきたいポイントを教えていただきました。前半となる今回のテーマは、中小医療機関におけるセキュリティー対策の実態です。

  

取材・文/中澤 仁美(ナレッジリング)

編集/メディカルサポネット編集部

 

「当院では十分なサイバーセキュリティー策を行っている」は本当か?

医療業界は個人情報の漏洩には非常に敏感ですが、ことサイバー攻撃となると、適切な危機感を抱けていないケースが多いようです。そもそも「サイバーセキュリティー」は「情報セキュリティー」という大きな概念の一部であり、以下の3つの要素を正常な状態に保つことが基本になります。

  

機密性:正当な権利を持つ人だけが情報にアクセスできる

安全性:正当な権利を持たない人に情報を消去・改変されない

可用性:必要なときに情報を使用できる

  

コロナ禍ではゾーニングの重要性が再認識されましたが、これはITの世界でも同じです。実際の医療機関でも、診療系と業務系のネットワークを分けておき、診療系のネットワークは外部に開放しない(インターネット接続しない)分、ソフトの軽量化や利便性向上を重視する――といった方針を取ることが一般的です。ところが、こうしたかたちで対策していたはずの医療機関でも、サイバー攻撃で被害が出てしまうケースがあるのはなぜなのでしょうか。その原因の多くは、「悪意を持って侵入・攻撃されるかもしれない」という想定がないことにあります。その上で、サイバーセキュリティは攻撃者という脅威の存在や脆弱性(システムの弱点)の発覚など常に変化する環境の中で事業継続リスクにどう対応していくかという視点が重要となります。

  

例えば、診療系と業務系のネットワークを分けたつもりが、業務系のネットワークで不用意に患者情報を扱っているなど、実務上は混在していることが少なくありません。また、外部に開放していないつもりの診療系のネットワークでも、実はリモートメンテナンスなど特定の用途で外部接続可能なポイントが存在し、それを把握していない(当然、対策もできていない)場合がよくあります。また、USBメモリなどでのデータのやり取りが発生しているのに使用制限がかかっていなかったり、USB自体がウイルス感染していたりすることもありました。

  

さらに、とても基本的なことですが、ウイルス対策ソフトウェアなどのセキュリティープログラムが更新されていない、VPNゲートウェイなどで脆弱な認証情報(IDやパスワード)が長期間使われている、といったケースも散見されます。ウイルス対策ソフトウェアのプログラムは常に最新の状態を保つことが重要ですが、更新作業により動作が重くなったり、システム障害が発生したりすることを避けようと、極端に更新頻度を落としている医療機関がよくみられます。中には、「院内のシステムが古くてすぐに動作が重くなるから、セキュリティーソフト自体を停止させていた」という衝撃的なケースもありました。

※内部ネットワークと外部ネットワークの境界に置かれ、暗号化された安全な通信経路をつくり出すシステム。 

 経営に直結!中小医療機関が知っておきたいサイバーセキュリティーの基礎――実態編

 

経営を揺るがすレベルの打撃を受ける可能性も

最近の調査で、特定の攻撃者が医療機関を狙っている傾向にあると推察できます。全世界におけるランサムウェアの検出台数(同社製品やソリューションを利用して

会員登録されている方のみ続きをお読みいただけます。

この記事を評価する

  • このエントリーをはてなブックマークに追加

TOP