近年、サイバー攻撃を受ける医療機関が増えており、適切なセキュリティーシステムの構築・運用が急務となっています。そこで、セキュリティー対策に詳しい松山征嗣氏(トレンドマイクロ株式会社 公共ビジネス本部 社会・公共営業部 シニアマネージャー)に、医療機関の経営者や管理者、IT担当者が最低限知っておきたいポイントを教えていただきました。後半となる今回のテーマは、中小医療機関が取り組むべき具体的な対策です。
取材・文/中澤 仁美(ナレッジリング)
編集/メディカルサポネット編集部
まずは「戸締りレベル」の対策を徹底しよう!
サイバーセキュリティーの大原則は、攻撃される前提で対策を講じることです。特に中小規模の医療機関は「わざわざ当院をターゲットにすることもないだろう」と油断しやすいようですが、サイバー攻撃は無差別に行われるケースが多く、規模が小さければリスクも小さいということはありません。「まさか」「うちに限って」という発想は捨て、確実に対処すべき危機として真剣に向き合うことが大切です。
実際に医療機関で発生したインシデントを分析すると、ここ数年ではEmotet(エモテット)というマルウェア(悪意あるソフトウェア)による不正メール経由の被害が多発しているほか、暗号化などにより情報を利用不可能な状態にしておいて「身代金」を要求するランサムウェア被害も多くなっています。対策が不十分であれば、いつ、どの医療機関で被害が発生してもおかしくありません。
とはいえ、セキュリティーにばかり人手やコストを割くわけにもいかないのが現実でしょう。限られた資源を最大限に活用し、セキュリティーのレベルを上げるためには、選択と集中が必要です。具体的には、特にリスクが高い「外部との接点」に着目して対策を進めるといいでしょう。コロナ禍で空港検疫の重要性が再認識されたように、サイバー攻撃でも水際対策に注力するわけです。まずは院内のネットワーク構成を一元的に把握し、どこに外部との接点があるか、それぞれ適切なアクセス制御がなされているか、セキュリティーの穴がないかを洗い出してみましょう。
その上で、使用するセキュリティーシステムを常に最新の状態に保つことが重要です。例えば、すでに公開されているソフトウェアに脆弱性が見つかったとき、それを解消するために「修正プログラム」が公開されます。当然、迅速に適用しなければなりませんが、そこに意識が回らず(あるいは、手間がかかるといった理由で意図的に)放置している医療機関が少なくありません。これでは、あなたの家の鍵を開けられる泥棒が周囲をうろうろしているのに、鍵穴をそのままにしておくようなものです。まずは、こうした「戸締りレベル」のセキュリティー対策をおろそかにせず、着実に実行することから始めてみましょう。
防災訓練と同様に、事前の「模擬訓練」が有効
もし、自院が実際にサイバー攻撃を受けたとしたら――。そうした想像をしたことがあるでしょうか。例えば、ランサムウェアの被害を受けると、唐突に院内のPCモニターが切り替わって英語で埋め尽くされた画面が表示され、支払期日までのカウントダウンが始まります。また、プリンターが勝手に起動して、支払いを強要する脅迫文が大量に出力され続けたケースもあります。こうした異常事態に際してパニックにならず、冷静かつ適切に対応することは容易でなく、事前の訓練が欠かせません。
会員登録されている方のみ続きをお読みいただけます。
ログイン
![2024年度 介護報酬改定[ニュース・記事一覧]](/files_thumbnail/20241128_w412px_h247px.png)
