ランサムウェア(※)により病院の電子カルテが暗号化され、2か月強の間システムが停止した事について、何回か
取り上げたことがありました。
(※)ファイルを暗号化し利用できない状態して、ファイルを元に戻すことと引き換えに金銭(身代金)を要求するコンピュータウイルス(マルウェア)のこと
厚生労働省は昨年10月に医療機関においてサイバーセキュリティ対策の現状を把握することを目的とした
「医療機関のサイバーセキュリティ対策チェックリスト」
を発表しました。
医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)
これは、
・医療情報システムの安全管理に関するガイドライン5.1版 本紙
・オンライン診療の適切な実施に関する指針
・サイバーセキュリティ経営ガイドライン Ver 2.0
・中小企業の情報セキュリティ対策ガイドライン第3版
などを基にチェック項目を整理したものです。
医療情報システムの安全管理に関するガイドライン本紙は、医療機関へのサイバー攻撃が相次いでいることを受け、ランサムウエアによる被害などを想定した対策を新たに盛り込み3月に改訂され、公表されたものです。
医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)
今回、ある医療機関において、サイバーセキュリティ対策チェックリストに関する調査を行う機会がありましたのでその概要についてお伝えしたいと思います。
ある医療機関におけるサイバーセキュリティ対策の状況
「医療機関のサイバーセキュリティ対策チェックリスト」を基に、その組織においてサイバーセキュリティ対策がどのような状況かヒアリングを行いました。
わかったことの主な内容は次の5点です。
(1)チェックリスト自体の存在を知らない
今回院長先生とシステムを管理する担当者にお聞きましたが、チェックリスト自体の存在は知らなかったそうです。もしかすると通知があったかもしれないが、記憶にないとのことでした。今回調査した病院では、システム管理を行う担当者は専任ではなく、厚生労働省のウェブサイトを随時閲覧することは手間がかかりますし、現実的には困難と思われました。
(2)チェックリスト内の専門用語がわからない
チェックリストの内容がITやサイバーセキュリティに関する知識を持った職員を前提に書かれていて、専門用語の意味が分からないとの事でした。
分からない用語とは、具体的には
・情報資産(台帳)
・脆弱性検査
・二要素認証
・暗号化(不可逆変換によること)
でした。
確かに、これは分からないかもしれません。皆さんは分かりますか?
(3)外部接続用の機器・回線が台帳で管理されていない
利用用途及びサーバ機器、端末については表の台帳で管理されていましたが、外部接続用の機器・回線は管理されていませんでした。
ランサムウェアは大概がインターネットを通じて侵入しますので、外部と接続をしている機器や回線の管理が重要になります。医療に関するお仕事が忙しい中で、機器や回線の管理等はなかなかできないものです。
(4)サイバーセキュリティにかかる最新動向の収集ができていない
電子カルテのベンダーが導入されているアプリケーションの更新情報は提供してくれるようですが、サイバーセキュリティの最新動向(緊急性の高い脆弱性情報など)の情報提供は無いそうです。
(1)と同様で、職員自らが情報を取りに行くことは手間ですし、知識などの問題から実際のところは無理でしょう。
(5)ランサムウェア対策としてのバックアップが不十分
電子カルテのバックアップは電子カルテが稼働するサーバのディスクに取得している(サーバは2台で稼働しているため、片方のサーバに障害があってもデータが消失する可能性は低い)。
ランサムウェア対策としてバックアップデータはシステム本体から隔離されていることが重要です。しかし、現状だと仮に電子カルテのサーバがランサムウェアにより暗号化されると、バックアップデータも併せて暗号化されてしまう →復旧できない状況になってしまいますね(怖)
医療機関自らでサイバーセキュリティ対策を万全にできるか!?
今回ヒアリングをした医療機関では、インターネットと電子カルテのシステムとの接続についてはほぼ隔離されていたため、電子メールや遠隔保守の回線からのランサムウェアの攻撃の可能性は低いと判断しました。
ただし、USBは「使ってはいけない」という運用ルールがあるものの、実際のところは見えない部分もあります。
他の医療機関では未承認のUSBを利用してランサムウェアに感染し、システムが停止したという事案も発生していますので安心はできないと思います。
ある程度の規模の医療機関であれば、ITとサイバーセキュリティの知識を持った職員を配置する事は可能かもしれませんが、ほとんどの医療機関ではそのような事は、コストの問題などから困難だと思います。
今回の結果はある程度予想できたものですが、改めてヒアリングを行うことで、医療機関自らでサイバーセキュリティ対策を実施することの難しさを実感しました。
2月24日にロシアがウクライナに軍事進行してから、サイバー攻撃の被害に関する報道が明らかに増え、リスクは確実に増していると思います。
医療機関だけでなく、様々な組織のサイバーセキュリティ対策は待ったなしの状況ですが、どのように被害を防いでいくか、そして対策の重要性を経営者レベルの方たちに伝えていくかは、非常に大きな問題です。