The Threat Landscape

ICT化が急速に進むヘルスケア領域。電子カルテの普及は進む一方で、さらに必要とされる機能は病院と病院や、患者、薬局、支払基金/国保中央会、保険者、行政など多方面の連携により、従来の閉ざされたネットワークだけでなくインターネットを含む外部ネットワークとの接続が必要となる場面が増加しています。

厚生労働省からは医療情報システムの安全管理に関するガイドラインが発出されていますが有効に作用しているとは言えない部分もあり、2018年には公立病院のシステムでのランサムウェア感染をきっかけとした業務停止に至る事故が報告されています。

医療機関やシステムのサプライヤーは従来の閉じた環境での緩やかな境界防御で終わらず、場面に応じたリスクマネジメントによるセキュリティを考慮し設計していく必要があります。

トピックス
ある日・・・
「電子カルテの端末に変な画面が出てきたんですが・・・」「電子カルテのアクセスができません!!」
医療の現場で端末を操作しているスタッフからヘルプデスクへ連絡が来た。
続々とヘルプデスクの電話が鳴り、見る見るうちに動かない端末が続出する。
情報システム担当者は何が起こっているのか全く理解できない。「いったい何が起こっているんだ・・・」
表示された画面を見て気づいたスタッフ。「どうやらランサムウェアに感染しているようだ。まずいぞ・・・」「HISはインターネットから切り離しているのになぜだ?!」
対応方法が分からず右往左往するうちに、院長からは猛烈な指示が飛ぶ。「一刻も早くシステムを復旧しろ!」「明日の外来開始までに何とかしろ!」
病院全体を巻き込んだ先行きの見通せない混乱は昼夜を徹して続いていく・・・

昨今、病院情報システム内でのマルウェア感染により診療業務が停止または縮小に至る事案が相次いで報告されています。
経営層や外来、病棟のスタッフなど、あらゆるところから病院情報システムの担当部門に対して、一刻も早い復旧を求められる状況は当然のことながら
システム障害が起こっている状況で待たされている患者からはSNSで呟かれ、マスコミによる報道まで動き始めるといったことも・・・
そんな状況に追い込まれ復旧を急ぐあまりログの取得も行われず、とりあえず目に見えて動作不良が出ているPCやサーバをリストアするだけといったケースも少なくありません。
原因究明が行われていなければ根絶の確認も困難で、再発防止策も考えられないとなると、同様のインシデント発生リスクを抱えながら
患者の健康を預かる重要システムの運用を継続していかなければなりません。

このようなサイバーセキュリティにおけるインシデントは災害と同様で、経験したことが無いことには適切な対応が取れなかったり反応が遅れることがあります。
「対応手順は準備されているのか。」「対応手順通りに事を運べるのか。」
サイバーセキュリティにおけるインシデント対応訓練を本格的に行うことは技術的にもコスト的にもかなり難易度が高くなりますが
トレンドマイクロでは、インシデント対応ボードゲームという取り組みやすいゲーム形式の演習コンテンツをかねてより公開しております。
そしてこの度、医療分野向けのアレンジを行ったバージョンを公開いたしました。

厚生労働省の「医療情報システムの安全管理に関するガイドライン第5版」では「6.10 災害、サイバー攻撃等の非常時の対応」にて災害やサイバー攻撃を想定したBCPの準備や非常時における連絡対応を求めています。
不意に発生するセキュリティインシデントに対し、最短で収束させるために組織全体として取り組み、対応にかかる優先順位の判断(トリアージ)、役割に応じた行動を机上で体験することで、
サイバーセキュリティに関する個々の理解度の向上、対応力の強化や、組織の対応手順の見直しなど様々な効果が期待されます。

何もインシデントが起こらないことが一番であることは言うまでもありません。
しかしながら、安全を担うものの使命として、どのような行動をとればいいのか事前に把握し、備えておくことが必要です。
トレンドマイクロでは、ボードゲームという取り組みやすいゲーム形式で、セキュリティ事故発生後にどうすればいいのか分かる、演習コンテンツをご用意しています。

Windows® Mac® AndroidTM iOS new Power Up

平成30年3月「オンライン診療の適切な実施に関する指針」が厚生労働省より発出され、令和元年7月に一部改訂。その後令和2年4月の診療報酬改定により適用対象が拡大していますが、まだまだ普及には時間が掛かる状況でした。しかしその状況は一変し、厚生労働省の特例認可により新型コロナウイルス(疑い)の患者対応の効率化、あるいは安全に行う一つの手段として、オンライン診療を導入する医療機関が急速に増加しています。
セキュリティを考える際、特にビデオ通話の部分に目が行きがちですが、ビデオ通話による診療対応の前後の部分にも注意が必要となります。

  • オンライン診療の実施をホームページで告知している
  • インターネットに公開しているWebサイトやアプリなどで予約対応を行っている
  • 医療支援クラウドサービス等を使用している
  • 患者および患者関係者、他の医療機関、薬局、行政など関係者との連絡にEメールを使用している


重要な情報は診療系にしかなく、情報系には何もない・・・といったことはありません。
インターネットのサービスを使用する上で、プライバシーの確保と共に、セキュリティの問題によりそのシステムやサービスを使った業務に支障が出ないようAvailabilityの確保も重要となります。また、実施の上では病院(医師)から患者さんに対して情報セキュリティに関しての説明責任を求めている点にも注意が必要です。運用管理規定の作成、順守だけでなく全体の運営フローを見渡して各所のセキュリティリスクの棚卸、対策の見直しが必要です。

 

トレンドマイクロ オンデマンドウェビナー

時間や場所を選ばず、いつでもWebブラウザで視聴いただけます

新型コロナウイルスで導入が進むオンライン診療のセキュリティ
- 急な導入によるセキュリティリスクを抑える為に -

Windows® Mac® AndroidTM iOS new Power Up

オンライン資格確認とは、マイナンバーカードのICチップまたは健康保険証の記号番号等、オンライン(リアルタイム)で保険資格情報の確認をシステム上で行うものです。医事業務の効率化だけでなく、薬剤情報・特定健診情報の閲覧ができるようにすることで医療提供の最適化を図ることが目的とされています。
ICカードリーダーを装着した病院端末が、レセプトオンラインのネットワークを通じて病院から支払基金・国保中央会へ照会を行う形になるようです。しかし、インターネットに繋がらない構成であっても外部のネットワークに接続する状況では、セキュリティの責任分界点が生じます。支払基金・国保中央会の照会システム、ネットワーク基盤におけるセキュリティ確保もさることながら、接続する施設もそれぞれ自施設の責任範囲におけるセキュリティ対策運用を見直す機会となります。

■スケジュール
令和2年6月現在、オンライン資格確認や特定健診情報の閲覧は令和3年(2021年)3月から、薬剤情報の閲覧は令和3年(2021年) 10月から開始と公表されています。

■医療情報化支援基金による補助金
政府ではオンライン資格確認を円滑に導入するため、医療機関・薬局での初期導入経費の一部について補助をする、医療情報化支援基金を予算化しており、セキュリティ対策についても適用が可能とされています。支払基金が令和2年7月頃に医療機関・薬局向け専用ポータルサイトを開設し、顔認証付きカードリーダーの申込、オンライン資格確認等システムの利用申請及び医療情報化支援基金の補助申請の受付を行うとのことです。

関連情報:厚生労働省「オンライン資格確認の導入について(医療機関・薬局、システムベンダ向け)」(外部リンク)

Windows® Mac® AndroidTM iOS new Power Up

トレンドマイクロのセキュリティソリューション

医療・介護の現場特有の課題に対し、包括的なセキュリティを提供

  • サイバーリスク侵害プロセスの進行を困難にさせる環境、対策が有効
  • 1点集中での対策をすり抜けた際のリスクを低減するため、 複数のポイント(場所・層)で考えることが重要

 

ヘルスケア領域における情報セキュリティリスクとは?

病院
 

  • 患者情報の漏えいによるプライバシー侵害
  • 電子カルテシステムの停止、遅延による業務縮退
  • 電子カルテデータの滅失毀損による業務停止、診療報酬減少
  • システム障害やデータ改ざん等に起因する医療事故

クリニック・福祉介護
 

  • 患者(利用者)情報の漏えいによるプライバシー侵害
  • 医療(介護)情報クラウドサービスへの接続遮断、業務停止による報酬減少

クラウドサービス・地域連携サービス事業者

  • サイバー攻撃によるシステム障害
  • 不正侵入による情報漏えい、データ改ざん

医療機器メーカー・販売保守事業者

  • マルウェア感染による病院のシステム障害、利用停止
  • 現地保守、遠隔保守を通じた不正侵入、情報漏えい

病院

レセプトオンライン請求や地域連携、遠隔のシステム保守、クラウドの医療情報サービス活用、さらに今後予定されているオンライン資格確認システムの導入など医療の効率化、公衆衛生を支える仕組みのためにますます外部との接点は増加し、今や病院情報システム・ネットワークを完全な閉域で運用することは全く困難な状況にあります。

従来からデータの入出力のため外部記憶媒体やシステム保守のための端末、遠隔保守や地域連携システムのためのVPNアクセスポイントなど、直接的、間接的に繋がるポイントが多数存在しています。医療機器においてはサポートが終了したレガシーOSがセキュリティ未対策で運用され、病院情報システムではサポート対象にあるOSやソフトウェアについても、安定稼働優先を理由にセキュリティ更新プログラム(パッチ)が適用されずに運用されていることも多くみられます。 「インターネットに繋がっていない環境なので安全」という認識によりネットワーク内部にあるシステムのセキュリティ対策が疎かになっているのを改め、脅威は侵入する、持ち込まれるという前提で対策を検討する必要があります。

ネットワーク分離により情報系(インターネット系)に機微情報が無いという事はありません。患者関係者とのコミュニケーション、行政当局や保険者とのやり取りなどをメールやWebを通じて行うこともありますし、研究目的で所持している個人情報の存在にも注意が必要ですので、インターネット利用環境の安全管理も重要です。

課題

  • 医療サービスを支えるシステムの安全性確保
  • セキュリティレベルの異なる部門、システム環境の全体最適化
  • ICT利活用の拡大にともなう適切な運用管理

対策

  • システム単体のセキュリティ強化(認証・パッチ管理・マルウェア対策)
  • ネットワーク接続におけるセキュリティ強化(認証・アクセス制御・侵入検知・侵入防御)
  • セキュリティ対策状況のモニタリングと可視化
Windows® Mac® AndroidTM iOS new Power Up

福祉・介護施設/クリニック

昨今のクリニックや介護施設におけるICT活用では、クラウド型の電子カルテや診療支援サービス、介護業務支援サービスなど外部接続が求められます。新型コロナ対策によりオンライン診療サービスや予約システムなどの安全管理と効率性を数少ない人員で両立していかなければなりません。また、医療でも福祉介護分野でもメール等を活用して利用者家族と連絡を取り合うこともあります。外部サービスを利用する前提として使用端末やネットワーク環境について情報セキュリティ面の「衛生管理」が重要となります。

課題

  • IT人材・セキュリティ人材不足への対処
  • 情報リテラシー不足に起因するリスクの回避
  • クラウド利用時のリスク低減

対策

  • 簡単に導入、運用ができるシンプルな対策
  • All in Oneのセキュリティ対策
  • 施設内外でのPC、タブレット利用における安全性を確保
Windows® Mac® AndroidTM iOS new Power Up

クラウドサービス事業者/地域連携サービス事業者

医療支援や介護支援、地域連携サービスなどを提供する、医療介護分野におけるサービス事業者も多種多様となってきました。多数の施設へサービスを提供する際、各施設内のセキュリティ状況はコントロール外のため、サービス側は脅威を媒介しないよう不正侵入、不正アクセスを防止しつつサービスを維持する必要があり、責任分界点の合意、責任共有の考え方も必要となってきます。

課題

  • サービスとしての安定性・安全性の担保
  • 多種多様な外部接続から生じるリスクの最小化
  • 共有情報・連携データの保護
  • サービス利用者環境の保護

対策

  • 脆弱性対策による検知、防御と効率的な管理
  • 多様なサーバOSやアプリケーションを対象とした保護
  • 侵入防御、システム内部監視による不審アクセスの検知
  • 利用者へのセキュリティサービス提供の仕組み化
Windows® Mac® AndroidTM iOS new Power Up

医療機器メーカー・販売保守事業者

医療機器は販売前、販売・導入時、販売・導入後のフェーズでそれぞれセキュリティ対策のアプローチが異なります。製品そのものの脆弱性の解消とセキュリティ機能の実装はメーカーにより販売前のフェーズで対応されなければなりません。セキュリティに関しては販売したら終わりではなく販売後にわたっても情報提供や保守ができる仕組みを整えておくことが重要です。販売・導入の時点では、機能面、セキュリティ面の両面において導入環境への最適化を図らなければなりません。販売・導入後は保守事業者と利用者である医療機関にてセキュリティに関するアップデートを継続する運用が必要となります。

課題

  • 機器・システムの品質としての安定性・安全性担保
  • 導入施設のセキュリティポリシーへの適応、緩和措置対策
  • OS・アプリケーション更新への対応

対策

  • セキュリティ対策機能の組み込み
  • 機器・システムとセキュリティ対策の組み合わせによる保護
  • 保守事業者、利用者へのセキュリティサービス提供の仕組み化
Windows® Mac® AndroidTM iOS new Power Up

オンデマンド解説ウェビナー

時間や場所を選ばず、いつでもWebブラウザで視聴いただけます

医療機関のセキュリティインシデント対応における課題と対策

医療機関でよくあるインシデント対応時の課題、その解決を支援するトレンドマイクロのソリューションとは?

医療情報セキュリティにおける5つの迷信

医療機関におけるセキュリティインシデント対応をみていくと、情報セキュリティへの様々な誤解から生じるインシデントや誤った対応が見られます。
医療分野でICTを活用していく上で考え直す必要があるポイントについて解説します。

お客さまの声を聞く

“医療機関では、そもそも人手が足りないため高度な対策まで手が回らないケースが多くあります。今回の仕組みは、対策の改善サイクルを自動的に回していける点を高く評価しました”

山下 芳範 氏
福井大学医学部附属病院 医療情報部 総合情報基盤センター 副部長 副センター長 准教授

Windows® Mac® AndroidTM iOS new Power Up

“医療のクローズド環境こそ内部対策をやるべきです。情報の活用を推し進めると同時に院内で働く職員が安心して業務に取り組む環境を整えるのが私たちの仕事です”

谷 祐児 氏
国立大学法人 旭川医科大学 旭川医科大学病院 経営企画部 医療情報部門 准教授/副部長

Windows® Mac® AndroidTM iOS new Power Up

“情報漏洩などの被害が起き、最も困るのは病院や患者の皆さま。そうした事態を未然に防ぐため、現場のシステムを担う我々が、適切な対策を打つ必要があると考えたのです”

島澤 稔 氏
東洋メディック株式会社

Windows® Mac® AndroidTM iOS new Power Up

“当院のような中小規模の医療機関にとって、いかに低コストで、効率よくセキュリティ対策を実施していくかは重要な課題。Cloud Edgeは、その最適解だったと感じています”

中島 清訓 氏
大阪回生病院 医療事務部 次長 システム管理課 課長

Windows® Mac® AndroidTM iOS new Power Up

お客さまの環境に合わせたセキュリティソリューション

複雑化するネットワークの防御

healthcare cyber security

住民に係わる情報を狙った標的型サイバー攻撃。これらの攻撃では巧妙な手口を使い、入口出口対策をかいくぐり、ネットワークに侵入してきます。

トレンドマイクロのネットワーク防御ソリューションは、ネットワーク上の不審な通信を可視化、さらに対策製品との連携により、お客さまの組織と重要なデータを守ります。

ハイブリッドクラウドセキュリティ

ITによる校務の効率化が進む一方で、セキュリティの原則として不正な侵入を防ぎ、価値あるデータを保護することは変わりません。

トレンドマイクロのハイブリッド・クラウド・セキュリティのソリューションでは、重要なデータを格納するサーバインフラが仮想化、クラウドと進化する中で最適化されたセキュリティによりサーバを保護します。

多様な環境におけるユーザ保護

トレンドマイクロのユーザ保護ソリューションは複数レイヤーでの防御アプローチにより端末、アプリケーション、場所を問わず、組織で取り扱う重要データやユーザを保護します。

    

Microsoft 365向けセキュリティ

多くの医療機関が、クラウドのメリットを実現するためにMicrosoft 365に移行しています。
患者の安全を守るために必要な保護を強化するために、Microsoft 365向けのセキュリティを強化します。

ヘルスケア業界向け総合セキュリティソリューションについて、さらに詳しく