ネットワーク関連のセキュリティリスクが課題に
昨今、医療業界ではネットワーク関連のセキュリティリスクが課題になっています。その要因として、「サイバー攻撃の巧妙化」や「オンライン資格確認の導入が原則義務化」が挙げられます。
サイバー攻撃の巧妙化
従来、医療業界では「院内システムは外部ネットワークと繋がっていないため、サイバー攻撃を受けることはない」という閉域網神話が広く信じられていました。しかし、サイバー攻撃の巧妙化に伴い、VPN装置から院内システムに侵入されるケースが増え、「閉域網だから安全」とは言えなくなりました。中でも以下事例は、最終的に十数億円以上の逸失利益が生じ、業界内で大きな関心を集めました。
| 事例 | |
|---|---|
| 2021年10月 | 徳島県の医療機関がランサムウェアに感染し、 電子システムや会計システム、医事サーバーが停止。 VPN装置の脆弱性を悪用されて侵入を許した可能性が高いと報じられた。 |
| 2022年10月 | 大阪府の医療機関がサプライチェーン攻撃を受けて、電子カルテシステムに障害が発生。 外部の給食委託業者のデータセンターがVPN装置の脆弱性を放置しており、 そこを経由して院内システムへの侵入を許したと報じられた。 |
オンライン資格確認導入の原則義務化
2023年4月、マイナンバーや保険証等の保険資格をオンラインで確認できる「オンライン資格確認の導入」が原則義務化されました。これにより、外部ネットワークとの接続が必須になったため、医療機関ではネットワーク関連のセキュリティリスクが一層増大しました。
このような背景から、医療業界ではネットワーク関連のセキュリティリスクにどう対応するかが課題となっています。
ネットワーク関連のセキュリティ向上を趣旨に
「医療情報システムの安全管理に関するガイドライン」を改訂
こうした状況に対応すべく、厚生労働省は「医療情報システムの安全管理に関するガイドライン」を公開しました。
| 項目 | 内容 |
|---|---|
| タイトル | 医療情報システムの安全管理に関するガイドライン |
| 概要 | 医療機関の情報システムを安全に管理するために、技術的及び運用管理上の観点から対策を示したもの |
| 対象者 | 医療機関等において、すべての医療情報システムの導入、運用、利用、保守及び廃棄に関わる者 |
本ガイドラインは平成17年に初版が策定され、令和5年に第6.0版が公開されました。第6.0版では、ネットワーク関連のセキュリティ対策の理解・実行を促すことを趣旨に構成が見直され、「ゼロトラスト」という院内外の全ての通信を信用せずにセキュリティ対策を行う考え方や、ネットワーク機器の安全管理措置などが明記されました。
医療機関のセキュリティ強化において重要な位置づけとなる本ガイドラインですが、明記されている要件を遵守することは容易ではありません。そこで、本ガイドラインに沿ったセキュリティ対策についてご紹介するセミナーを開催いたします。
ガイドラインに沿ったセキュリティ対策を解説するセミナーを開催
本セミナーでは、ガイドライン中の「ログ(情報システムの記録)」に関する要件に焦点を当て、その対応方法を解説します。
ネットワーク関連のセキュリティリスクが増加し、脅威の侵入を防ぐことが困難になった近年は、侵入後の被害を最小限に食い止めることの重要性が増しました。実際、先述した2つの事例には「閉域網を過信し、侵入後の対策が不十分だったため、被害が拡大した」という共通点が見られました。
・インシデント発生時にログが消失していたため、的確な調査が行えず復旧が長引き、逸失利益が拡大した。
・ログを保管していれば、的確な調査が行えたため、迅速な原因特定やシステム復旧を実現し、逸失利益を軽減できた可能性が高い。
侵入した脅威による被害を最小限に抑えるためには、ログが欠かせません。その重要性から、ガイドラインにもログ要件が明記されていますが、その実現は容易ではありません。そこで本セミナーでは、ガイドライン中のログ要件への対応方法についてご紹介します。ぜひご視聴ください。