ナレッジ

医療機関におけるセキュリティ対策への取り組み方のポイント

先日「医療情報システムの安全管理に関するガイドライン 第4.4版(案)」に関するパブリックコメントが行われ、第4.4版の改定テーマが明らかになりました。その中にはサイバー攻撃の高度化や新技術の普及といった、環境の変化に対応したセキュリティ対策に係るテーマが含まれています。技術的な対策だけで十分な効果を見込むことが難しい医療機関のセキュリティ対策について、取り組み方のポイントを整理します。

情報セキュリティインシデントの発生状況

「2016年に最も注目を集めた情報セキュリティインシデント」と聞いて、皆さんはどのような事例を想像されるでしょうか。恐らく、「ランサムウェア」という単語を想像される方は少なからずいらっしゃるのではないかと思います。「身代金ウィルス」と言ったほうがピンとくる方が多いかもしれません。「ランサムウェア」とは、コンピュータウィルスの一種であり、感染したパソコン、あるいはパソコンに保存されたデータを使用不能にすることで、これを「人質」として「身代金」を要求する、といった挙動をするものです。

ランサムウェアに関しては、2016年1月に、ロサンゼルス市の医療機関に於ける感染事例が大々的に報道されました。報道された内容も、10日間あまりのEHRシステムの停止、それに伴う院内業務の混乱、「身代金」の支払いと「人質」となったシステムの解放…など、これまでに無かった展開が、大きな関心を以て受け取られたように思います。この報道の影響もあるのでしょうか、2016年1月~9月における新種のランサムウェアの発生件数は、2015年の発生件数と比較して、400%という驚異的な増加率となった、と言われています(トレンドマイクロ(株)『2017 年セキュリティ脅威予測』より)。

ランサムウェアの台頭は、情報セキュリティインシデントの影響範囲が、ブランドイメージの低下や復旧コストの発生といったものから、より直接的に金銭的損失に及ぶようになったことを意味します。ランサムウェアのみならず、情報セキュリティ脅威は近年、その技術的な高度化に伴い被害を拡大させるばかりでなく、その影響範囲も広げつつある状況と言えます。

※本稿執筆後の2017年5月12日、欧米およびロシアに於いて、「WannaCry」と呼ばれるランサムウェアによる大規模なサイバー攻撃が発生したと報じられました。特に英国では、国民保健サービス(NHS)がその被害を受けて、一部の医療機関に於いて診察や手術を行えない状況に陥ったと伝えられています。また、被害は日本を含む世界中に広まっており、その影響力を改めて痛感させられる事態となっております。

医療機関におけるセキュリティ対策への取り組み

セキュリティ脅威がその影響力を高めている中、医療機関ではどのようなセキュリティ対策を実施すればよいのでしょうか。一つの指針として、セキュリティ対策を含めた医療情報システムのあり方を示した「医療情報システムの安全管理に関するガイドライン(厚生労働省、以下、「ガイドライン」と言う)」があります。

ガイドラインに関しては、改定版である「第4.4版(案)」のパブリックコメントが本年1月末~3月1日の期間で実施されました。今回の改定テーマは13項目からなり、「2.「製造業者による情報セキュリティ開示書」ガイドVer.2.0への言及」「4.標的型攻撃への対応」「6.TLS1.2によるオープンネットワーク接続への言及」「9.IoTセキュリティへの対応」など、セキュリティに言及した項目が多く含まれており、セキュリティ脅威が拡大している昨今の状況が意識された内容になっています。

医療情報システムの特徴として、単一拠点内で完結するネットワーク構成で成り立っているケースが多く、また扱う情報の内容から、医療情報システム用のネットワークとインターネット用のネットワークとが別個に管理されることが多い点が挙げられます。それ故に、医療情報システムのセキュリティ対策への取り組みは、「クローズドネットワークで運用されている」という観点から、慣習的にさほど積極的には行われないていない状況がありました。しかしながら、ガイドラインの改定内容に見られるように、セキュリティ脅威の拡大や新技術の広まりに応じて、医療情報システムに於いてもセキュリティ対策の重要性を再認識した上で、対策を講じる必要がある状況と認識すべきと思われます。

勿論、これまで全くセキュリティ対策を行ってこなかったという医療機関は、むしろごく少数だと考えます。医療機関の方々と接する機会の多い私共の実感として、程度の差はあるにせよ、多くの医療機関では各々リスクを想定し、それに対する対策を策定されてきていると考えています。そこで、これまでのセキュリティ対策の網羅性を再確認するために、ガイドラインに則った自己点検を行ってみてはいかがでしょうか。何かコトが起こる前に医療情報システムの構成を見直し、セキュリティ対策の抜け漏れを確認することは、効率的にセキュリティ強化に取り組む上で有効であると考えます。

なお、セキュリティ対策の取り組みに係る点検に於いて、意識すべきポイントが二点あります。即ち「実効性」と「継続性」です。このポイントについて、次に説明します。

セキュリティ対策への取り組みのポイント「実効性」

セキュリティ対策は、「対策を行っている/行っていない」の観点の他、「対策が有効に機能している/していない」の観点も重要になります。対策は講じられていても、実際には機能していないためにセキュリティ強化に寄与していないケースが散見されるためです。「セキュリティ対策が講じられていて、有効に機能している」こと、これを「実効性」と言います。

「桶の理論」として例えられることもあるように、セキュリティ対策は組織的対策、技術的対策、物理的対策、人的対策といった各々の対策が、足並みを揃えて実施されることにより、初めて有効に機能します。逆に言えば、どれほど最新の技術的対策を行っても、強固なセキュリティルールを策定しても、セキュリティ意識の低い職員が一人いるだけで、事故が発生してしまうところまでセキュリティレベルは容易に下がってしまいます。故に、職員の一人一人が共通意識を以てセキュリティルールを遵守し、セキュリティ対策に実効性を持たせることが重要になります。

注意したいのは、セキュリティルールの遵守が、意外な原因で阻害される場合がある点です。ある事例では、基幹システムでの本人認証時に用いるIDとパスワードについて、パスワードの堅牢性を保つためのルール(○文字以上の長さにする、英数字を混在する、など)や、複数の職員による同一IDの使い回しを禁止するルールが遵守されていませんでした。しかしながら、その理由を現場の職員に確認したところ、根本的な原因は基幹システムのレスポンスの悪さであることが判明しました。忙しい業務時間で、パスワードの入力にかかる時間を1秒でも減らしたい、という思いからパスワードを一文字のみに設定したり、再ログインの操作にかかる時間が勿体ないとの思いから、同じIDを複数人で使い回したりしていた、というのです。

このような背景を把握せず、技術的な対策により表面的な問題のみ解決しようとしたらどうなるでしょうか。例えば、一文字パスワードをシステム機能で設定できなくすることは可能でしょう。しかしながら、そのような対応を行うことにより、現場職員の利便性は大きく損なわれることになりますし、恐らくはまた別の、ルールの抜け道が生み出されることになるのではないかと思います。セキュリティ対策も重要ですが、それは根底にあるシステム課題が解消されて始めて実効性を持つ場合もあるものです。

セキュリティ対策への取り組みのポイント「継続性」

セキュリティ対策の実効性が、永続的なものであるとは限りません。様々な環境変化に伴い、以前は有効であった対策が機能しなくなることも多いものです。「環境の変化に応じて、それまでのセキュリティレベルを保つ仕組みが機能している」こと、これを「継続性」と言います。

例えば先述の、ID・パスワード管理ルールが遵守されなかった例でも、当初は遵守されていたルールが、経年により基幹システムのレスポンスが低下していくにつれ、徐々に守られなくなっていった、という状況でした。また、セキュリティ対策を中心的に担っていた職員が異動したことにより、そのノウハウが十分に引き継がれず、セキュリティ対策への取り組みレベルが低下する、というのもありがちな状況です。このように、内部的な環境変化が、セキュリティ対策の実効性に影響を及ぼす場合がある、という点は留意しておくべきポイントと考えます。

なお、環境の変化は外部的なものである場合もあります。冒頭のランサムウェアのように、ICTの技術的進化に伴い、新たなセキュリティ脅威が次々と発生しています。Webブラウザで利用されることの多い、暗号化通信のプロトコルとして広く利用されていたSSL(Secure Sockets Layer)にも脆弱性が発見され、TLS(Transport Layer Security)への移行が進められました。IoT機器の普及は、これまでのセキュリティ対策とは異なるアプローチでの対策を考える必要があるでしょう。これまでに無かった新技術に対する対策を講じること、これまで技術的に有効であった対策がその効力を低下させた場合に対策を講じること、これらもセキュリティ対策の継続性を担保するには重要です。

このような内的・外的環境変化に対応するためには、セキュリティ対策の実効性を継続的に評価する必要があります。評価した結果、実効性が低下しているようであれば改善策を練り、対策を実行することで実効性を保つ、といったPDCAサイクルを回し続けることが、セキュリティ対策の継続性を確保するための対策として有効です。

まとめ

繰り返しになりますが、セキュリティ対策は、これを講じて終わりという類のものではありません。対策が網羅的なものか、その対策が有効に機能し実効性が保たれているか、対策が陳腐化し継続性が損なわれていないか、といった観点での点検と対応を繰り返してこそ、セキュリティレベルの維持に寄与するものです。従って、自主点検に関しても一回のみならず、例えば年次で行うなど、定期的な取り組みとしてルーチン化することをお勧めします。

なお、このようなPDCAサイクルを実行できる体制の構築や計画の策定、現時点でのセキュリティ対策の実効性の評価といった実際の業務に際して、院内のマンパワーや担当者のスキルなどがネックとなることも想定されます。

皆様の置かれている状況に応じて、我々デロイト トーマツ グループとしても『システム監査』サービスにてお力添えできればと考えております。

お役に立ちましたか?