病院セキュリティの駆け込み寺

1.はじめに

英国で一昨年度、医療情報システムがサイバー攻撃によりマルウエア感染したため、診療が停止し、全世界的なニュースとなったことは記憶に新しいところです。一方、我が国でも昨年度病院で初めてのマルウエア感染のインシデントが発生しました。サイバー攻撃では初動対応が重要ですが、攻撃や感染が発見されても、医療機関でどのように対応すべきかはあまり知られていません。
米国ではISAC[※1] と呼ばれる情報共有組織を立ち上げて、サイバー攻撃に関する情報を収集し、医療機関に提供しています。本稿では米国の事例を踏まえながらISACについてご紹介します。

[※1]Information Sharing and Analysis Centerの略、日本語ではアイザックと読む

2.情報共有組織（ISAC）とは

上記のような問題に対応するためには米国ではISAC （Information Sharing and Analysis Center）と呼ばれる、同じ業界の事業者で構成される民間組織が設けられています。日本では医療業界以外の業界で国内の複数の組織[※2]が構成されています。
情報共有組織（ISAC）はセキュリティを始めとする様々な脅威情報の共有・緩和を目的として活動しており、重要インフラにおけるBCP対策の１つとして、様々な業界で先行して設立されています。米国では、1998年に重要インフラ分野が攻撃される可能性を懸念し、所管組織の決定と情報共有の専門組織の設立を推奨されたことがきっかけになり、医療を含む、金融、電力、ICTなど19のISACが確認されています。

情報共有組織（ISAC）は個々の組織により異なりますが、一般的に以下のような機能・役割を提供しています

• 会員に対してセキュリティに関する教育・研修の提供
• 会員間でのインシデント、脅威及び脆弱性に関する業界独自の情報共有と分析
• インシデント、脅威、及び脆弱性が分野に与える影響について、関係する政府機関への説明
• 重要インフラ防護の目的において、サイバー／物理に関わらず、あらゆる脅威情報を会員間で共有するための信頼出来るシステムの提供

[※2] 国内では金融分野：金融ISAC、電力分野：電力ISAC、情報通信分野：ICT-ISAC、ソフトウェア：ソフトウェアISAC　等が存在

3.米国における情報共有組織（ISAC）とは

米国における医療領域の情報共有組織（ISAC）はその設立経緯や目的から複数存在しています。これは、病院等の医療分野の情報セキュリティ・インシデンテント対策は病院だけでは対応できず、医療情報ベンダー、医療機器ベンダー、行政等のステークホルダーも関係してくるためです。

(1) H-ISAC

H-ISACは医療分野に係るほぼ全てのステークホルダーから構成される組織、非営利団体が運営しています。ボードメンバーは大手医療保険会社、大手製薬会社、大学、大手病院グループ、大手医療機器メーカー、大手医療材料・薬局チェーン、医療団体などで構成され、参加団体の構成割合は次の通りです。
医療サービス提供者　（31%）、保険者　（21%）、製薬メーカー等　（15%）、ITベンダー　（10%）、医療機器メーカー　（9%）、 アカデミア　（11%）、薬局　（3%）

H-ISACの活動は脅威、インシデント、脆弱性の兆候（脅威アクターの妥協点、戦術、技術と手順、アドバイス、ベストプラクティスなど）を含むタイムリーで実行可能で関連性のある情報を互いに共有することに重点に取り組んでおり、具体的な主な活動内容は以下に記載の通りです。

• 会員へ適時にセキュリティ情報、インシデントアラームを配信
• ワーキンググループ及び分科委員会にて各委員会等の情報を提供
• 脅威情報をH-ISAC内で共有し、セキュリティ専門家を招聘し、最新の脅威、脆弱性、およびセクターに影響を及ぼすインシデントについて議論
• 会員病院等でインシデントが発生した場合に、セキュリティベンダと連携し、関連する脅威情報を特定
• リスク軽減に最適な方法、脅威に対する考え方およびツールキット、最適な方法に関する研究会を会員主導の下で推進

また、H-ISACでは、州政府のサイバーセキュリティ情報共有センターとのパートナシップ連携やMS-ISAC（地域単位のISAC）等との連携により、幅広く情報を収集し、医療機関等に情報提供を働きかける取組みも推進しています。

一方、 医療分野では他の業界と異なり、小規模な組織（医療機関等）が多数存在するという特徴があり、情報周知の観点から、それらの医療機関を会員として増加させることに注力しています。

(2) Healthcare Ready

Healthcare Readyは災害時の医療供給等の事業継続体制を重視した情報共有組織（ISAC）で、非営団体により運営されています。この組織の前身は2005年に発生したハリケーン “カトリーナ”による災害を契機として設立されていることから、災害医療とその際の医薬品・医療材料供給に重点が置かれています。ボードメンバーは赤十字社、HDA(The Healthcare Distribution Alliance)、NACDS(National Association of Chain Drug Stores）、大手製薬企業、大手医薬品・医療材料の流通業者、大学などから構成されています。

前述のとおり、Healthcare Readyの設立目的は公衆衛生と民間部門の連携を促進し、災害時の緊急課題に取り組むことによって、医療サプライチェーンを強化し、コミュニティの弾力性を向上させ、最適な医療の準備と対応方法を共有することで患者の健康を守ることを目的としています。この目的を達成するために、以下の取組みを行っています。

• 公衆衛生と準備を踏まえたBCP対策のトレーニングカリキュラムの開発及び提供（災害現場へのアクセス、地域の災害体制向上、医療物流の強化、パンデミックの準備と対応など）
• 災害時に患者が利用可能な薬局を示すことのできる地図システムの提供
• 公衆衛生と準備を踏まえたBCP対策のトレーニングカリキュラム発及び提供
• 災害時の医療継続性に関係する調査研究・レポート

(3)  Medical　Device　ISAO（医療機器ISAO）

医療機器　ISAOは医療機器の市販後におけるセキュリティ対策を担う情報共有組織で、医療機器の製造業者、医療機器の研究開発会社および請負業者、医療機器の設計、メンテナンス、または製造に関わる業者などが参画しています。日本からは、HITACHI社がスポンサー会員として参加しています。

加えて、医療機器のポストマーケットにおけるサイバーセキュリティ・マネジメントについて、FDAの推薦を受けています。　医療機器ISAOは、教育、啓発、アドボカシーを通じて医療機器のセキュリティを向上させることを目的とし、医療機器業界向けのサイバーセキュリティ情報、教育、ツールを提供しています。

4.国内の動向

(1) 医療セプター

国内では、米国と同様の情報共有組織（ISAC）を確認できませんが、日本医師会が事務局となって、情報共有・分析を担う組織として医療セプター[※3]を設置しています。

医療セプターの設置目的は、「ＩＴ障害の未然防止、ＩＴ障害の拡大防止・迅速な復旧、ＩＴ障害の要因等の分析・検証による再発防止を図り、医療事業者のサービスの維持・復旧能力の向上に資するため、政府等から提供される情報を適切に医療事業者等の間で共有・分析すること」とされており、次の取り組みを行っています。

• 医療事業におけるＩＴ障害の未然防止、ＩＴ障害の拡大防止・迅速な復旧、ＩＴ障害の要因等の分析・検証による再発防止のための情報共有及び連携
• 政府、他のセプター等から提供される情報の構成員への連絡
• 政府、他のセプター等から提供される情報に関連する事項の情報共

(2) Medical security Forum

医療分野における情報セキュリティの重要性を啓発するために、メディカル・セキュリティ・フォーラム（Medical security Forum）という、2013年に設立された非営利的団体があります。このフォーラムは、2017年4月時点で医療機関会員180施設、個人会員600名、企業会員16社を擁する団体となっており、米国のISACに類似した役割を一部になっています。

主な取組み概要は以下に記載の通りです。

• 厚生労働省、総務省、経済産業省のガイドラインを統合して、医療機関および医療機関を顧客とする事業者に対する実質的な“TO BE MODEL”の提示
• 医療介護福祉関連の関係各団体との情報交換、情報共有を行い、会員に周知
• ITセキュリティ製品を扱う各種事業者からの最新情報を紹介し、その機能と適合する事例、期待される効果を、国際的なセキュリティ評価基準と照合して分類・表示し、医療機関や医療従事者がセキュリティ製品を採用する際の判断材料を提供
• 具体的な課題とその対策について問題を解決可能なソリューションの紹介
• 医療情報システムにおけるセキュリティ上の喫緊の課題と思われる、地域医療連携システムおよび職員の私物PC端末による外部よりの電子カルテシステムアクセスについて

■内部ネットワーク対策について

■内部ネットワークにおけるウイルス・マルウエア対策について

■医療機器やシステムの遠隔保守におけるセキュリティ対策について

■ASP, SaaS, BPOを利用したサービスを利用する際の、セキュリティ対策について

■ガイドラインに適合した運用管理規程集の提供

[※3] 医療分野の「情報共有・分析機能」との意で、日本医師会、日本歯科医師会、日本薬剤師会、日本看護協会、日本医療法人協会、日本精神科病院協会、日本病院会、全日本病院協会（四病協）（以上、情報共有機能）、オブザーバー（情報分析機能）として保健医療福祉情報システム工業会から構成される。

5.日本版ISACの方向性

前述のように米国のISACについて考察すると、その参加団体は、医療機関だけなく、行政や医療関連企業を含めたものとなっていることに気づきます。これはサイバー攻撃から医療提供体制を保護するには、診療を提供する医療機関だけではなく、流通・製造といったサプライチェーンを考慮して検討する必要があるためです。具体的には以下の点を考慮して、医療機関のみならず、医療材料、医薬品、情報通信システム等の医療関連事業者と連携した、日本版ISACを構築する必要があると考えられます。

(1)  医療を支えるサプライチェーンに係るプレイヤーを参画させること

• 医療機関との取引先には多くの事業者が関係しており、大手メーカー・大手卸業者だけでなく、地域の中小企業（医療系商社や卸業者）も多く関わっています
• 取引先との受発注業務にEDI（電子商取引）システムを導入している医療機関は少なくなく、システムダウン時には物資提供体制にまで影響が及びます

(2) システムや機器を担うプレイヤーを参画させること

• 医療機関のシステムやネットワーク機器はパッケージ製品や汎用品が多く、医療機関独自での対応は困難です
• システム管理やセキュリティ対策が可能な人材を直接雇用している医療機関は少なく、多くの医療機関では、システム管理をベンダーや外部業者へ委託しています