サイバー攻撃のリスクがより身近に セキュリティー対策で医療安全講習会  PDF

 協会は3月12日、愛知医科大学病院医療情報部部長・特任教授、一般社団法人医療ISACの代表理事である深津博氏を講師に迎え、医療安全講習会「医療業界に対するサイバー攻撃の現状と、望まれる対策」をウェブで開催した。本講習会は、全国の保険医協会・医会の会員医療機関からも参加を募り、343人が参加した。

 講演では、全国の協会・医会会員医療機関と四病院団体協議会会員病院を対象としたアンケート結果から、深津氏がサイバー攻撃に対する医療機関のシステムやセキュリティー管理体制の脆弱性を指摘した上で、医療機関に対するサイバー攻撃の概要について次のように解説した。電子カルテを使っている医療機関は、電子カルテのサーバが施設内にあるオンプレミス型と、外部のデータセンターにサーバがあるクラウド型に分けられる。オンプレミス型ではサーバとその保守事業者がVirtual Private Network(仮想専用線:以下、VPN)でつながっており、そのVPNの脆弱性をつかれてウイルスに侵入されてしまう。昨年10月にサイバー攻撃された徳島県の病院はまさに、このVPNの脆弱性からランサムウェアに侵入された事例であった。一方、クラウド型では、データセンターは堅牢なセキュリティーを設定しており攻撃されにくいため、攻撃者は比較的対策が手薄な施設内の電子カルテ端末を攻撃することが多い。まずは、自施設の電子カルテがオンプレミス型かクラウド型かを確認し、それに合った対策を講じる必要があるとした。また、昨年国内の医療機関が受けたサイバー攻撃の実例を紹介し「診療系ネットワークは外部ネットワークと遮断されており安全である」といった安全神話は、もはや通用しないと述べた。さらに被害にあった医療機関の教訓として、厚労省から脆弱性を指摘されていたVPN機器への対策が講じられておらず、データバックアップをオンラインのみで保管していたこと、感染後すぐにウイルス駆除やバックアップの隔離といったインシデントレスポンスが行われなかったこと等を挙げた。
 最近のランサムウェアによる攻撃では、暗号化されたデータの復元と引き換えに身代金を要求し、その要求が拒否された場合でも、事前に盗んでおいたデータをネット上に公開するといって脅迫し金銭を要求する、二重脅迫型が多く発生していると説明。またコロナ流行以降、ダークウェブ上でランサムウェア・アズ・ア・サービスという仕組みが急拡大しており、攻撃用の外部のサーバをレンタルできたり、身代金を要求するメッセージを翻訳するサービスが利用できる等、資金やスキルがない攻撃者であってもより気軽に攻撃できるようになっている。さらに攻撃者は、セキュリティーの脆弱性が放置されている医療機関を無差別に標的としており、都市部の大病院だけでなく地方の中小病院や診療所も攻撃対象となり得るとした。深津氏は、攻撃側も進化しており、厚労省からの注意喚起の通知等も確認して最低でも年単位でアップデートを行い、外部の専門家の目を通すことが重要であると解説した。
 その他、4月に改定された個人情報保護法によりランサムウェア被害にあった際の個人情報漏えい等の報告の義務化や、EMOTET等のウイルスが付いたメールへの対策についても解説した。
 講演後、近年の医療機関へのサイバー攻撃の状況を鑑み、損害保険ジャパン株式会社の担当者が対策の一つとしてサイバー保険を説明。質疑応答では、ネット診療予約システムと電子カルテの連携におけるサイバー攻撃の危険性や、サイバーセキュリティー対策の費用に関する質問等が多く寄せられ、参加者の関心の高さが窺えた。
◇    ◇
 本講習会の模様は、期間限定で協会ホームページに掲載中である。掲載QRコードよりご覧いただき、医療安全研修にご活用いただきたい。

ページの先頭へ