{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
近年、医療機関においてランサムウェア被害が多発しています。その背景には医療機関にセキュリティ対策に必要な人的リソースやコストが十分にないこと、システム事業者とのリスクコミュニケーションが不足していることなどが挙げられます。本セッションでは一般社団法人医療ISAC(Information Share and Analysis Center)代表理事の深津博氏とセールスフォース・ジャパンの上中進太郎氏をお迎えし、医療機関におけるセキュリティ対策の課題について議論するとともに、その解決のためにはどのようなアプローチが必要なのかを伺いました。
(本文敬称略)
登壇者
一般社団法人医療ISAC 代表理事
愛知医科大学 医療情報部長・教授
深津 博氏
株式会社セールスフォース・ジャパン
シニアマネージャー
上中 進太郎氏
PwCあらた有限責任監査法人
ディレクター
江原 悠介
(左から)江原 悠介、深津 博氏、上中 進太郎氏
江原:
最初に医療ISACの活動内容を教えてください。
深津:
医療ISACは、医療分野における情報セキュリティの啓発団体です。セミナーやワークショップなど、有志によるワーキンググループ活動を中心に、情報セキュリティに係る報告書や提言書などを発行しています。また、有償無償のさまざまなサービスや、無料オンライン相談を中心としたコンサルテーションも実施しています。
江原:
近年は国内の医療機関でもランサムウェア被害が多発しています。医療ISACはこの状況をどのように捉えていらっしゃいますか。
深津:
現在報道されている医療機関のランサムウェア被害は、氷山の一角に過ぎないと認識しています。医療ISACが把握しているランサムウェア被害の件数は、未公表分も含めて2021年は5件、2022年では12件に上ります。
被害が多発している原因の1つとして、米国ベンダー製のVPN(Virtual Private Network)装置の脆弱性への未対応が挙げられます。この脆弱性は既知のもので、すでにベンダーから修正プログラムが提供されているのですが、それにもかかわらず未対応の医療機関が多かったのです。医療機関が最初に攻撃された時点で、医療ISACでは各医療機関に注意喚起をしました。しかしその後も、1年半以上にわたって複数の医療機関が同じ原因で被害に遭っているのです。
さらに言うと、感染が発覚した時点でバックアップデータが生きていれば対策が講じられたのですが、この2年間で発生した17件の被害のうち5件はバックアップデータも暗号化されてしまい、復旧が困難になってしまいました。このことからも分かるとおり、過去の教訓や注意喚起が活かされていないのが実情です。
江原:
注意喚起をしているにもかかわらず、対策が講じられていないのですね。何か構造的な原因があるのでしょうか。
深津:
さまざまな原因があると考えています。医療ISACは2022年1月、開業医を中心とした全国保険医団体連合会と病院が属する四病院団体協議会を通じて、セキュリティ管理状況に関するアンケート調査を実施しました。その中で「脆弱性の存在したVPN装置を使用しているか」を訊ねたところ、全国保険医団体連合会で「使用している」と回答したのは7%、「(使用しているか)わからない」は54%に上りました。また、四病院団体協議会ではレポート(※1)で公開されているとおり、「使用している」が40%、「わからない」は25%でした。
つまり、全国保険医団体連合会に所属する診療所の半数以上、システム担当者が常駐しているような病院でも4分の1が、脆弱性が指摘されている機器を使用しているかどうかを把握できていない可能性があるのです。これでは対策の講じようもありません。
こうした事態が生じる要因の1つとして、VPN機器が病院の資産ではないことが挙げられます。これらの機器は電子カルテシステムなどを保守・運用する事業者が、機器をリモートメンテナンスするために設置することが多いです。ですから、こうした病院や診療所は他人事として捉え、脆弱性対策が必要な機器が院内に持ち込まれていることすら気がつかないのです。
※1 https://www.hospital.or.jp/pdf/06_20220323_01.pdf
江原:
なるほど。これでは厚生労働省が医療機関に対して注意喚起を繰り返し発出しても、問題は解決しませんね。
深津:
そのとおりです。注意喚起を発出すべき宛先が適切ではなかったのです。さらに医療機関には「クローズドネットワークの安全神話」があります。「診療系のネットワークはインターネットに接続していないからサイバー攻撃を受けるはずがない。だから安全だ」と信じているのですね。「人的リソースもコストも限られているのだから、攻撃されないシステムに面倒な対策を自分たちで講じる必要はない。それはシステム事業者がやってくれる」という非常に安易な考えが、医療機関の中で蔓延しているのです。
一般社団法人医療ISAC 代表理事 愛知医科大学 医療情報部長・教授 深津 博氏
株式会社セールスフォース・ジャパン シニアマネージャー 上中 進太郎氏
江原:
IT機器に限りませんが、発注元と発注先では契約時に「どのような機器を納入し、どの範囲で保守運用するか」を議論し、合意形成する必要があります。医療機関とシステム事業者との間では、そうしたコミュニケーションが足りていないのでしょうか。
深津:
2020年8月に総務省と経済産業省が「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、安全管理ガイドライン)を公表しています。これは医療情報システムやサービスを提供する事業者が守るべき法令要件を定めたもので、そのなかで事業者は病院とセキュリティ面のコミュニケーションをしっかりとることが求められています。しかし、残念ながら現状は全く違っています。
医療ISACが相談を受けた例を基に説明しましょう。1つ目は異なる4つのシステムを各事業者と契約して運用していたクリニックの例です。
安全管理ガイドラインは事業者に対して「プライバシーマークの認定もしくはISMS(情報セキュリティマネジメントシステム)の認証を取ること」を最低限の要件として求めています。そのため、医療ISACではこのクリニックが契約していた事業者に対して「こうした認定・認証を取得しているか」という基本的な質問をしました。しかし、書面で回答してきたのは1社のみで、プライバシーマークはおろかISMSマークも取得していませんでした。残りの3社はメールだけ、もしくは一切の返答がありませんでした。
こうした姿勢からも伺えるとおり、安全管理ガイドラインが求めているにもかかわらず、事業者側が医療機関と合意形成をし、自主的にリスクコミュニケーションをはかるという姿勢が全く見てとれません。
深津:
もう1つの事例は別の病院で露呈した、契約に関する課題です。
その病院では、インターネット接続している患者向けの予約システムが、患者診療情報を管理する電子カルテシステムと同一の院内ネットワークに接続されていました。そしてその事実は事業者からクリニック側には知らされていなかったのです。またインターネットと院内ネットワークの境界に光回線終端装置が設置されていたのですが、その先にはUTM(統合脅威管理)装置もファイアウォールも設置されていませんでした。つまり、インターネット経由で電子カルテを含む院内システムに外部者がアクセスできるネットワーク構成だったのです。
こちらの病院も異なる4つのシステムを別々の事業者が担当していました。医療ISACは各事業者に対して「このネットワーク構成を知っていたのか」を確認したところ、2社は“まずい状態”であることは認識していたものの、「(ネットワークセキュリティは)自社の担当外であるためクリニック側に知らせる義理はない」との考えから伝えていませんでした。
さらに、この事業者との保守契約書には、「本作業に関して事業者側の過失以外によるもの、たとえばサイバー攻撃や災害などによる損害の場合、事業者側はその一切の損害について責任を負わないこととする」という免責事項が明確に書かれていました。これを病院の担当者に確認したところ、「そんな文言が契約書にあることを知らなかった」と言うのです。しかし、クリニック側はこの契約書にサインをしていました。
医療機関側の知識不足ゆえに、非常に不利な契約を一方的に結ばされている事例は少なくありません。事業者側は「契約書に明記されていないセキュリティ対策は講じません」という姿勢です。つまり、「持ち込んだ機器の脆弱性対策は明記されていない。だから私たちの責任ではない」というのが彼らの考えです。これは非常に好ましくない状態です。
江原:
医療機関のセキュリティ対策・安全管理措置に関しては、前述の安全管理ガイドラインにおいても、「事業者が補助的な役割を担うべきである」と明確に定義されています。今ご説明いただいたような事態を避けるために、医療機関と事業者はどのようなことに留意すべきでしょうか。
深津:
医療機関と事業者で合理的な範囲で責任範囲を明確化し、責任分界点を定めることです。そして事業者は医療機関に対して積極的にリスクに係るコミュニケーションをとり、両者が納得したうえで契約を結ぶプロセスに変更していく必要があります。
江原:
医療機関と事業者ではサイバーリスクやセキュリティに関する情報の非対称性が発生します。事業者には医療機関の事情を考慮したうえで、自発的にリスクコミュニケーションをとる姿勢が求められます。そのうえで両者が対等の目線で合意形成することが重要だと考えます。
江原:
遠隔診療やオンライン診断など、インターネット接続を前提とした医療サービスの増加が期待される中で、現場ではご紹介いただいたような課題が山積しているのですね。上中さんはセールスフォース・ジャパン(以下、セールスフォース)において医療機関を含むパブリックセクター・ヘルス業界を担当し、SaaS(Software as a Service)導入支援などを担当されています。セールスフォースではこうした課題に対し、どのような対策を講じているのか教えてください。
上中:
セールスフォースではセキュリティに対して「責任共有モデル」のアプローチを取っています。これはお客様のセキュリティを最適化するためです。インフラストラクチャのセキュリティや運用に対して責任を持ち、契約に従ってお客様からお預かりするデータの安全対策を保証しています。またセールスフォースの運営するサービスでは深層防護の考えに基づき、システムおよび運用の多層防御を行っています。
アプリケーションレベルのアクセスコントロールは、基本的な部分はセールスフォースが制御しています。一方、高度なレベルのセキュリティやお客様のビジネス要件に基づいたセキュリティアクセスコントロールは、お客様自身が設定できる機能を提供しています。
江原:
必要不可欠なセキュリティ対策はセールスフォースが担当し、個別に設定が必要な部分は顧客側で担当するのですね。
上中:
この点は詳しく説明させてください。お客様に責任が帰属するセキュリティ対策には、「プラットフォーム上のお客様組織での保護設定」と、「お客様自社ネットワーク内環境の保護」があります。前者の作業は、アカウント管理・多要素認証、IPアドレスによるアクセス制御、正しいアクセス権の管理などがあります。後者はプラットフォームへ格納するデータの品質管理、お客様組織内でのセキュリティ教育、インターネット接続の保護などがあります。
これらの対策はお客様側で設定していただきますが、もちろん私たちもご支援・協力し、密にコミュニケーションを取りながら課題解決やデータの安全性担保に務めています。
江原:
「責任共有モデル」という概念が明示されていることは、お客様に安心感を与えると思います。一方で機微情報を扱う医療機関は、クラウドサービス上でデータを管理することに抵抗感が強いと思われます。そのような組織に対してリスクコミュニケーションをする難しさや工夫しているポイントはありますか。
上中:
確かに医療機関は、医療施設の“外”で情報を管理することに抵抗感を持っていると感じています。例えば、患者の情報をクラウド上で管理することは法律で禁止されていると誤解されている方もいらっしゃいます。
こうしたお客様には先のガイドラインに準拠した環境で運用すれば問題ないことを説明するなど、正しく理解していただくように務めています。一方で、お客様の中にはクラウドの利点をよくご存じで「自分たちで個別にセキュリティ対策を講じなければならないオンプレミス環境よりも、クラウド環境のほうが安全なので積極的に活用したい」とおっしゃる方もいます。
PwCあらた有限責任監査法人 ディレクター 江原 悠介
江原:
深津先生はセールスフォースの取り組みについて、どのような感想を持たれましたか。
深津:
責任共有モデルが重要であるとの考えには、非常に共感します。医療機関にはサイバーセキュリティに関する知識を持った人材があまりいません。また、セキュリティ対策に割ける十分な予算もなく、自主的に情報を収集し、責任を持って対策できる環境ではありません。ですから事業者に対してどのようなコミュニケーションをとってよいか分からず、「これさえやっておけば大丈夫なセキュリティ対策はありますか」というような、非常にプリミティブな質問しかできないのが現状です。
ぜひ、セールスフォースにはサービスやソリューションを通じて責任共有モデルという考え方を幅広く浸透させていただきたいです。電子カルテ事業者をはじめとするシステム事業者にも責任共有モデルの考え方が定着し、結果的に(医療機関が)自立的にセキュリティを考えられるようになることを期待しています。
今、医療機関にはクラウドの活用やゼロトラストの構築を目指す潮流があります。そのような状況において責任共有モデルという考え方は、まさに必要とされていると感じました。
江原:
上中さんは深津先生が紹介された事例をどのように捉えていますか。
上中:
セキュリティ対策に十分なリソースを割けず、脆弱性が放置されてしまう医療機関の現状は非常に危険だと感じました。しかしそれ以上に、医療機関からの問い合わせに対して事業者が回答すらしないケースがあるということにも驚きました。
ITベンダーはパートナー(事業者)と協力しながらお客様を支援するケースが多くあります。ITベンダーから事業者へ適切に情報を提供し、ガイドラインを遵守した運用を支援していきたいと考えています。そうした観点からも医療ISACの啓発活動は、非常に重要であると再認識しました。
江原:
医療機関は多職種連携で患者をケアします。同様にITシステムもさまざまな外部ベンダーやサービスと接続点を持つ、いわゆる「関係の束」になります。「関係の束」であればこそ、医療機関と事業者はそれぞれの立場で適切なセキュリティを行うことが、自分が相対するさまざまな関係者への責務にもなります。その意味でも、責任共有モデルは今後の医療セキュリティを考えるうえで重要なキーワードになると思われます。本日はありがとうございました。