2019 年 11 月 14 日
医療・介護分野の情報セキュリティ対策
医療・介護分野において情報セキュリティ対策は重要な課題です。国が情報セキュリティ対策強化を指定している「重要インフラ 14 分野」にも医療分野は入っていますし、医療業界情報漏洩コストの平均は 650 万ドル(Ponemon Institute 2019 年版「情報漏洩時に発生するコストに関する調査レポート 」)と、業界別では最大となっています。
医療・介護分野は、攻撃者から見れば魅力ある情報に満ちている業界なのです。
ランサムウェアの衝撃
日本でも有名になった Wannacry に代表される、データを暗号化し身代金を要求するランサムウェア。イギリスでは国民保険サービスが麻痺し、甚大な影響が出ました。日本の病院でもランサムウェアの感染は発生していますし、海外ではやむを得ず身代金を払った事例も出ています。
身代金を払うのは悪手であると誰もが思うところですが、そう簡単には責められません。例えば身代金を払ったロサンゼルスにある病院では、緊急手術の必要な患者がいたのです。
一般的な企業では、ランサムウェアに感染したとしても、優秀なエンジニアに頼んで復元を試みる、またはバックアップしておいたデータに戻してやり直す、など、時間をかけた対応を選択できます。
しかし、医療分野は復旧までの時間に制限のある場合が多々生じ得ます。データの暗号化でありながら、文字通り人命がかかった人質を取ることができるのが医療機関に対するランサムウェア攻撃なのです。セキュリティ対策を怠ると患者の生命に関わることを認識しておかねばなりません。
セキュリティホールが生まれやすい医療機器
次に、医療機器に目を向けましょう。医療機器は様々な種類があり、その機器を動かす制御システム(機械やシステムを管理し制御するための機器の総称)も、それぞれ各メーカー独自で作られており様々です。では、この制御システムは果たして安全なのでしょうか。
今の PC は OS に脆弱性が見つかっても、自動でアップデートしてセキュリティホールを潰してくれます。ユーザーは OS の脆弱性についてあまり意識しなくても問題ありません。しかし、個別機器の制御システムでは個別のプログラムが組まれているので、自動でアップデートしてしまうと、相性が悪く動かなくなってしまう可能性があります。そのため、すぐにアップデートすることも推奨できません。脆弱性を抱えたまま稼働している個別機器の制御システムは、実は結構存在しています。
これがインターネットに接続されていると、そこから侵入することも可能になってきます。
先のランサムウェア Wannacry では、誰もが知る大手ベンダーにも感染がありました。その原因は、ドイツのグループ会社で使っている電子顕微鏡の制御システムだったのです。一般的に使われている PC で無かったため、脆弱性対応アップデートが意識されず、国際的にグループ内感染が広がりました。
また、今年の 7 月末には VxWorks や IPnet(TCP/IP スタック)が実装されている、幅広い機器に脆弱性(「Urgent/11」)が発見されました。この脆弱性により医療機器、産業用制御システムなどの 20 億以上の機器でサービス妨害、不正侵入などの重大な影響を受ける可能性があります。
米国 FDA では 2018 年 10 月、医療 IoT 機器のセキュリティ強化の取組みとして、「医療機器のサイバーセキュリティ管理に関わる承認申請手続の内容」のガイダンス草案を公表しました(「Content of Premarket Submissions for Management of Cybersecurity in Medical Devices」:FDA-2018-D-3443)。
この草案では、医療機器メーカーは、市販前申請手続時の NIST※ のサイバーセキュリティフレームワークの適用が明確化されているため、製品の設計・開発に関わるサプライヤー企業などに対して、セキュリティ・バイ・デザイン、セキュリティリスク事前評価などの対策強化が必要とされています。
昨今、IoT が盛んに持てはやされていますが、安易な IoT 化は外部からの攻撃を容易にします。IoT 化して良い機器なのかどうかの判断は、人命に関わる医療機器では最重要である、と認識してください。
今現在、院内ネットワークに繋がっている医療機器の安全性に不安があるのであれば、脆弱性診断を実施しリスクを洗い出して対策を検討しておくべきでしょう。
「医療・介護組織からの流出」の意味
最初に、医療業界情報漏洩コストは業界別では最大である、と紹介しました。要配慮個人情報を多く扱いますので、何となく納得はされるでしょうが、要配慮個人情報でなくても、「医療・介護組織からの流出」という特別な属性が生じることも知っておく必要があります。
例えば、企業から「住所・氏名」の流出があったと仮定します。これが、一般企業からの流出であれば、そのまま「住所・氏名」の意味しか持たないでしょう。しかし、「医療・介護組織から流出した個人情報」となると、心身に困った患者・家族の心に付け込んだ詐欺のターゲットにもなりかねません。
悪意を持った人間からすれば、「医療・介護組織からの流出」が付けば、同じ情報が一般組織からの流出情報よりも価値を持ってしまう場合があるのです。だから、他業種よりも情報漏洩コストが高騰して行くのです。医療・介護に従事する方は、自らが扱っている情報の意味を理解しておく必要があります。
情報セキュリティ対応の考え方
国も医療・介護分野における情報セキュリティの重要性を認識しており、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス 」や「医療情報システムの安全管理に関するガイドライン 」を発表し、業界への啓発を行っています。これらの内容を理解し、遵守することが医療・介護関係者の義務と位置付けられています。
世界的に医療・介護業界へのサイバー攻撃は増え続けています。もし、これらのガイドラインの存在を知らない、あるいは知っているが理解に自信がない、ということであれば、早急に有識者や第三者の専門家へ相談を行い、リスクの把握と対策を検討することからはじめましょう。