サイバートラスト、医療機関のセキュリティ対策を支援する医療DXソリューションを提供
〜 医療情報システムの安全管理に関するガイドラインへの適合を支援 〜
2023 年 8 月 10 日
サイバートラスト株式会社
サイバートラスト株式会社(本社:東京都港区、代表取締役社長:北村 裕司 以下、サイバートラスト)は、厚生労働省より 2023 年 5 月に公開された「医療情報システムの安全管理に関するガイドライン 第 6.0 版」に定められている、ネットワーク関連などの情報セキュリティ対策に医療機関が適合するための 医療 DX ソリューション を提供します。同ソリューションにより、医療機関における情報セキュリティマネジメントシステム(ISMS)策定、医療情報システムへのアクセス権限の堅牢化、非常時に対応可能なシステムのバックアップ、医療文書の電子保存や電子帳簿保存法対応を支援します。
<背景>
「医療情報システムの安全管理に関するガイドライン 第 6.0 版」では、リスク評価を踏まえた経営資源・資産の安全管理に関する方針の策定、安全管理対策の必要性、ISMS の確立が求められており、医療機関における ISMS 策定と PDCA サイクルの実施が明記されています。巧妙化するサイバー攻撃において、医療施設外との通信制限のみでの対策は不十分であるとし、医療機関内の閉域環境下を対象としたゼロトラスト ※1 の概念が追加されています。境界型防御による対応だけでは十分でないことは、VPN ※2 装置の脆弱性を悪用し、ランサムウェア攻撃によって医療機関の電子カルテシステムが長期間停止する事態が発生したことからも明らかです。このことから、ゼロトラストの概念にもとづき、医療情報システムにアクセスできる利用者やコンピュータの正当性を確認する仕組みの構築が必要とされています。
非常時の備えとして、不正ソフトウェアなどのサイバー攻撃を想定しネットワークから切り離してバックアップデータを保管することも求められています。また、最適な医療を実現するための基盤整備を推進すべく、政府では医療 DX 推進本部が 2022 年に設置され、その取り組みの一つとして電子カルテや電子処方箋の電子データを共通基盤のクラウドで管理し、各医療機関ならびに自治体や介護事業者などとも必要な情報が共有できる「全国医療情報プラットフォーム」が構築される予定となっており、医療文書の電子保存が急務となっています。
サイバートラストは、医療機関向けセキュリティコンサルティングやセキュリティ教育をはじめ、医療情報システムへのアクセス権限の堅牢化、非常時に対応可能なシステムのバックアップ、医療文書の電子保存や電子帳簿保存法対応などを支援するための医療 DX ソリューションの構成要素として、以下の各種サービスを提供しています。
サイバートラスト 医療 DX ソリューション
医療機関向けセキュリティコンサルティング
サイバートラストが長年の電子認証局の運用で培ってきた、最高水準の情報セキュリティコンサルティングサービスの医療業界向けにご提供するセキュリティコンサルティングサービスです。医療機関が医療情報システムの安全管理に関するガイドラインに適合するための、セキュリティリスク対策を視覚化するためのセキュリティ評価をはじめ、医療情報システムの安全管理に関するガイドラインへの準拠性の調査、ポリシー(規程類)策定支援、バックアップポリシー策定支援、BCP(事業継続計画)策定支援、従業員の知識とモラル向上を図るセキュリティ教育などを実施します。
医療情報システムへのアクセス権限の堅牢化
サイバートラスト デバイス ID は、管理者が指定した端末にのみデバイス証明書を登録し、かつ一度登録されたデバイス証明書の複製や取り出しができない仕組みを Windows、macOS、iOS などで実現したデバイス証明書発行管理サービスです。電子証明書を活用した端末認証によって安全な接続先ネットワークを制御し、医療機関の指定端末のみにアクセス可能にすることで不正な機器の接続を防止します。また、VPN 接続、無線 LAN 認証、クラウドサービス接続時に端末認証を行うことができ、指定した端末のみがアクセス可能となります。
非常時に対応可能なシステムのバックアップ
MIRACLE System Savior(ミラクル・システムセイバー) は、サーバーベンダーとの連携を強みとして、企業向けシステムバックアップの要件に基づいて開発されました。最新のサーバーやマルチ OS、仮想化ソフトウェア、およびクラスタソフトウェアへの対応、24 時間サポート、7 年間長期サポートを提供しています。2010 年 3 月の発売以来、災害対策への意識の高まりにより導入拡大が進み、製造、流通、通信、医療などさまざまな業種で利用されています。
医療文書の電子保存および電子帳簿保存法対応
「iTrust 電子署名用証明書 」は、国際的な電子認証局の監査規格である WebTrust for CA 監査 ※3 に合格し、Adobe 社の認定するルート証明書リスト(AATL ※4)に対応しているため、Adobe Acrobat や Acrobat Reader などで「有効な電子署名」として信頼性を視覚的に確認可能になります。 また、「iTrust リモート署名サービス 」は、書面の電子化で求められる長期間に渡る真正性を確保するための長期署名規格(PAdES ※5)に対応した電子署名・タイムスタンプ機能を提供するクラウドサービスです。
「iTrust 電子署名用証明書」を発行する認証局と「iTrust リモート署名サービス」は、JIPDEC ※6 の厳格な基準に基づく審査により、国内で初めて「JIPDEC トラステッド・サービス登録 ※7(認証局)」と「JIPDEC トラステッド・サービス登録(リモート署名 / 電子契約)」を取得しており、電子文書が発行元の組織から発行されたことの証明と真正性の確保を可能にします。
サイバートラストは、長年の運用実績のある電子認証サービス、長期間サポートが可能なシステムイメージバックアップ、電子文書の安全・安心な長期保存を可能にする技術力を活かし、医療機関が求める対策など、さまざまなニーズに対応できるように今後も支援していきます。
- ※1
- ゼロトラストとは、施設内外のネットワークを区別せず、信頼しないことを前提として、すべての接続者、接続端末に対してアクセス認証を行い、毎回セキュリティレベルに達しているのかを検査することでセキュリティを担保することで、2010 年に Forrester Research 社の John Kindervag 氏により提唱されたセキュリティ概念モデルです。
- ※2
- VPN(Virtual Private Network)とは、暗号化技術を使い、仮想的に拠点間のプライベートなネットワークを構成する接続方法で、盗聴される危険性が極めて低くなり、安全に拠点間の通信ができる。また、通信回線と一体的に提供される VPN であれば、インターネットを経由しないため、高速な通信を期待できる。
- ※3
- WebTrust for CA 監査とは:米国公認会計士協会(AICPA)とカナダ勅許会計士協会(CICA)が定めた、電子認証局の証明書発行審査基準および運用基準などを定めた国際規格。
- ※4
- AATL とは:「Adobe Approved Trust List」として、Adobe 社が求める要件をクリアした電子認証局のリスト。AATL に登録された電子認証局から発行される PDF 文書署名用電子証明書により、法人(組織)名、住所、署名者の肩書(または所属部署)、署名者の氏名について PDF 上で簡単に電子署名の有効性を検証でき、 署名者本人が押印したものであることの確認が可能です。
- ※5
- PAdES とは:電子署名とタイムスタンプを組み合わせた長期署名規格(PDF Advanced Electronic Signatures)で、長期署名に関する国際規格のひとつ。PDF ファイルの中に電子証明書や失効情報などの検証用情報を組み込むため可搬性に優れ、電子署名の有効性について十年超の長期間にわたって証明可能にしています。
- ※6
- JIPDEC とは:一般財団法人日本情報経済社会推進協会(JIPDEC) 。プライバシーマーク制度の認定や ISMS(情報セキュリティマネジメントシステム)適合性評価制度の制定、電子署名・認証制度の運用を行う機関。
- ※7
- JIPDEC トラステッド・サービスとは:インターネット上のサービスを第三者機関である JIPDEC が安全なサービスであることを確認し、信頼性(トラスト)を担保する仕組み。
関連 Web サイト
サイバートラスト株式会社について
サイバートラストは、日本初の商用電子認証局として 20 年以上にわたり提供している認証・セキュリティサービスと、ミラクル・リナックスのカーネル技術やオープンソースソフトウェア(OSS)の知見を応用したオンプレミス、クラウド、組込み領域向けの Linux/OSS サービスを展開しています。また、これらの技術や実績を組み合わせ、IoT をはじめとする先端分野に向けて、「ヒト・モノ・コト」の正しさを証明し、お客様のサービスの信頼性を支えるサービスを推進しています。
「すべてのヒト、モノ、コトに信頼を」。サイバートラストは、安心・安全なデジタル社会を実現します。
当リリースに関するお問い合わせ先
サイバートラスト株式会社
広報担当:椎名・野口
メール:press@cybertrust.co.jp
* 本プレスリリースに記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。