コロナ禍で迎える新局面、医療機関のサイバーセキュリティ対応

f:id:PentaSecurity:20211201104911p:plain

 

これまでの間、多岐にわたって規制対象とされていた遠隔診療ですが、新型コロナウイルスの感染拡大を発端として、時間的な制限などがあるものの初診における利用が現実のものになるなど、医療のデジタル化を進めるにあたっての状況がよくなっています。その一方で、デジタル化のスピーディな発展には、サイバー攻撃などのセキュリティリスクと背中合わせになるため、様子を見極めつつ欠かすことのできない対策をアクションに移す必要があります。

 

デジタルで進化した医療、しかし脅威も拡大

医療分野においてデジタル技術が大きな進化を遂げるとともに病院間における患者データ共有・電子カルテお薬手帳が世の中に定着することによって、患者側もそうした状況を受け入れつつあります。医師のデスクにパソコンが設置され、患者の病歴や服薬歴を確かめながら問診するといった光景も、今となっては当たり前となりました。

 

一方でこういった通院履歴や病歴といった情報は、患者側からみて医師以外には知られたくありません。個人情報保護法金融庁ガイドラインにおいては、病歴や診療結果に関連する情報を「機微(センシティブ)情報」と呼ばれており、サイバー犯罪者側からみても極めて価値の高い情報となっているため、細心の注意を払った対応が要求されています。

 

医療情報と個人情報との3つの相違点

サイバー攻撃に対して、隠されるべきものが表に出た状態にされて困るのは、個人情報も企業の知的財産も同じです。しかし、医療情報は個人情報や知的財産とは明らかに相違する3つのポイントがあります。

 

1. 生命に関わる
サイバー攻撃は企業や個人に悪い影響を及ぼしますが、それによって命を落とすことは滅多に見られないケースとなります。しかし医療においては一例を挙げると、バイタルサインの数字をひと桁改ざんされただけで人命にかかわることもありえます。

 

2. 閉鎖性

医療に関連する情報を共有することは、院内もしくは系列内の仮想プライベートネットワークを使用したり、独自のネットワーク回線を用意する場合があるため、その手順も固有の性質が高くなることによって、一般的セキュリティ対策を導入するうえで障壁になることがあります。

 

3. 病院独特のIT環境

医療機関におけるITは工場におけるITと同様に稼働率の状態をそのまま保ちつづけることが重要視されるため、脆弱性のパッチ適用が可及的速やかに行われない場合があります。また大学における教授や研究者が強く発言することのできる権利と同様に、病院においても先生である医師が発言することのできる権利が強いため、同一機種の端末の使用強制といったITガバナンスを効かせられないといった課題があります。

 

コロナ禍で増加する医療機関へのサイバー攻撃事例

医療業界を狙ったサイバー攻撃においてどういった事例が発生しているのか、独立行政法人情報処理推進機構(IPA)から発表された「医療機器における情報セキュリティに関する調査」において以下のような事例が報告されています。

  • 高リスク妊娠女性向け胎児モニタ装置がマルウェアに感染したことによって、装置の反応が遅くなった
  • 大学附属病院においてウイルス感染が広がったことによって、診療業務への影響が発生した
  • 脆弱性のあるペースメーカーであるICD(Implantable Cardioverter Defibrillator)がハッキングされたことによって、電流や機器を停止できるという研究結果が発表された
  • 糖尿病患者のインスリンポンプに侵入することによって、『致死的な攻撃』を仕掛けられることが発表された
  • 大学において外部からネット経由でアクセス可能な医療機器が発見された
  • 医療機器に導入されていたセキュリティソフトに脆弱性があることが発覚した

 

日本医師会総合政策研究機構から発表された「医療機関におけるサイバーセキュリティ実態調査:パイロット調査」の結果によると、「職員、あるいは患者・受診者の情報が漏洩した」という事例は直近3年間においてはありませんでしたが、「なりすましメールの受信」は53.1%、「従業員による不正サイトへのアクセス」は7.8%、「院内端末のウイルス感染」は6.3%といった、重大な災害や事故には至らないが直結してもおかしくない一歩手前の事例が報告されています。

 

日本における医療機関のIT化とそれに伴うセキュリティリスク

医療業界の性質上、攻撃者は様々な脆弱性を悪い目的に利用する可能性があります。最近のサイバー攻撃は、主にランサムウェア攻撃、リモートコード実行、またはDDoS(分散型サービス拒否)で構成されており、これらはすべて金銭的な動機によるものです。

 

保護されていない個人データと健康データ

医療業界は電子健康記録(EHR)を採用して以来、サイバー犯罪者にとって長い間魅力的なターゲットでした。良い面としては、EHRは患者が病院を切り替えることをシームレスにすることによって、医師がより多くの患者を正確に管理できるようになったため、誤診や処方ミスの数を大幅に減らすことができました。ただしマイナス面として、保護されていないEHRは最も機密性の高いデータの一部を危険にさらす可能性があります。

 

さらに新型コロナウイルスの感染拡大によって、オンラインで提供されるヘルスケアサービスが増加しているため、EHRに感染するリスクが高まっています。例えば、定期的に健康診断が必要である患者は、病院に行かなくても直接検査センターに紹介される前に、オンラインで医師との遠隔相談を受けるようになりました。業界におけるこれらの急速な変化により、病院がデータ保護対策を維持することが非常に困難になり、データベース構成エラーや保護されていないEHRが発生することがあります。

 

洗練されたコミュニケーションチャネル

医療機関は追跡することが非常にむずかしい可能性のある、様々なサードパーティを含む高度な通信チャネルに関与しています。典型的な病院においては、訪問する医師、薬局、健康診断センター、保険会社、医療機器のメンテナンスプロバイダー、およびその他のあらゆる種類の請負業者にネットワークを開放しています。このように高度に絡み合った通信ネットワークは、医療機関サードパーティの侵害やサプライチェーン攻撃に対して非常に脆弱であることを意味します。また、フィッシング攻撃の可能性に対する防御について、これらすべてのサードパーティを教育および通知することも困難です。

 

ネットワーク分離の欠如

病院のネットワークは企業のネットワークと同じくらい複雑です。それでもほとんどの病院においてネットワークがバーチャルLANで分離されていないため、攻撃者はネットワークの広い領域に短時間でアクセスすることが非常に簡単になることによって、病院はランサムウェア感染に対して特に脆弱になります。病院は多数のサードパーティにさらされているため、医療データのセキュリティにはネットワークを分離したり、利用範囲に応じて管理者に合うアクセス権限を設定するなどの措置をすることが重要です。

 

さらなる堅牢なセキュリティ確保が急務

世界は新型コロナウイルスという処理のむずかしい困難な局面を迎えました。ウィズコロナ・アフターコロナの世界では患者数が増えるだけでなく、リモート診療・オンライン診療が増加するため「接触確認アプリ」のようなデータ提供のあり方の再検討など、様々な変化が発生します。ウィズコロナ・アフターコロナの時代であるからこそ、医療分野はさらに堅固であり容易に守りを突破されないセキュリティ確保が急務となります。

 

医療業界はターニングポイントを迎えており、いつの時代においても変化というものは犯罪者にとってもちょうど良い機会でもあります。コロナ禍に便乗する犯罪や医療情報へのサイバー攻撃、あるいは「金の卵を産む鶏」である製薬・バイオ企業が、これまで以上にサイバー攻撃の標的となること可能性は高くなります。利用者の意識向上や人材育成といったセキュリティ対策だけではなく、インシデント発生時の初期対応や経済的な補償についてもおろそかにせず準備を進めておくべきです。

 

小さなステップから対策を始めましょう

医療機関は長きにわたってサイバーセキュリティを優先リストから外してきました。米国のHIPAA法における、個人情報等の保護に関する規定のようなプライバシー規制は健康データの適切な保護を要求していますが、今日の高度な攻撃から完全に保護されている病院はほとんどありません。もちろん、財源が限られている業界にとって、最新のサイバーセキュリティ対策を完全に展開することは非現実的が、小さなステップから始めるには遅すぎることはありません。

 

どれほど複雑なシステムとしても、Webを経由するシステムとなったら、ひとまず、外部からの不審な動きを検知・遮断できるWAFを採用することが推奨されます。また、医療分野においではX線画像などの非構造化データや患者の機微情報が比較的多いということで、データ自体を暗号化する方法もあります。万が一データが盗まれてしまっても、データ自体が暗号化されているため、機密情報が漏れる可能性はデータの暗号化は情報漏えい対策の基本中の基本と言っても過言ではないでしょう。

 

WAPPLES:インテリジェント型WAF


D'Amo:データ暗号化ソリューション