医療情報システムの安全管理に関するガイドライン対策は大丈夫?システム運用担当者が気をつけるべきチェックリストの内容を解説



デジタル化の進展は医療を進化させる一方で、新たな脅威になっています。事実、サイバー攻撃の被害を受け、医療業務に支障が生じている医療機関も少なくありません。セキュリティ対策には「これだけやればOK」というものはなく、ガイドラインに沿って継続的に取り組まなければなりません。
そこで今回は厚生労働省から2023年5月に発表された「医療情報システムの安全管理に関するガイドライン」第6.0版(※)の改訂ポイントについて解説し、まず何から取り組めばよいのか、基本的な対策をご紹介します。


※出典:厚生労働省|医療情報システムの安全管理に関するガイドライン第6.0版(外部リンク)





セキュリティ対策に待ったなし!増え続ける医療機関のランサムウェア被害




デジタル化が進むにつれて企業や組織ではセキュリティ強化に取り組んでいます。しかしサイバー攻撃はさらに多様化・巧妙化しているのが実情です。

病院や医療機関は、患者の個人情報や医療情報といった価値の高いデータを多く保有するため、標的となりやすいとされています。特に攻撃者が病院や企業の内部に侵入し、保有するデータを暗号化して高額な身代金を要求する「ランサムウェア」は、近年では代表的な手法になりました。病院や医療機関でもランサムウェアによる被害を受け、診断業務等に大きな影響が生じています。


2023年3月に警視庁が発表した「サイバー事案の被害の潜在化防止に向けた検討会報告書2023(※)」によると、医療・福祉分野におけるランサムウェア被害件数は年々増加しています。
被害の具体例として、放射線検査機器に接続されているPCが感染し、診断業務に一部制限が発生したり、電子カルテを含む医療情報システムが暗号化され、システムを全面停止した例があります。海外では、救命措置を受けるはずだった病院がランサムウェア感染によりシステム停止となり受け入れることができず、離れた病院に搬送され救命が間に合わず死亡したインシデントも発生しています。人命に関わることを起こさないためにも、医療機関にとってランサムウェアの対策は今や必須と言えるでしょう。

こうした状況をふまえ、厚生労働省では2023年5月に「医療情報システムの安全管理に関するガイドライン」の第6.0版を公表しました。また医療機関・薬局が優先的に取り組むべき事項をまとめた「医療機関におけるサイバーセキュリティ対策チェックリスト(※)」を公開しています。このチェックリストにはマニュアルがついており、マニュアルを見ながら医療機関・薬局がセキュリティ対策を強化できるようになっています。このチェックリストについては、令和5年度、令和6年度それぞれの期間内に対応が求められる項目がリスト化されています。

医療情報システムは医療行為を行う上で重要な役割を果たしています。適切に対応しインシデントを未然に防ぐ取り組みは、まさに待ったなしの状況です。


※出典:警視庁|サイバー事案の被害の潜在化防止に向けた検討会報告書 2023(PDF)
※出典:厚生労働省|医療機関におけるサイバーセキュリティ対策チェックリスト(PDF)
※出典:厚生労働省|医療機関におけるサイバーセキュリティ対策チェックリストマニュアル〜医療機関・事業者向け〜(PDF)




「医療情報システムの安全管理に関するガイドライン改訂4つのポイント」をわかりやすく解説


医療情報システムの安全管理に関するガイドラインの第6.0版は、医療情報システムの安全管理の実効性を高める観点から、全体構成の大幅な見直しを行っています。どのような改訂がなされているのか、4つのポイントを解説しましょう。


責任分界点の考え方
クラウドサービスを利用している場合は、特徴を踏まえてリスクや対策の考え方を整理し、セキュリティについてどこまでがクラウドサービス事業者の責任かを明確にしておく必要があります。
責任分界点は、どこまで外部委託しているかで異なります。医療情報システムの運用管理を全てクラウドサービス事業者に委託する場合もあれば、独自の医療情報システムを構築しているため、システムの運用管理は医療機関が行い、インフラ部分をクラウドサービス事業者に委託する場合もあります。安全性を確保する対応の役割分担について、認識の違いがないように書面で明確化し、適切に管理することが求められます。

ゼロトラストのネットワーク型思考
ゼロトラストは「全てを疑う」というセキュリティの新しい考え方です。ごく簡単に言うと、「院内からのアクセスは正常だからチェックしない」という考えから「全てのアクセスを疑ってチェックする」という考えに変え、より安全な環境を作っていこうとするものです。このようなゼロトラスト思考を取り入れることで、個々の外部からの侵入に適切に対応することが可能です。

災害、サイバー攻撃、システム障害等が起こった際の対策
災害が発生した時、サイバー攻撃を受けた時、システム障害が発生した時、といった場面ごとに対策が異なります。
例えばバックアップで考えてみましょう。
災害の対策(例):特定の地域でデータが損失してもリカバリーできるように、地域を分散してバックアップを保存する
サイバー攻撃の対策(例):攻撃者に暗号化されてもデータを元の状態に戻せるように、書き換え不可のバックアップを複数持つ
システム障害の対策(例):すぐに復旧できる体制とマニュアルを整備して、長期停止を防ぐ
またクラウドサービスを利用している場合は、上記の対策をクラウドサービス事業者が行っていることも想定できます。現状どのような対策がなされているのか、ユーザー側として何をするべきか、共通した認識を持っておく必要があります。

本人確認
攻撃者が侵入した際にアカウント情報を盗み出し、管理者になりすましてシステムにアクセスするインシデントも発生しています。医療情報システムはセンシティブな情報を扱います。そのため身元認証が厳格な認証方法(eKYC)を採用すると、なりすましが防止でき、よりセキュリティが強化できます。例えば利用者にマイナンバーカードをカードリーダーで読み込んでもらい、外部認証機関に問い合わせをして身元を確認してからアクセスを許可する仕組みが考えられます。

なお、医療情報システムの安全管理に関するガイドラインでは「専任担当者がいるか」「医療情報システムがクラウドサービスか」に応じて参照パターンを「Ⅰ~Ⅳ」の4つに分類しています。第6.0版からガイドラインが「経営管理編」「企画管理編」「システム運用編」に分冊されました。参照パターン別にどの冊子のどの部分を参照すればよいかがわかるようになっています。


※出典:厚生労働省|医療情報システムの安全管理に関するガイドライン第6.0版(外部リンク)



「医療機関におけるサイバーセキュリティ対策チェックリスト」が新たに公開。システム運用担当者が気をつけるべきポイントは?


ガイドラインで対応が必要とされている項目の数は膨大です。そのためまず取り組むべきことをまとめた「医療機関におけるサイバーセキュリティ対策チェックリスト(※)」が新たに公開されました。
チェックリストには、医療機関確認用と事業者確認用が用意されています。さらに令和5年度中に対応が必要な項目と令和6年度中に対応が必要な項目に分かれています。


令和5年度中に対応するべきもの
サーバ、端末 PC、ネットワーク機器の台帳管理、接続元制限の実施 など

令和6年度中に対応するべきもの
利用者の職種・担当業務別の情報区分毎のアクセス利用権限、インシデント発生時の復旧手順の確認 など

なお、医療機関におけるサイバーセキュリティ対策チェックリストは医療法に基づく立入検査で使用されます。1回目はチェックリストの項目についてもれなく確認したこと、2回目は全ての項目について対応されていること、がチェックされます。特に令和5年度中に対応するべき項目については、日が迫っていることに注意しましょう。


※出典:厚生労働省|医療機関におけるサイバーセキュリティ対策チェックリスト(PDF)



セキュリティ対策の最初の難関!端末・ネットワークの現状把握




医療情報システムの安全管理に関するガイドライン 第6.0版に取り組むためにまずやるべきことが「現状把握」です。医療機関におけるサイバーセキュリティ対策チェックリストでも令和5年度中に対応するべき項目の中で上位にリストアップされています。「2 医療情報システム管理・運用」の「(1)サーバ、端末PC、ネットワーク機器の台帳管理を行っている」が現状把握に該当します。

セキュリティ対策を検討する上で、ネットワーク環境が可視化されていないと、適切な対策を判断することができません。ネットワークに接続されている端末を全て洗い出し、台帳、ネットワーク構成図、システム構成図を作成して、常に最新に保つ必要があります。
さらにサイバー攻撃を受けた時に影響範囲を特定するためには、ネットワーク構成、端末の接続状況を最新の状態で管理しておかなければなりません。また現在の構成でどのようなセキュリティ脅威が想定されるかについても整理が必要です。


とはいうものの、ネットワークが複雑化する中で全ての機器を洗い出し、許可なく接続された機器や脆弱なOSの端末を常に監視するのは簡単ではありません。ネットワークについてはベンダー任せになっていたり、部門ごとにネットワークを構築したベンダーが異なり、導入した機器が把握しきれないケースもあります。長い歴史の中で継ぎ足されたシステムになっていて全容が把握できないケースもあるでしょう。

そのような中で現状を把握するには、自動化ツールが不可欠です。運用の負荷をかけることなく、ネットワークに接続された端末を漏れなく常に最新の状態で把握することができます。



医療機関のネットワークと機器の現状把握からセキュリティ対策まで行える「自動化ツール」とは?



iNetSec FCは医療情報システムの安全管理に関するガイドラインに基づく取り組みの第一歩として手軽に導入でき、大きな効果がある機器とネットワーク構成を自動で見える化できるツールです。装置を接続するだけでPCやタブレット、複合機、IoT機器まで、ネットワークに接続している全てのIT機器の情報を自動で収集しリスト化するため、台帳作成に手間がかかりません。機器種別やOS種別も自動で判定し、一覧で参照できるようになっています。

またLLDP機能に対応したインテリジェントスイッチが接続されていれば、ネットワーク全体の構成を誰でも簡単に把握することができます。どのデバイスがどのようにネットワークに接続されているかリアルタイムで確認できるため、例えばマルウェアに感染した機器の設置場所を特定して速やかにネットワークから切り離し、影響範囲を確認することができるようになります。

さらにiNetSec SFは不正接続防止ツールであるため、現状把握をした後のセキュリティ対策にも有効です。

医療情報システムの安全管理に関するガイドライン 第6.0版の「13.ネットワークに関する安全管理措置[Ⅰ、Ⅲ]」の遵守事項には「不正な機器が接続されない対策」があります。また、「8.利用機器・サービスに対する安全管理措置[Ⅰ~Ⅳ]」の遵守事項には「使用されていないIoT機器の対策や適切な利用者以外に無線LANの利用を防ぐ対策」があります。

iNetSec SFなら、管理されていない端末がネットワークに接続されるのを遮断する機能や使用されていない端末の検出機能が搭載されているため、これらの遵守事項に対応できます。

最近のスマートデバイスではMACアドレスをランダム化する機能が標準で搭載されています。ランダムMACアドレスの端末を遮断し、固定MACアドレスで接続するよう誘導させる機能があります。

こうした機能によって医療機関におけるサイバーセキュリティ対策チェックリストでは「2 医療情報システム管理・運用」の「(8)接続元制限を実施している」が対応されます。

サイバー攻撃は、脆弱な端末、管理されていない端末を利用してネットワークに侵入するケースが多くなっています。端末の台帳を最新に保ち、不審な端末を接続させないネットワーク環境にするために、iNetSec シリーズをぜひご活用ください。


※出典:医療情報システムの安全管理に関するガイドライン 第6.0版(外部リンク)
※出典:厚生労働省|医療機関におけるサイバーセキュリティ対策チェックリスト(PDF)




前の記事へ
次の記事へ