セキュリティ情報 SECURITY INFORMATION
ブログ
  • INFORMATION
  • 2023.07.12

医療機関システムのセキュリティリスクと対策すべきこと

医療機関では、近年電子カルテやオンライン診療サービスなどヘルステック分野の発展により、デジタルシステムを導入するところが増えています。しかしデジタル分野におけるセキュリティ対策の重要性を、本当の意味で実感できている医療機関は、一般企業と比べて多くありません。
この記事では、医療機関システムのセキュリティリスクについてご紹介します。脆弱性の種類や対策法について解説するため、ぜひ参考にしてください。

医療機関におけるセキュリティリスクとは

医療機関ではサイバー攻撃の対象になりやすい情報資産が豊富なため、セキュリティ対策を必ず実施して、マルウェア感染などの攻撃経路を排除しなければなりません。
医療機関では、以下のような情報資産を狙ったサイバー攻撃が報告されています。
・事務処理用PC
・電子カルテ
・医療機器
・職員用デバイス

医療機関における脆弱性とは

医療機関における脆弱性は、おおまかに以下の4つに分類できます。
・ヒューマンエラー
重要データを記録したデバイスの紛失など、人的ミスによって情報が漏えいする。
・内部不正
病院の職員が何らかの目的で業務とは無関係に内部データを持ち出す。
・システムの脆弱性(セキュリティホール)
医療機器などの脆弱性からマルウェアを感染させ、データを削除したりデバイスをロックしたりする一般的なサイバー攻撃。
・外部事業者のミス、不正
自社システムと提携しているクラウドサービスなどによるミスや不正により、データの搾取や端末の乗っ取りなどが発生する。
医療機関における近年の脆弱性は、ヒューマンエラーや内部不正などよりも、システムの脆弱性を狙ったサイバー攻撃が目立っています。

脆弱性はなぜ生じるのか

ヒューマンエラーと内部不正は、病院内の情報セキュリティポリシーが不徹底なために発生しやすい脆弱性です。
システムの脆弱性は、医療機器や電子カルテなどで発生するため、事業者側で完全に防ぐことはできません。そのため、脆弱性をなくすための定期的なセキュリティ対策が必要です。
外部事業者のミス・不正については、実績や信頼性に乏しい外部業者を選ぶことで、脆弱性が増大します。
また業界全体の特徴として、サイバー攻撃の脅威や情報セキュリティの重要性が浸透しきれていない点も原因のひとつです。特にセキュリティ意識が低い企業では、セキュリティに関する事項を外注先に丸投げする傾向があります。

脆弱性によるリスクはどのようなものがあるか

脆弱性によるリスクは、具体的にどのようなものがあるのでしょうか。ここでは日々進化する医療機関での脆弱性リスクについてご紹介します。

脆弱性による具体的なリスク① メールによるマルウェア感染

メールに添付されたファイルをクリックすることで、マルウェアに感染する事例が多数報告されています。たとえば2019年5月には、多摩北部医療センターでメールからのマルウェア感染が発覚し、職員の受信端末が不正アクセスされました。

脆弱性による具体的なリスク② Webサーバの乗っ取り

医療機関が一般ユーザーに公開しているWebサーバーの脆弱性を利用して、一緒にアクセスしているユーザーに攻撃を加えたり、サーバの操作特権を搾取したりする事例が報告されています。

脆弱性による具体的なリスク③ リモートメンテナンス用機器からのデータ漏えい

電子カルテシステムなどの基幹系システムは、患者の病歴などの重要データを管理するため、基本的に社内システムだけで稼働するように設計されています。しかし継続的な治療が困難になったときなどに備え、定期的なメンテナンスが必要なことから、月に1度はリモートメンテナンス用機器と外部接続しなければなりません。
そのためリモートメンテナンス用機器の脆弱性から、システム内部に侵入され、重要データが漏えいする事例が多数報告されています。

脆弱性による具体的なリスク④ システムの動作不具合

セキュリティの情報共有体制が確立されておらず、医療機器が正常に稼働しなくなった事例もあります。
ある医療機関ではマルウェア感染が確認されていたにも関わらず、組織内での情報共有が十分でなく、CTのスキャン画像を保存できないなどの不具合が発生しました。データ漏えいなどは起こりませんでしたが、重大なリスクに発展する可能性があった事例です。

脆弱性による具体的なリスク⑤ 外部事業者へのサイバー攻撃による二次被害

医療用基幹システムを提供しているベンダーがサイバー攻撃を受け、同製品を導入している医療機関に二次被害が発生するケースもあります。2018年には、電子カルテシステムの提供事業者が不正アクセスを受け、導入先の医療機関がシステム停止に追い込まれました。

脆弱性への対策

医療機関におけるセキュリティリスクは、どのように防止すればよいのでしょうか。脆弱性リスクの対策法についてご紹介します。

脆弱性への対策例① ウイルス対策ソフトの導入と更新アップデートの適用

ウイルス対策ソフトウェアは、マルウェアの感染被害を最小限に抑えられるツールです。1つだけでもセキュリティレベルが大幅に向上するため、診療系・非診療系に関わらず全てのネットワークに導入しましょう。ウイルス対策ソフトウェアの導入に制限がある外部サービスは、医療システムとして脆弱性リスクが高いため避けた方が無難です。
また、更新アップデートは、既知の脆弱性に対応できるプログラムが含まれています。そのため、医療機器や基幹系システムなどのベンダーから更新アップデートの通知がきたら、すぐに適用することをおすすめします。サイバー攻撃のリスクは、脆弱性の放置で増大するため注意が必要です。

脆弱性への対策例② 社内の情報セキュリティ体制を充実させる

普段から医療機関を狙うマルウェアの種類や攻撃手法などを社内に周知させ、情報セキュリティ体制を充実させることが重要です。マルウェア感染などの被害にあった後の対応方法も社内でルール化しておきます。 また、重要なデータを定期的にバックアップすることも有効な脆弱性対策です。バックアップデータを保管することで、端末ロックやファイル暗号化などの被害にあっても、すぐに最新の状態に復旧できます。 ただし、バックアップデータを通常データと同じネットワーク内で管理するのはおすすめしません。サイバー攻撃に遭った際にバックアップデータ自体を盗まれる可能性があるため、外部から隔離された場所をバックアップデータの保管場所にすることをおすすめします。

脆弱性への対策例③ 信頼できるシステムベンダーを選ぶ

電子カルテなどの医療システムサービスを導入する際は、信頼できるベンダーを選ぶことが重要です。 特に事業規模が小さく担当者の少ない医療機関は、組織内のセキュリティについてベンダーに依存せざるを得ないことも珍しくありません。契約書からベンダーが提供するセキュリティ要件や予算などを精査し、実務的にメリットがあるか慎重に検討することをおすすめします。

まとめ

医療機関のシステムは、病歴や既往歴などの重要データが豊富なため、さまざまなセキュリティリスクが存在します。電子カルテなどの基幹システムはもちろんのこと、事務処理用PC・医療機器・職員用デバイスなどへの脆弱性対策が重要です。最適なセキュリティ対策を実施して、組織内の情報資産を守りましょう。
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html
https://www.jmari.med.or.jp/wp-content/uploads/2022/03/WP465_appendix.pdf
https://www.mhlw.go.jp/content/10808000/000644753.pdf

お問合せ