サイバー攻撃のリスクが高まる中医療機関のセキュリティ対策は組織づくりと教育がカギ
「投資」という発想で取り組みを
美代 賢吾 氏(国立研究開発法人 国立国際医療研究センター 医療情報基盤センター長)
2020-5-14
近年,医療機関においてもサイバー攻撃のリスクが高まっており,情報漏えいや金銭の詐取などの被害が出ている。これを防ぐには医療従事者自身が当事者意識を持ち,医療機関がセキュリティ対策のための組織づくりと教育に取り組むことがカギを握る。これからの時代,医療機関には,セキュリティ対策は「コスト」ではなく「投資」である,という発想が必要だろう。
医療機関でも高まるサイバー攻撃のリスク
社会全般でサイバー攻撃が増加しており,医療機関も例外ではありません。ところが,医療従事者自身の認識が不足していると言わざるを得ないのが現実です。当センターも電子メールやホームページを使った攻撃をたびたび受けています。こうした攻撃に対する当事者意識が低いのが,多くの医療機関の現状だと思います。
医療機関への攻撃の例として,海外では2017年に英国の国民保険サービス(NHS:National Health Service)の複数の施設がランサムウエア攻撃を受けてシステムが停止し,身代金を要求される事態が発生しました。また,国内の研究機関では,2018年に国立大学など6大学がフィッシングメールの攻撃を受けて電子メールが不正操作され,職員のアカウントを乗っ取られる被害が出ています。産業技術総合研究所でも,2018年にサイバー攻撃での不正アクセスによって,研究情報や個人情報などが漏えいしました。
特に近年は,単なる愉快犯ではなく,情報や金銭の詐取を目的とした攻撃が増えてきています。手口も巧妙になってきており,マルウエアが仕込まれたことにも気づきにくくなっています。電子メールでの攻撃は,ばらまき型と標的型に大別でき,ばらまき型は不特定多数に大量に送信して,その中から何件か引っかかればよいといったもので,標的型は特定の組織や個人の情報をねらい事前にある程度の情報を収集した上で送ってきます。例えば,当センターには,他大学の研究者を装って「先生の研究に興味を持っている者です。論文を読んで大変感銘を受けました。その感想や疑問点をまとめた文書ファイルを添付したので,読んでください」といった内容の標的型メールが送信されてきます。医療機関や研究機関の場合,インターネット上で出身大学などの経歴や研究内容が公開されている場合もあり,容易に文面を作成して,関係者になりすますことができてしまうのです。
従来,システム管理者は,不審メールの注意喚起などの対応をしてきましたが,昨今は一見すると不審ではないものが増えています。単に「不審メールに注意しろ」と言っても効果は期待できず,具体的な内容を示すのが効果的です。
セキュリティ対策は組織づくりがカギ
サイバー攻撃のリスクが高まっている中,医療機関にもセキュリティ対策が求められます。特に重要なことは,情報部門に任せきりにするのではなく,病院長などの管理者をはじめ,組織の全員が当事者意識を持つことです。そのためには,組織づくりがカギを握ります。
国立国際医療研究センターの場合,セキュリティの最高責任者は理事長で,その下に病院長や事務局長が配置され,さらに私たち医療情報基盤センターの職員が実働部隊として活動しています。なぜセキュリティ対策組織のトップを理事長にしたのかというと,問題が発生した場合にネットワークを遮断しなければならない可能性があるためです。現代の医療機関において,ネットワークを遮断することは,大問題になりかねません。例えば,情報収集や電子メールができなくなったり,振り込みなど金融機関への手続きができなくなったり,診療部門,事務部門のいずれも被害が発生する恐れがあります。ですので,ネットワークの遮断という重大な判断をするためには,理事長をトップにした組織づくりが必要と考えました。さらに,理事長には,どのような攻撃が来ているのか具体的な内容を定期的にレクチャーしています。このレクチャーにより,サイバー攻撃のリスクと対策の重要性について理解を得ることができます。
サイバー攻撃は,被害が出ない限り,「今まで問題がなかったのだから,これからも大丈夫だろう」と考えがちです。また,セキュリティ対策は,収益を上げるものではないので,「なぜ対策が必要なのか」といった指摘を受けることもあります。このようなことから,具体的な攻撃例を示して,医療機関のトップにセキュリティ対策の必要性を理解してもらうことが大切です。
職員に当事者意識を持ってもらうための教育を
サイバー攻撃から情報を保護する技術的な対策として,セキュリティ機器の導入に加えて,スマートフォンなどを用いた多要素認証が挙げられます。フィッシングメールで職員の IDとパスワードを詐取された後,10分もしないうちに,そのIDとパスワードを使ってログインを試行された事例がありました。しかし,当センターでは多要素認証を採用しており,外部からの不正ログインは,未然に防いでいます。当センターの業務システムは,職員の利便性を損なわないように施設内で利用する際は一定の条件の下で多要素認証を簡略化して,施設外からアクセスする際はスマートフォンでの多要素認証を行うという運用にしています。さらに,クライアント証明書を用いて,システムにアクセスできる端末を限定するといった対策も講じています。
医療情報システムは近年,クラウド化が進んでいますが,クラウド環境ならば多要素認証またはクライアント認証は必須だと考えています。ブラックマーケットでIDとパスワードが大量に流通しており,私たちのところにも流出していると警告が来ます。また,医療機関や研究機関では,研究費で個別に購入したPCなどもあり,管理が不十分となる可能性もあります。だからこそ,職員に当事者意識を持ってもらうために,組織づくりに加えて,教育に取り組むことも大事です。当センターでは,攻撃を受けた際に具体的な内容を記載して注意喚起をしているほか,場合によっては各部門の管理者を集めて周知するようにしています。さらに,年2回以上講演会を開催して,攻撃の事例とその対策について説明を行っています。このような取り組みの効果もあり,最近では,大学の後輩という人物から電子メールが送信されてきたので,同窓会名簿を確認したら実在しない人物であった,といったように当事者意識を持って職員自らが対応できるようになってきました。
ほかにも,当センターでは,医療情報システムを運用していくためのセキュリティポリシーだけでなく,実際にシステムを利用する職員向けのマニュアルも作成しています。セキュリティポリシーは分厚い冊子になっていますが,それを職員に読み込んでもらうのは難しいため,A4判1枚に,「侵入を防ぐ」「個人情報を護る」「被害の拡大を防ぐ」の3つのポイントを整理したマニュアルを作成しています。
セキュリティ対策は「投資」という発想を
データベースなどをロックして身代金を要求したり,大量のデータを盗み取ったりするようなサイバー攻撃は,今後ますます増えていくでしょう。しかし,多くの医療機関では,セキュリティ対策が必要になるという視点が欠けており,十分な取り組みができていません。このような状況を踏まえると,施設の枠を超えて攻撃情報を共有できる仕組みを整備する必要があると考えています。
セキュリティ対策を担う情報部門は,これまであまり恵まれない部門だったと思います。攻撃側は大きな報酬を得られますが,防御側は失敗すると大きな損害を出し,攻撃を防いでも評価されませんでした。それだけに今後は,組織のトップが情報部門をサポートして動きやすい環境を整えるべきだと思います。その上で,職員教育を行い,医療機関全体で情報を保護していくことが求められています。
民間企業や日本年金機構では,情報流出によって数十億〜数百億円規模の処理費用が発生しました。このことを踏まえると,セキュリティ対策は「コスト」ではなく「投資」である,という発想がこれからの時代には必要でしょう。
(みよ けんご)
1998年に東京大学医学部附属病院中央医療情報部に助手として採用。その後,神戸大学医学部附属病院医療情報部副部長,東京大学医学部附属病院企画情報運営部部長を経て,2015年から国立国際医療研究センター医療情報基盤センター長。2008年にはドイツ連邦共和国,Peter L. Reichertz医療情報学研究所に留学し,欧州の医療情報の事情にも詳しい。一般財団法人医療情報システム開発センターにおいて,医療分野のプライバシーマーク審査委員会委員長を務める。専門は,医療情報学,特に医療安全やユーザビリティ向上のための電子カルテ機能の設計開発を中心に研究を行っている。博士(医学)。
- 【関連コンテンツ】