【理論と実践】医療機関の閉域ネットワーク神話は正しいですか?

~病院職員が、安心して、仕事の生産性高く、充実して働ける未来の一助へ~

ご友人等へのメルマガ紹介はこちらから。
https://www.mag2.com/m/0001682907
ーーーーーーーーーーーーーーーーーーー
令和5年2月26日 病院経営の理論と実践 1750号

■医療機関の閉域ネットワーク神話は正しいですか?

中神勇輝(なかがみゆうき)
ーーーーーーーーーーーーーーーーーーー

おはようございます。中神です。

〜最近のブログのテーマ〜

・平日は、中小企業診断士関係
・土日は、医療・介護経営関係

今日は、日曜日ですので、医療・介護経営関係です。

〜今日のテーマ〜

サイバーセキュリティー対策の強化について、です。

病院羅針盤 2023.2.15の学びのシェアです。

日々、注意すべきこと、管理者として考えるべき・整備すべき点がよく分かりました。

【セキュリティー対策例】

★パスワードを複雑なものに変更し、使い回しをしない。
★不要なアカウントを削除し、アクセス権限を確認する。
★多様素認証を利用し、本人認証を強化する。
★IoT機器を含む情報資産の購入状況を把握する。
・VPN装置を含むインターネットとの接続を制御するゲートウェイ装置の脆弱性は、
攻撃に悪用される可能性がある。セキュリティパッチを迅速に適用する。
★メールの添付ファイルを開かない、URLを不用意にクリックしないこと。
★不審メールは、連絡・相談を迅速に行い組織に周知する。

個人レベルで注意すべき点がいっぱい書いてありましたね。
普段でも、仕事でも、大事なポイントです。
セキュリティー管理者の視点では、これをいかに組織に浸透させていくのか、という視点を持つ必要がありますね。

【インシデント対応】

・各種ログの確認
・通信の監視・分析、アクセスコントロール
・サイバー攻撃に対する事業継続計画(BCP)の策定
・データのバックアップの実施・復旧手順

この辺までくると、普段、情報システム部門にいないと、よく分からない部分です。
情報システム部門に「どの辺まで対応していますか?」
といったようにアンテナを高くすべき点でしょう。

事業継続計画(BCP)は、災害、感染症に加え、いろいろ考える必要がある、と改めて思います。
組織的な課題ですね。

【具体的な対応策】

■ランサムウェア攻撃への対策

・組織のネットワークへの侵入対策
・インシデント対応体制の構築
・データ・システムのバックアップ
・情報窃取とリークへの対策

インシデント対応と、ランサムウェア攻撃の対応、やはり同様の対策ですね。
基本は、侵入対策(侵入の兆しを早期にチェックして対応)と、バックアップです。

【座談会を通して】

■恵寿総合病院の事例

・患者・利用者の共通ID化
・グループ内の施設データは、データセンターで管理
・データセンターと外部につながるインターネットの間にDMZを設置
・データセンターとDMZの間にファイアウォールで不正アクセスを防止

という手法が紹介されていました。
対策の具体例として参考になりますね。
その他、ひたちなか総合病院、SOMPOリスクマネジメント株式会社のトピックも紹介されています。

■なぜ、病院がサイバー攻撃を受けるのか

1)利益性が高い
・医療・患者情報は高額で売れる。
・身代金の支払い率が他業界と比べて高い。61%(業界平均+15%)。

2)攻撃しやすい
・外部から侵入されやすい(閉域ネットワーク神話)
医療機器のリモートメンテナンスやオンライン資格確認で、実は閉域でない。
・システムのアップデートが不十分なまま使用することが、脆弱性を生む。

電子カルテは、閉域ネットワークだから安心、ではない、ということですね。
医療機器のリモート管理、オンライン資格確認、電子処方箋の導入など、
外部ネットワークとのつながりが増えています。

しかし、国が外部とのつながり推進する割に、セキュリティー対策への予算が少ない、という現実もあります。
各医療機関任せのままでは、今後も続くであろうリスク・課題と感じますね。

■VPNの脆弱性

どこの部署の医療機器が外部ネットワークと繋がっているか、まず把握することが大事、とのことです。
VPN機器の脆弱性が残らないよう、医療機器の製造元からプログラム更新は欠かさず実施することが重要です。
とはいえ、完璧に防御することは難しいです。
よって、データのバックアップ、バックアップデータの活用・復旧までの手順を明確にしておくことが大事です。
バックアップサーバー自体も暗号化されることがあるので、外部施設でのバックアップも必要です。

■セキュリティー対策・コストと基本的な対策の実施

情報部門のBCPの策定の必要性についても書かれています。
まずは、自院の情報システムの状況を把握するところから始めること、
定期的なセキュリティー診断(少なくとも年1回)の実施と強化などが求められます。

どの程度の予算をかけるのか、20から99床の病院であれば、810万円程度です。
サイバー犯罪者は、コストパフォーマンスで動きます。
侵入を試みて難しそうなら中断しますので、完璧でなくても、「手強そうだ」と思わせる対応が求められます。

サイバー攻撃の流れを確認しますと、

・侵入
・攻撃できる端末の探索
・マルウェアを置く場所の探索
・電子カルテの暗号化

です。

最終段階(電子カルテの暗号化)に至る前に発見することが重要です。
まずは、基本的な対応をしましょう。

例えば、安全性の高いパスワードの設定、2段階認証など。
そして、ログイン失敗の痕跡が続けば、総当たり攻撃をかけられていると疑って調査すること。
VPNのプログラム更新は小まめに行いましょう。

セキュリティーにコストをかけない、でなく、適切なコストをかけていく、
セキュリティー対策に対する意識改革・教育が必要、と感じますね。

以上です。では、また明日(^-^)v

(当該内容は、私の所属する組織とは一切関係はなく、全ての文責は私個人に属します。)

テーマについて、ご要望あれば、コメントをどうぞ。

◇病院経営の見える化について公開講座(動画)の講師をする機会を頂きました。感謝(^_^)

◇過去の内容、記事はこちらから是非(^-^)
◇試験勉強や本の学びをアウトプットしているYouTubeチャンネルは、こちらです(^-^)

この記事を書いたのは、こんな人。
ーーーーーーーーーーーーーーー
地方の中小病院に勤務する医事課畑出身の企画部門所属にする医療経営士2級。
名は、中神勇輝。2023年、医療経営士1級を受験予定。
(可能なら中小企業診断士も受験する予定。)
趣味は、ドラムと家庭菜園と筋トレ(HIIT最高!)と読書。

DX・ICT・WEB,医療・介護経営,書籍紹介・学習,病院羅針盤

Posted by nakagami yuuki