お知らせ
【識者の眼】「ランサムウェア以外のサイバーリスクへの備え」江原悠介
2021年以降、国内の医療セキュリティ分野では、つるぎ町立半田病院の事例を境にして、様々なランサムウェア感染被害の報告が世間を賑わせている。ランサムウェアによる医療情報システムの利用不可の事態は、診療業務の継続性に著しい支障を与えるものであり、その意味でも、世間的な注目度も高くなることは必然である。2023年4月の医療法施行規則の改正に伴う医療機関のサイバーセキュリティ要求も、原則的にランサムウェアによる診療継続性の侵害にどのように備えるかという観点が主軸になっている。
一方で、サイバー攻撃の巧妙化・高度化は、国内の医療機関に対してランサムウェア以外にも様々な攻撃被害をまねき寄せている。たとえば、メール添付型のマルウェア攻撃、サポート詐欺による情報窃取、ウェブサイトの改ざん被害等が挙げられる。こうした被害はランサムウェア以前にも他産業と同様に多発していたものの、医療機関に一義的に求められる責任/役割─つまり診療の継続性─を侵害したものではなかったため、二次的なものととらえられていた。
しかしながら、患者情報の自己管理権の向上やアクセサビリティの高度化等に伴い、こうした事案も医療機関に多大な影響を及ぼす不安因子として大きくフォーカスされはじめている。実際に、(一社)医療ISACにもこのような事案の問い合わせが多く発生している状況である。
こうした状況を受け医療ISACでは、医療機関から寄せられる、ランサムウェア以外のサイバー攻撃についての問い合わせ内容を傾向分析し、情報窃取型の攻撃やウェブ改ざんに対応する上で重要な着眼点を整理し、「医療機関向けサイバー攻撃(情報窃取/ウェブ改ざん攻撃)対応検討の手引き」(以下、「手引き」)を公開した。
この「手引き」は、2021年11月にデジタル・フォレンジック研究会と共同公開した「医療機関向けランサムウェア対応検討ガイダンス」をベースに、国内の医療機関が情報窃取型、ウェブ改ざん型の攻撃被害を受けることを前提にした諸対策を補足的に整理している。
加えて、厚生労働省が公開した立入検査向けの「サイバーセキュリティ管理状況の確認チェックリスト」が求める要件と、「手引き」で紹介した内容がどのように関連するかについても補足している。2023年10月に公開された「薬局におけるサイバーセキュリティ対策チェックリスト」も同種の内容を前提にしているため、薬局においても「手引き」は役に立つと思われる。
医療機関のサイバー対策には診療の継続性のみならず、患者情報の保護も不可欠である。こうした対策を検討する際に「手引き」を参考にして頂ければ幸いである。
江原悠介(一般社団法人医療ISACステアリングコミッティ運営委員)[情報窃取][ウェブ改ざん][患者保護]
