- 2024/08/29
- セキュリティ
「医療情報システムの安全管理に関するガイドライン」から紐解くリスクマネジメントの重要性
Post by : Yoichi Kurasawa
医療機関を狙ったサイバー脅威への警戒感がより一層高まる
厚生労働省の調査によると、電子カルテの普及率は2020年時点において一般病院で57.2%、一般診療所で49.9%となっており、約半数の医療機関が既に電子カルテを導入済みとの結果が出ています。また400床以上の病院に限って見れば、既に9割以上が導入済みであり、大規模な医療機関の大半では既に電子カルテが普及していることが分かります。さらに電子カルテ以外の各種医療情報システムの導入も進んでおり、医療の世界でも徐々にDXが進展しつつある様子がうかがえます。
しかしこれと並行して、医療機関を狙ったサイバー攻撃も同時に増加しつつあります。実際に国内外の医療機関がランサムウェア攻撃で機能停止に追い込まれるニュースがたびたび報じられており、現在各国の政府は医療機関に対して情報セキュリティ対策の強化を呼び掛けています。
日本国内においては、厚生労働省が医療機関に向けた「医療情報システムの安全管理に関するガイドライン」を出しており、また経済産業省と総務省は医療情報を取り扱う情報サービス事業者を対象とした「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を合同で発行しています(3省2ガイドライン)。
セキュリティ対策における「リスクマネジメント」の重要性
なお厚生労働省のガイドラインでは、リスクベースアプローチをとることの重要性が繰り返し強調されています。「リスクマネジメント」と題した章を設けた上で、かなりの紙幅を割いてリスク管理の重要性と実際の取り組み内容について紹介しています。
具体的には、医療情報システムで取り扱う情報をその重要度に応じて分類し、それぞれのリスク分析・評価を行い、その結果を経営層に報告するとともに、それぞれのリスクに応じたセキュリティ対策の対策・プロセスを、PDCAサイクルを回しながら管理していく必要があるとしています。
医療機関に限らず、あらゆる組織は潜在的に多数のリスクを抱えています。それらをあぶり出して可視化することはリスク管理の第一歩としてもちろん重要ですが、それらのリスクすべてに対して一律に高度なセキュリティ対策を施すのは現実的ではありません。そこで各リスクを「発生確率」と「影響度合い」の側面から分析・評価し、優先度の高いものから順次リソースを投入して対処していくことで適切なセキュリティ投資が可能となります。
例えば発生確率が高く、かつ事業への影響度合いも高いリスクについては、その発生を何としても阻止するために、セキュリティ対策を講じる以前に、リスクの発生源である事業そのものを停止・廃止することも視野に入れるべきでしょう。逆に、発生確率も影響度合いも低いリスクについては、何の対応も行わずにあえてリスクを受容することも選択肢の1つです。
一方、発生確率は高いものの、影響度合いはさほど高くないリスクについては、リスクを低減する施策を打つことで事業を安全に継続させる道を探るのが一般的です。技術的なセキュリティ対策は、まさにこのリスクレベルにおいて最も必要とされます。
このように、内在するセキュリティリスクをそれぞれの重要度に応じて分類することで、優先的に投資すべき対象がはじめて明らかになるわけです。
リスク低減策としてのEDRおよびMDRの有効性
ここでおさえるべきポイントは、技術的なセキュリティ対策はあくまでも「リスクを低減する」ためのものであり、「リスクをゼロにする」ためのものではないということです。例えば、ランサムウェア対策として「データのバックアップをきちんと取ること」が奨励されていますが、どれだけ日ごろのバックアップ運用に気を配っていたとしてもリスクをゼロにすることはできません。
近年のランサムウェア攻撃は本番データだけでなくバックアップデータまで暗号してしまうものが多く、また暗号化を回避できたとしてもバックアップデータ自体が既にランサムウェアに感染してしまっていては、それをリストアしてシステムを安全に復旧することはできません。さらに言えば、たとえバックアップからシステムを無事復旧できたとしても、攻撃者によって搾取されたデータを公開されてしまうリスクには対処できません。
このようなリスクを可能な限り低減するには、たとえランサムウェアに感染してしまったとしても、データの窃取や暗号化に至る前に脅威を検知・除去することが重要です。具体的には、PCやサーバといったエンドポイント端末を常時監視して、マルウェアの存在をいち早く検知できるEDR(Endpoint Detection and Response)などのセキュリティ製品を導入することが現時点では最も有効だと考えられます。
前出の厚生労働省のガイドラインでも、従来のスキャン型のセキュリティ製品に加え、EDRや振る舞い検知型の製品の導入が有効であると明記されています。さらには、対策の網羅性や即時性を担保することの重要性も指摘されていることから、導入したセキュリティ製品を十分に使いこなせるだけの運用体制の重要性も示唆されています。
その点弊社では、国内実績No.1のEDR製品「Cybereason EDR」を提供するとともに、これを使った監視・検知を代行するマネージドサービス「Cybereason MDR」も提供しています。この双方を組み合わせて運用することで、たとえ自前でEDRの運用体制を構築できない医療機関であっても、製品の導入効果を十分に発揮し、ランサムウェアをはじめとするサイバー脅威のリスクを十分なレベルまで低減することが可能になるはずです。
エンドポイントセキュリティ選定ガイド
次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。
複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/