一般社団法人 日本医療情報学会

[3-A-4] 境界型防御からゼロトラストへ

*藤井 進1,2,3 (1. 東北大学、2. 慶應義塾大学大学院、3. 東北大学病院)

Perimeter Defense Security, Zero Trust Security, Cyber Attacks, Ransomware

報道によると2016年以降の医療機関でのランサムウェア被害は19件あり、21年は5件、22年は8件と急増している。21年の町立半田病院、22年の大阪急性期・総合医療センターなど記憶に新しい。調査報告書ではVPNソフトのバージョン管理やパスワード・IDの不適切な運用などが指摘され、何かしらの運用上の課題が示されているものの、サイバー攻撃の巧妙化は進んでいることがわかる。
 こうした事態に厚労省は医療機関の情報セキュリティに対し指針を示し、実態調査を進めながら、バックアップデータの独立した保存などを求めている。しかしながら、病院情報システムは冗長化が進んでおり、バックアップデータをリストアして使う必要性がなく、その実効性は不明なところもある。
 従来、医療機関では医療情報システムは外部との接続はしない、いわゆる境界型防御を前提にしてきた。内側にある端末はウィルスチェックやUSB管理、IDやパスワード管理が中心であり、サーバと端末間は信頼において認証や監視は省略されてきた。むしろレスポンスが重要視されており、負荷の軽減には都合の良い面があった。
 一方で病院情報システムは拡大し、内部の職員だけでは十分な保守対応ができない現状もある。また給食など外部委託先と連携する必要もあり、ファイアウォールやリモート接続などにより、外部接続をせざるを得ない現状がある。
 これら背景から医療機関ではもはや単独では対処できない課題であり、境界型防御だけでは、これまでの安全安心は維持できないことは自明である。「医療情報システムの安全管理に関するガイドライン6.0」にもある、新たにゼロトラスト型のセキュリティを組み合わせて対処することが喫緊の課題である。
 本セッションではゼロトラストとは何かを学び、医療機関側での視点、技術提供する企業側の視点での情報提供と考察を交え、クラウド型AI利用という新たなニーズの視点まで考える。