[2-I-2-02] 徳洲会グループ:USBメモリ利用環境のセキュリティ整備と統一について
Ransomware, Cyber Attacks, Virus infection, USB Memory Stick, Security Measures
背景・目的
昨今病院を標的にしたランサムウェアなどのサイバー攻撃やウイルス感染、USBメモリ紛失による個人情報漏洩などが年々増加し、徳洲会グループ(以下グループ)でも2019年に複数の病院でUSBメモリ経由でのウイルス感染報告があった。
その対策として電子カルテ導入済のグループ病院65施設を対象にUSBメモリの取扱いについて調査を実施し、病院毎にUSBメモリの機能、USBメモリを利用できる電子カルテ端末の設定内容や台数、USBメモリでのデータ移行運用ルールが大きく異なる事が判明した。グループとしてUSBメモリの利用環境の共通ルールを作る事でグループ統一のセキュリティ対策に取り組んだ。
方法
グループの電子カルテ導入病院で、利用しているUSBメモリの種類、電子カルテサーバのアクティブディレクトリによるUSBメモリ使用可能端末の設定有無、デバイス制御ソフトによる使用可能なUSBメモリの限定の有無を調査した。調査内容から①グループで統一するセキュリティ機能付USBメモリの選定②アクティブディレクトリ・デバイス制御ソフトを使用したUSBメモリ利用環境設定のマニュアル化③USBメモリを用いたデータ移行のルール制定④病院規模別のUSBメモリ利用可能端末の推奨台数の設定を行い全病院へ周知した。
結果・考察
前述の①~④の周知後、全病院のSEにアンケートを行ったが、USBメモリによるウイルス感染や個人情報漏洩は発生していない。また、SEの8割が今回の統一化に伴う設定作業および院内周知・運用変更に苦労したと回答したが、9割が電子カルテ系ネットワークのセキュリティ設定に対する不安が軽減されたと回答した。
今後はインターネットに接続できる端末についてもUSBメモリの運用を統一、更に専用クラウドサービス導入によりUSBメモリを利用しないデータ移行運用を実現し、グループの情報セキュリティ対策を更に向上させたい。
昨今病院を標的にしたランサムウェアなどのサイバー攻撃やウイルス感染、USBメモリ紛失による個人情報漏洩などが年々増加し、徳洲会グループ(以下グループ)でも2019年に複数の病院でUSBメモリ経由でのウイルス感染報告があった。
その対策として電子カルテ導入済のグループ病院65施設を対象にUSBメモリの取扱いについて調査を実施し、病院毎にUSBメモリの機能、USBメモリを利用できる電子カルテ端末の設定内容や台数、USBメモリでのデータ移行運用ルールが大きく異なる事が判明した。グループとしてUSBメモリの利用環境の共通ルールを作る事でグループ統一のセキュリティ対策に取り組んだ。
方法
グループの電子カルテ導入病院で、利用しているUSBメモリの種類、電子カルテサーバのアクティブディレクトリによるUSBメモリ使用可能端末の設定有無、デバイス制御ソフトによる使用可能なUSBメモリの限定の有無を調査した。調査内容から①グループで統一するセキュリティ機能付USBメモリの選定②アクティブディレクトリ・デバイス制御ソフトを使用したUSBメモリ利用環境設定のマニュアル化③USBメモリを用いたデータ移行のルール制定④病院規模別のUSBメモリ利用可能端末の推奨台数の設定を行い全病院へ周知した。
結果・考察
前述の①~④の周知後、全病院のSEにアンケートを行ったが、USBメモリによるウイルス感染や個人情報漏洩は発生していない。また、SEの8割が今回の統一化に伴う設定作業および院内周知・運用変更に苦労したと回答したが、9割が電子カルテ系ネットワークのセキュリティ設定に対する不安が軽減されたと回答した。
今後はインターネットに接続できる端末についてもUSBメモリの運用を統一、更に専用クラウドサービス導入によりUSBメモリを利用しないデータ移行運用を実現し、グループの情報セキュリティ対策を更に向上させたい。