[3-A-4-01] 医療情報システムにおけるプラス・セキュリティとは
-起きることを待つ、から起きていることを当たり前に-
個人情報、特に医療情報といった非常に機微性の高い情報を管理する環境は相当なセキュリティシステムに守られているという安全神話に惑わされ、サイバー攻撃の被害に遭ってからその問題に気付かされるといったケースがここ数年で急増している。もちろん、今までのように強固なファイアウォールによる境界防御という鉄壁の出入り監視さえあれば内部は確実に守られる、という手段に誤りがあったわけではない。しかし世界中の誰もがコロナ禍に否応無しに巻き込まれ、あちこちでテレワーク環境やBYODの積極的導入を始めといった本来組織内部では存在するはずのないラップトップPCやタブレット、あるいはLTE通信可能なデバイスなどいわゆる管理者には知る由もないシャドーITと呼ばれる装置がBCP(事業継続性)の号令のもと数々設置されてしまった現実もある。もはや、境界防御の基本である出入り監視のみならず、既に内部に悪意のあるプログラムが存在していることを前提としてセキュリティ機能を提供する時代にある。今までのようにインシデント発生を待機しつつ監視するのではなく、インシデントはすぐそばで起きうる状況にある、という思考にシフトしておくことにより、その対応や復旧のコンティジェンシープランなどの策定に十分な時間を取ることが可能となる。本講演では、このように従来の安全神話だけでは守りきれなかったケースを取り上げるとともに、昨今サイバーセキュリティで話題に挙げられるようにもなったプラス・セキュリティの考え方について紹介したい。プラス・セキュリティとは、業務遂行にあたり情報セキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態のことを意味し、まさに現場すべての構成員に意識してほしい考え方である。