[3-A-4-02] 境界型防御からゼロトラストへ 医療機関からの視点
2022年10月31日に発生した大阪にある病院でのランサムウェア被害は記憶に新しい。被害総額は10億円超ともいわれ、外来診療の全面再開は翌年の1月11日と、システム復旧に係る費用以外にも、病院経営や地域の医療提供にも大きな痛手を残した。
これまで医療情報システムは外部との接続をせず、ファイアウォールやウィルス対策ソフト、IDS/IPSなどで制御し、その内側は安全かつ信頼できるものとして、端末とサーバ間の認証や通信監視は省略されてきた。こうした境界型防御を前提にしたセキュリティ対応がどこの病院でも一般的であった。サイバー攻撃の巧妙化はこうした安全神話を崩壊させ、外部からの侵入により無防備な内部からバックアップを含めて暗号化し、システム停止へと追い込んだのである。
一方で病院はシステム機器の保守、給食などの委託サービスで、実際は外部との接続は行われており、そもそも安全な閉域網では無かった。また2024年4月には医師の働き方改革により、時間外労働の上限が年間960(一部1860)時間となる。臨床での業務効率化がこれまで以上に求められることになる。これには医師の院外からの情報システムの利用など、外部との接続が求められるだろう。また厚労省の「医療DX令和ビジョン2030」のように、国民が自らの医療情報に容易にアクセスできる、いわばPHRなどによる患者との双方向性も課題となるだろう。
この対応には「医療情報システムの安全管理に関するガイドライン6.0」にもある、ゼロトラスト型のセキュリティ対応へのシフトによる解決が期待される。またゼロトラストを前提にすれば、クラウド型AIの利用など促進され、これまでとは応需の方法が変わる可能性がある。こうした新たなサービスへの対応も検討すべきである。
本セッションではゼロトラストを病院側の視点で捉え、今後のセキュリティ対応の在り方を考える。
これまで医療情報システムは外部との接続をせず、ファイアウォールやウィルス対策ソフト、IDS/IPSなどで制御し、その内側は安全かつ信頼できるものとして、端末とサーバ間の認証や通信監視は省略されてきた。こうした境界型防御を前提にしたセキュリティ対応がどこの病院でも一般的であった。サイバー攻撃の巧妙化はこうした安全神話を崩壊させ、外部からの侵入により無防備な内部からバックアップを含めて暗号化し、システム停止へと追い込んだのである。
一方で病院はシステム機器の保守、給食などの委託サービスで、実際は外部との接続は行われており、そもそも安全な閉域網では無かった。また2024年4月には医師の働き方改革により、時間外労働の上限が年間960(一部1860)時間となる。臨床での業務効率化がこれまで以上に求められることになる。これには医師の院外からの情報システムの利用など、外部との接続が求められるだろう。また厚労省の「医療DX令和ビジョン2030」のように、国民が自らの医療情報に容易にアクセスできる、いわばPHRなどによる患者との双方向性も課題となるだろう。
この対応には「医療情報システムの安全管理に関するガイドライン6.0」にもある、ゼロトラスト型のセキュリティ対応へのシフトによる解決が期待される。またゼロトラストを前提にすれば、クラウド型AIの利用など促進され、これまでとは応需の方法が変わる可能性がある。こうした新たなサービスへの対応も検討すべきである。
本セッションではゼロトラストを病院側の視点で捉え、今後のセキュリティ対応の在り方を考える。