文献情報
文献番号
202222056A
報告書区分
総括
研究課題名
医療分野の情報化の推進に伴う医療機関等におけるサイバーセキュリティ対策のあり方に関する調査研究
研究課題名(英字)
-
課題番号
21IA2013
研究年度
令和4(2022)年度
研究代表者(所属機関)
近藤 博史(特定非営利活動法人日本遠隔医療協会)
研究分担者(所属機関)
- 長谷川 高志(特定非営利活動法人日本遠隔医療協会)
- 山本 隆一(一般財団法人医療情報システム開発センター 理事長室)
- 美代 賢吾(国立研究開発法人国立国際医療研究センター 医療情報基盤センター)
- 星本 弘之(国立研究開発法人国立国際医療研究センター 医療情報基盤センター)
- 辻岡 和孝(国立研究開発法人国立国際医療研究センター 医療情報基盤センター)
研究区分
厚生労働科学研究費補助金 健康安全確保総合研究分野 地域医療基盤開発推進研究
研究開始年度
令和3(2021)年度
研究終了予定年度
令和4(2022)年度
研究費
6,924,000円
研究者交替、所属機関変更
研究代表者 近藤 博史は2022年度に特定非営利活動法人日本遠隔医療協会に異動した。
研究分担者 辻岡 和孝が加わった。
研究報告書(概要版)
研究目的
本研究では、国内及び諸外国のEMR、EHR、PHR、m Healthおよび臨床研究ネットワークも含めた対象について
調査を行い、医療機関等の現場に即したサイパーセキュリティ対策を次世代技術や他分野の手法も踏まえて整理し、現在
及び今後の状況に即した対策と課題について教育・情報共有も含め検討する。
医療分野におけるサイバーセキュリティ対策と課題につい医療機関の規模・ユースケース等ごとに整理するとともに、医
療機関同士が相互にサイバーセキュリティ対策に関する情報共有 ・ 相談を行う体制のあり方等を検討し、医療機関等へ
の対策強化の普及・促進策等を検討する。さらに、諸外国の先進的な医療クラウドの事例調査と、国内における医療情報
システムのクラウド化などの先例調査と現場の意向や現状調査を行い、日本のニーズから近未来化を効率的かつ迅速に進
めるためのクラウド化の方向性を検討する。最後に現状の医療機関のサイパーセキュリティ強化を迅速に広範囲に適合す
るための方策について、クラウド化を含めて提案する。
調査を行い、医療機関等の現場に即したサイパーセキュリティ対策を次世代技術や他分野の手法も踏まえて整理し、現在
及び今後の状況に即した対策と課題について教育・情報共有も含め検討する。
医療分野におけるサイバーセキュリティ対策と課題につい医療機関の規模・ユースケース等ごとに整理するとともに、医
療機関同士が相互にサイバーセキュリティ対策に関する情報共有 ・ 相談を行う体制のあり方等を検討し、医療機関等へ
の対策強化の普及・促進策等を検討する。さらに、諸外国の先進的な医療クラウドの事例調査と、国内における医療情報
システムのクラウド化などの先例調査と現場の意向や現状調査を行い、日本のニーズから近未来化を効率的かつ迅速に進
めるためのクラウド化の方向性を検討する。最後に現状の医療機関のサイパーセキュリティ強化を迅速に広範囲に適合す
るための方策について、クラウド化を含めて提案する。
研究方法
(1)セキュリティベンダー、クラウド事業者、CSIRT事業者、IPA,医療機器工業会等に、学術集会での添論を通じて、最
新の状況調査を行う。
(2) 現場の状況や意向に関するアンケート調査を行う。日本病院会会員施設を対象として、国内の多くの病院の現状を洗
い出す。前年度に引き続き、管理状況の実態、技術知識や意向の詳細な状況が抽出できるアンケートである。
(3) 医療情報システムの安全管理ガイドラインの今後の改定に向けた課題調査を関係者ヒヤリングやアンケートにより行
った。
(4) 医療機器のサイパーセキュリティに関する調査と医療機関に於ける対処技能教材の開発を行う。
新の状況調査を行う。
(2) 現場の状況や意向に関するアンケート調査を行う。日本病院会会員施設を対象として、国内の多くの病院の現状を洗
い出す。前年度に引き続き、管理状況の実態、技術知識や意向の詳細な状況が抽出できるアンケートである。
(3) 医療情報システムの安全管理ガイドラインの今後の改定に向けた課題調査を関係者ヒヤリングやアンケートにより行
った。
(4) 医療機器のサイパーセキュリティに関する調査と医療機関に於ける対処技能教材の開発を行う。
結果と考察
2021年度に発生したVPN とFWの複合機の脆弱性をついたサイパー攻撃事例の頻発により、情報収集はIPAのCSIRT活
動を中心に始めた。事前の①事前のネットワーク調査、②ネットワーク・サーバ機器の資産台帳の整備、③脆弱性が判明
した場合の医療機関の知るタイミング、攻撃を知った後の対応の問題などを明確にした。
攻撃後では③ネットワーク、機器の情報収集の時間の必要性、④ハッカーの潜入機関が100 日以上になる場合がある。⑤
画像のような大容量データも一部の暗号化の場合がある。⑥暗号化されたデータの復号化をしても前の状態と同じかの証
明ができない問題。などが明確になった。これによりデータバックアップとBCPの問題が明確になったため、ストレージ
に絞って情報収集し、①フラッシュ系ストレージ会社から、ハードウェア依存型バックァップやストレージ専用OSによ
るパックアップによりOSに依存しないパックアップの提案があった。
攻撃後も前もNDRの必要性が明確になった。ゼロトラストアーキテクチャーにおける端末と人のAuthentication、
Authorizationの後者、権限付与が理解が薄かった。つまり「閉じたネットワーク神話」もあり、保守ベンダーは管理者
権限のわかりやすいID,パスワードを利用し、病院や関連ベンダーに蘭単に情報共有してきた。このことはソフトのイン
ストールなど対応が容易なこと、逆に言えば、ソフトの管理などあまり重視していなかった。実際、サプライチェーン経
由でハッカーが侵入しても管理者権限が容易に取得できなければ攻撃は難しいものであり、今後この部分の教育、管理の
徹底が必要である。また放射線機器のオンライン保守中心に安価な携帯デジタル通信①LTEによる専用回線接続の増加の
課題も明らかになった。外部接続する内部ネットワーク内のPCについて病院は①通信内容の情報を知る必要があり、②
モニタリング、監視するべき、あるいはモニタリング惜報を知らされるべきである。また、③このPCが乗っ取られるこ
とを想定してDMZなど同PCから病院内ネットワークに自由に通信できる環現におくべきではないと考えられる
アンケートでは約2500の施設から、580件の回答を得た。各施設の技術水準は低くない。課題はコストや体制の弱さ、
サイパーセキュリティの要点が絞られていないことにより、効果的対策を取りにくいことがわかった。
動を中心に始めた。事前の①事前のネットワーク調査、②ネットワーク・サーバ機器の資産台帳の整備、③脆弱性が判明
した場合の医療機関の知るタイミング、攻撃を知った後の対応の問題などを明確にした。
攻撃後では③ネットワーク、機器の情報収集の時間の必要性、④ハッカーの潜入機関が100 日以上になる場合がある。⑤
画像のような大容量データも一部の暗号化の場合がある。⑥暗号化されたデータの復号化をしても前の状態と同じかの証
明ができない問題。などが明確になった。これによりデータバックアップとBCPの問題が明確になったため、ストレージ
に絞って情報収集し、①フラッシュ系ストレージ会社から、ハードウェア依存型バックァップやストレージ専用OSによ
るパックアップによりOSに依存しないパックアップの提案があった。
攻撃後も前もNDRの必要性が明確になった。ゼロトラストアーキテクチャーにおける端末と人のAuthentication、
Authorizationの後者、権限付与が理解が薄かった。つまり「閉じたネットワーク神話」もあり、保守ベンダーは管理者
権限のわかりやすいID,パスワードを利用し、病院や関連ベンダーに蘭単に情報共有してきた。このことはソフトのイン
ストールなど対応が容易なこと、逆に言えば、ソフトの管理などあまり重視していなかった。実際、サプライチェーン経
由でハッカーが侵入しても管理者権限が容易に取得できなければ攻撃は難しいものであり、今後この部分の教育、管理の
徹底が必要である。また放射線機器のオンライン保守中心に安価な携帯デジタル通信①LTEによる専用回線接続の増加の
課題も明らかになった。外部接続する内部ネットワーク内のPCについて病院は①通信内容の情報を知る必要があり、②
モニタリング、監視するべき、あるいはモニタリング惜報を知らされるべきである。また、③このPCが乗っ取られるこ
とを想定してDMZなど同PCから病院内ネットワークに自由に通信できる環現におくべきではないと考えられる
アンケートでは約2500の施設から、580件の回答を得た。各施設の技術水準は低くない。課題はコストや体制の弱さ、
サイパーセキュリティの要点が絞られていないことにより、効果的対策を取りにくいことがわかった。
結論
閉じたネットワーク神話による脆弱性や具体的な問題点を明らかにした。対応の方向性も示した。
公開日・更新日
公開日
2023-07-04
更新日
-