医療機関のサイバーセキュリティ脆弱性7つ

Security
2023.06.26

米アクロニスは医療機関のサイバーセキュリティの脆弱性 TOP7を発表。(ソース

米国に於ける医療機関の報告書ですが、この7つの弱点は日本でもほぼ同じ状況のようです。

アクロニスAcronis, Inc)は、データバックアップ・障害復旧・システム開発・ディスク管理ソフトウェアを開発・販売する多国籍企業。

1 限られた予算

報告は米国におけるものですが、セキュリティ予算が足りないのは日本においても同じです。

日本では医療は公定価格ですので、お上が医療機関の収入を決定しています。

昨今突然発生したサイバー攻撃のような危機対策に要する費用は、当然公定価格には反映されておらず全額持ち出しになります。

よって日本国内のあらゆる病院も必要な予算を捻出できていません。騒ぎになっていないのはまだほとんどの人がこの危機(にかかる予算の莫大さ)に気付いてないからですが、将来的にもこの予算が公定価格に十分に反映されるとは思えません。

厚生労働省はガイドラインを発表しており、これは産業界からも評価されていますが、一方これらの対策に要する費用の十分な原資の裏付けには言及されていません。

日本でも実際の支出額は体感的には必要額の5%以下でしょうか。ゼロトラスト・ネットワーク・アーキテクチャの実現までの道のりは遠いです。

2 ITスタッフの不足

1の予算不足にも関係しますが、サイバーセキュリティ要員を雇う人件費が捻出できない。しかも日本全体で見てもサイバーセキュリティ要員自体が足りない。

  • 特に田舎にはサイバーセキュリティ要員が少ない。
  • 田舎といえども病気になる人は居るので病院は必要。
  • しかしランサムウェア犯罪者は田舎の病院だからといって手加減してはくれない。

日本のサイバーセキュリティ要員は39万人で、5万6千人の不足と言われています。(ソース

さらには医療機関側にとってはサイバーセキュリティ要員の質の評価が困難なのも問題です。(つまりハズレを掴む可能性がある。)

3 古いシステム

医療収入が公定価格ですので、医療機関は高額な医療機器を大切に大切に使おうとします。サポートが切れても、「部品が無いので修理できない」とメーカーから言われるまでは買い替えない、ということも多々あります。

なので情報システムも同列に考えて末永く大事に使う傾向にあります。

しかし「サポートが切れる = 脆弱性が剥き出しになりやられ放題の状態になる。」ことを理解している人は少ないのです。

そういう理解の仕方をしている人は少数派なので、心ある人が買い換えようとしても予算がつかず、どうしようもない状況に置かれていることも多々あります。

4 医療IoT

医療機関においても、様々な医療機器がオンラインで繋がり、メンテナンスを受けたり、データを集積したり、といった時代が到来し始めています。

患者さんに直接繋がった医療機器もサイバー攻撃の影響を受ける可能性があります。輸液ポンプのファームウェア書き換えなど誰も顧みません。

「そんな危険なものは作るな。」という声が聞こえてきそうですが、様々な医療機器をネットに繋ぐという、このような時代の流れはおそらく止められないでしょう。

5 断片化したセキュリティアーキテクチャ

医療の複雑性によって、エンドポイントの種類と数が多岐に渡り、管理者の管理が行き届きにくくなるということ。

例えば病院の電子カルテに院外からでもアクセスできる環境が進みつつあります。

電子カルテへの侵入経路は増加と多様化が進んみ、その分、侵入の脅威も増加し、侵入の検知も遅延します。

しかし長期的にはこの流れは止められないと考えられます。

6 フィッシング詐欺

医療関係者はセキュリティに無関心な人が多いんです。

Eメールの添付ファイルを開いたり、リンクをクリックする人の何と多いことか。

USBメモリを差し込みたがる人のなんと多いことか。(もちろん当院では全端末のUSBは機能を止めていますが)

折につけ啓蒙・啓発は行なってはいるのですが、正直対象が数百人の人数になってくると、その中の誰か1人でも違反させないという徹底は至難の技となります。

7 ランサムウェア

米国では、患者さんの命がかかっているので医療機関は身代金を払う確率が高いとあります。

日本でランサムウェアの被害を公表したH病院O医療センターは身代金を払っていません。

しかし被害を公表していない医療機関は他にも多数あると思われ、その中には払ってしまった事例も多いのでは無いかと思います。(表に出ないので分かりませんが)

その意味ではこの両病院は、自らは恥とも言える事件なのに、他の医療機関の教訓に資する為に公表され、身代金は払っていないという態度は立派と言えるでしょう。

電子カルテ本体の医療機関の外部へのクラウドソーシングも盛んに使われていますが、そのクラウド自体が絶対安全であるという保証はありません。

クラウドのセキュリティはベンダー側が考えればいいのでそこは楽ですが、そのコストは医療機関側が「維持費」という名目で受け持つことになります。

さらには実際にハッキングされた時の責任はベンダー側に押し付けることが出来ますが、それでも現場での患者さん対応はこちらの手間と責任になります。

まとめ

医療機関がサイバーセキュリティの確保に苦労しているのは日米共通のようです。

コメント

タイトルとURLをコピーしました