今回のネタですが、医療機関の情報セキュリティについて書いてみます。昨日、Twitter上でフォロワーさんがJapan IT Weekに行かれていたことをツイートされてました。その中に「医療機器における情報セキュリティに関する調査」という資料をもらって来られたというツイートがありましたので、出版元を教えてもらいました。(sirosiroさん、どうもありがとうございました。この場を借りてお礼申し上げます。)

　IPAの資料だということでしたので、早速教えていただいたリンクをクリックし、ダウンロードしてみました。リンクはこちらです。https://www.ipa.go.jp/security/fy25/reports/medi_sec/

 

　で、昨夜ざっと目を通してみました。いやはや…。インスリンポンプやペースメーカーへのハッキング等が目に留まりました。医療機関で一般的に言われる情報セキュリティにおける常套句は「電子カルテは院内に閉じたネットワークにしているから安心」と。この2例に関しては、そういう理屈は通用しません。院内で当該医療機器と至近距離で検証してみたという内容でした。院内を完全にトラステッドだとみなしていることが実は大きなセキュリティホールになっているんじゃないかと思えてきました。あまりにも外部からの攻撃にナーバスになり過ぎて、院内に関しては甘々になってしまっているという警告であるようにも受け取れます。

　内部を信用しきっているという観点では、金沢大学医学部附属病院での医療機器のウイルス感染に関する事例が取り上げられています。「閉じたネットワークだから外部からウイルスが侵入する余地はないはず」という発想なのでしょうか。

 しかし、電子カルテからのデータ取り出しにUSBメモリが使われるケースが多く見受けられます。USBメモリにコピーしたデータをインターネット接続されているPCに接続して、学会発表用の資料を作るということがよくあります。問題はこのUSBメモリですが、ウイルス感染しているPCに接続してそれに気づかず使用していて、ウイルスチェックもせずにそのまま電子カルテ端末に挿してしまって、あっという間に電子カルテネットワーク内全体に感染ということではないかと推測しています。こういうときに閉じたネットワークの脆さを感じます。ウイルス対策ソフトはインストールされているのでしょうが、定義ファイルをどうやって更新するのか？という問題があります。多くの場合は定義ファイルをインターネット上から取得して、USBメモリにコピーして手動で配布という形を取っていると思われます。インターネットに接続していないというものの、結構危険なことをしているように思えます。

　それならば、むしろ内部DMZ上の定義ファイル配信サーバが別の内部DMZ上のプロキシサーバを経由して、インターネット上から定期的にウイルス定義ファイルを取得すればいいのではないかとおもいます。むしろその方が安全なんじゃないかと思えます。もちろん、FWで必要最小限の通信に制限する前提ですが。

　個人的意見ですが、電子カルテネットワークに関しては閉じていることの弊害の方が大きいのではないでしょうか。「何も考えずにインターネット接続してしまえ」と言ってるわけではなく、必要最小限の通信だけは許可するようにして安全性を担保する必要があります。(このへんはNW設計の話になってきますね)

 

　そして、この資料の中には医療現場での情報セキュリティに関する意識の低さや、マルウェアに関する危機感がないことを嘆く声が記載されています。他にも、全てベンダ任せで医療機関側に医療機器の管理能力や責任意識のなさを指摘する声もあると記載されています。

　この資料を読んでいて、「かなり拙いなな…」と思うことはいろいろありますが、結構長くなりそうですので、続きは明日に。

＜続く＞