さすがに具体的な内容に言及するような記事はありませんでしたが(あったらたいへん問題ですが)、脆弱性が80以上もあったと書かれていました。しかも、「クリティカルな脆弱性が50以上も存在した」とのこと。実際に医療現場で動いているソフトウェアであるという点に不安を抱きます。「とりあえず動くこと」が優先されていたのではないかとも思います。こうしてみると、ユーザである医療機関側だけでなく、ベンダ側も「閉じたネットワーク内でのみ使う」ということに胡座をかいていたのではないかとも考えられます。電子カルテは24時間365日動かすことを前提に、やむなく停止・再起動する場合は深夜にということが多いです。

　そのため、ソフトウェアの改修にはかなり慎重になります。機能強化や診療報酬改定関連や実利用上のバグフィックスについて改修が入ることはありますが、セキュリティ面での改修はあまり耳にした記憶がありません。「閉じたネットワーク内だから」で思考停止状態になっている、あるいは敢えて目を逸らしている可能性もあります。「下手にパッチを当てて電子カルテが影響を受ける方が問題なので、ソフトウェアの脆弱性には目を瞑ろう。」と考えてはいないかと心配になってきました。

　構築された電子カルテネットワークがプロトコルもOSも全く独自仕様であればまだマシなのですが、インターネットの通信プロトコルであるのTCP/IPを用いて、最もメジャーなOSであるWindowsを使用している場合が多いので、攻撃者側としても狙うハードルは下がっているとみることが出来ます。

 

　閉じたネットワークですから、OSのパッチやウイルス定義ファイルも自動でダウンロード出来ません。逆に「構築時の環境を壊すことになるからOSのパッチは当てない。当てて正常に動作しなくなるリスクもあり得るので。」という考え方が主流のようです。確かに、土台部分を揺るがすような真似はしたくないのは十分理解出来ます。

　しかし、セキュリティ面的にOS自身の脆弱性を抱えたままで運用して大丈夫なんだろうか？という疑問が残ります。OS上で動くソフトウェアに関しても同様です。予期せぬ形で攻撃を受けた場合の不安が拭えません。

　このコンテストを受けてソフトウェアベンダや電子カルテベンダが今後どのような動きに出るのか注視したいと思います。