コラム

　今週の自民党サイバーセキュリティ対策本部では、「重要インフラ１３分野」のうち、「医療」「水道」の分野について、所管する厚生労働省から説明を聴取し、議論をしました。

 

　近年、医療機関において、マルウェア感染などによる個人情報や診療情報の流出に加え、診療業務に関わる業務システムが利用できなくなる被害が発生しています。

　患者情報、診療履歴、保険・カード支払い情報などの個人情報が電子的に取り扱われるようになり、これらの機密情報は、攻撃者にとって価値が高く、標的とされています。

 

　今後、医療分野では、ネットワークを介した医療情報の共有や遠隔運用の取組みが更に進み、ⅠｏＴやスマートフォンから送信されるバイタルデータなどを活用したヘルスケアへの取組みも拡大していくでしょう。　　

　私達にとって、予防医療や遠隔医療によるメリットは大きいのですが、様々なデバイスを通じて医療機器や業務システムが不正アクセスされる可能性が増加しますから、機微情報の流出や、生死に関わる重大インシデントに繋がるリスクも懸念されます。

 

　水道分野でも、マルウェア被害が拡大しています。

　上下水道の制御システムは、私達の生活に直結する重要インフラの一つですから、国民生活に大きな影響が出るリスクも存在します。

 

　国内外の主なインシデント事案を紹介します。

 

　第１に、サイバー攻撃によるインフラ障害です。

 

　２０１６年には、米国とカナダの医療機関で、ランサムウェアによる暗号化被害が相次ぎました。院内ネットワークに侵入したマルウェアがローカルサーバーを介して院内ＰＣに感染し、ＰＣを使った業務が一切できなくなるなどの影響が発生しました。

 

　昨年（２０１７年）には、英国で、複数の病院のコンピュータシステムがＷａｎｎａＣｒｙの被害によってロックされ、ネットワークでのオンライン接続を遮断。外来患者の予約、診断、手術をキャンセルする事態となりました。

             

 

　第２に、サイバー攻撃による改竄や機密情報流出です。

 

　２０１６年には、米国で、医療保険情報１０００万件が漏洩し、ダークウェブで販売されました。

 

　２０１７年には、リトアニアで、美容外科クリニックが被害を受け、２万５千件以上の患者情報を公開されました。

 

　昨年は、日本でも、病院や介護施設を運営するグループのホームページへ不正アクセスがあり、２４の関連サイトが改竄され、訪問者が第三者サイトへ誘導される状態になりました。大手製薬会社が個人情報流出の被害を受けた他、新潟大学医歯学総合病院のＷｅｂサイトが改竄されました。

 

　第３に、ハッキングや機器の脆弱性の発覚です。

 

　２０１２年には、医療機器で使われている遠隔操作のソフトウェアについて脆弱性が発覚し、米国のＦＤＡ（食品医薬品局）が製品回収情報を公表しました。

 

　２０１３年には、ＩＣＳ－ＣＥＲＴが、医療機器のパスワードの脆弱性について警告しました。４０ベンダ約３００の医療機器（麻酔器、人工呼吸器、薬物注入ポンプなど）に関係し、機器によっては遠隔操作が可能だという指摘がありました。

 

　２０１７年には、岡山大学病院で、患者情報を保有した医療用端末がウィルスに感染し、外部との不正通信が確認されました。

　

　水道についても、昨年２月には、名古屋市上下水道局の偽サイト（フィッシングサイト）の存在が発覚し、注意喚起がなされました。５月には、川崎市上下水道局がランサムウェアに感染しましたが、上下水道システムや業務への影響は無かったそうです。

 

　対策としては、「多層的な防御と対処態勢の整備」が求められます。

 

　医療分野のセキュリティ対策については、外部からの侵入だけではなく、ＵＳＢなどから、マルウェアが病院内の複数の業務システムに広く感染するケースも多いですから、パブリックエリア（外来者が利用するエリア）、オフィスエリア（一般業務のエリア）、セキュリティエリア（機密情報を扱うエリア）などで、ネットワークやシステムアクセス権限を区分し、業務やデータの機密性に応じたインフラの設計と運用管理を実施することが必要です。

 

　また、医療機器や水道制御システムは、１０年以上使用されることもありますから、古いバージョンのソフトウェアが利用されているケースが数多く残存しています。

　ＯＳのアップデートや不具合対策のモジュール適用も、本来機能を損なう別の不具合を内包している可能性があり、十分な検証を行ってからでないと適用が難しく、一般の情報系システムに比べて対策が難しい状況だそうです。

　これらシステムの脆弱性を十分に把握した上で、多層的な防御を実施していかなければなりません。

 

　そして、他分野同様、「情報の共有」は重要です。

　

　医療分野では、医療機器製造業者、医療機関、脆弱性や攻撃の分析を行うセキュリティ機関、規制やガイドラインを提供する国や自治体などが、協調して対応する必要があります。

 

　医療分野でも水道分野でも、未だ「ＩＳＡＣ（ Information Sharing and Analysis Center）」が設立されていません。

　医療ＩＳＡＣの設立に向けては、自民党の自見はなこ参議院議員（医師）が、日本医師会幹部の先生方と議論を重ねながら、道を拓いて下さりそうです。

 

　加えて、これも他分野同様、「人材の育成」が急がれます。

 

　医療機関や水道関連組織でも、ＣＩＳＯ(最高情報セキュリティ責任者)を始めセキュリティ対策を実施する人材が不足しており、各レイヤの人材に対するセキュリティ教育の底上げを図る必要があります。

 

　また、両分野とも制御系機器を扱っていますから、ＩＴ系（情報系）とＯＴ系（制御系）双方のスキルを持つ人材が求められます。これは、先週に議論した電力・ガスなどの分野と同じです。

　サイバー攻撃に対する検知・解析・対処について、サプライチェーンや分野を横断して連携して対応できる実践的訓練環境の整備・充実も必要ですね。