狙われている医療業界③ ~医療機関が内包して情報セキュリティの問題点と改善策とは?~
第1回では医療機関における情報セキュリティ対策の環境を様々なデータから考え、第2回では実際に海外・国内の医療機関で発生したセキュリティインシデントを確認しました。
そこで、他の業界と同じような問題点・医療分野特有の問題点が見えてきた様に思えます。
そこで、今回はそれらの問題点を浮き彫りにし、改善策を考えていきたいと思います。
※狙われている医療業界① ~データで読み解く医療業界の情報セキュリティ環境 ~
※狙われている医療業界② ~これまでに発生したセキュリティインシデントの確認~
第1回と第2回の内容を簡単に復習
第1回では主にセキュリティベンダーや公的機関による医療機関を対象にして「医療機関を取り巻く情報セキュリティ」に関する調査・レポートを確認していきました。トレンドマイクロ社の「法人組織におけるセキュリティ実態調査―2017年版 医療業界編―」と一般社団法人医療ISACの「国内病院におけるセキュリティアンケート調査の結果と考察」の2つの調査レポートを中心に医療機関の現状を確認し、整理しました。
第2回では実際に医療機関で発生した情報セキュリティインシデントを国内だけでなく、海外にも目を向けて確認確認しました。さすがに全てのインシデントを確認する事は出来ないので影響度の高いインシデントに絞って被害や発生原因をまとめました。
医療機関を取り巻く情報セキュリティに関してデータと実態を確認することで様々な問題点が浮き彫りになったと思います。
まずは、浮き彫りになった問題点を整理していきましょう。
その後、問題点への改善策や対策方法をホワイトハッカーの目線で医療機関の方々へご提案したいと思います。
医療機関が狙われる理由とは??
医療機関の情報セキュリティ対策の問題点を考える前になぜ医療機関が狙われやすいのか考えてみましょう。
攻撃者にとって医療機関への攻撃はメリットしかありません。
攻撃者たちは「医療機関に対する攻撃は容易であり、メリットが大きい」というイメージを持っています。
ハッカーとしての経験上、攻撃者は攻撃を行う際は簡単に侵入出来、大きな被害を容易に出すことが出来るターゲットを探します。また、その攻撃によって発生した被害が社会に対する影響が大きければ大きいほどいいです。
これらの事を勘案した際に医療機関は全てに当てはまるようなターゲットと言えます。
医療機関が狙われる理由①「医療機関への攻撃は簡単」
医療機関の対策は専門家から言わせてみれば「ザル」な施設が多いと感じます。
いまだに使用されているWindowsXP端末、セキュリティパッチが全く適用されていないパソコン、管理のされていない情報端末、、、「ザル」と言わざるを得ない理由を挙げればキリがありません。
これらの「ザル」な部分が攻撃者にとっての侵入口になり、これらが多いほど簡単に攻撃が出来ます。
医療機関が狙われる理由②「医療機関が保有する情報は価値が高い」
医療機関が保有する情報は非常にセンシティブなものばかりです。
個人情報は勿論ですが、病歴や詳細に身体的な情報といった変更することが非常に難しい情報は医療機関でしか手に入れる事は出来ないのです。
これらの情報を基に直接的に患者や患者の家族を脅迫することも可能です。
間接的にフィッシング詐欺などに利用することも出来るでしょう。
このように情報として価値のある物があるのが医療機関です。攻撃者からしてみればセキュリティ対策が甘い医療機関は金脈が見えている金山でしょう。
医療機関が狙われる理由③「社会的影響が大きい」
社会的影響としては攻撃によって機能を停止してしまった場合を考えればその影響は大きいと思います。
実際の例を挙げると2021年10月に発生した高知県のつむぎ町立半田病院は約2ヶ月間医療機関としての機構をほとんど停止していました。地域の基幹病院であった為、地域住民への影響が出てしまいました。
幸いにもこの攻撃に起因する死者は出ませんでしたが、セキュリティ専門家はいつ死者が出てもおかしくない状況になっていると発信しています。
医療機関の情報セキュリティ対策の問題点を考える
医療機関が狙われる理由を上記でお話しました。その中に「医療機関への攻撃は簡単」というお話をしました。この内容が医療機関の情報セキュリティ対策の問題点なのかもしれません。
では、具体的にどのような問題があるのかを考えていきましょう。
医療機関のセキュリティ対策の問題点①「認識の甘さ」
まず、根本に問題点としては医療機関は情報セキュリティ対策に対して「認識が甘い」と言わざるを得ません。
これは第1回でもご紹介した医療ISACのデータからの分かります。情報セキュリティに対する意識が全体平均で42%程度は認識が甘いと言わざるを得ません。
では、なぜここまで医療機関は情報セキュリティに対して認識が甘いのか考えたいと思います。
認識が甘い理由①「自分は大丈夫という考え」
ホワイトハッカーとして医療機関で情報セキュリティに対する講演やコンサルティングを行った経験上、自分は、自分の組織は大丈夫という考えが未だに多く聞かれます。
この「自分は大丈夫」という考えには攻撃者が医療機関を狙うわけがないという性善説的な幻想があるのかもしれません。
また、実際に攻撃を受けた医療機関の情報を入手していない可能性も高いです。
情報収集能力の欠如がこのような考えが未だに蔓延している原因かもしれません。
認識が甘い理由②「他人任せのセキュリティ対策」
高知県つむぎ町立半田病院で発生した大規模インシデントの調査報告書を読んでいると目を疑う文言がありました。
それは保守契約をしていないベンダーに対して善管注意義務を理由に無償で脆弱性対策をするべきという主張でした。この主張は荒唐無稽な主張であり、セキュリティ対策を他人任せにしてきた医療機関の責任逃れに等しいと思います。
情報セキュリティ対策は全ての組織で同じとはいきません。それぞれの組織によってITの活用方法やシステム構成も異なります。
その為、その組織の情報の取り扱い方法に合致した対策をそれぞれの組織で行っていかなければいけません。
他人任せのセキュリティ対策では対策を行っているとは言えないです。
医療機関のセキュリティ対策の問題点②「人的セキュリティが不完全」
この問題点は医療機関に限定した話では無いかもしれません。
しかし、医療機関ではこの人的セキュリティが他の業界よりも蔑ろにされているのが現状です。
それは、第1回でご紹介した医療ISACのデータからも見て取れます。人的セキュリティに関する調査項目に対して「対応出来ている」と答えた医療機関は平均で19%と非常に低い結果になっています。
「人的セキュリティ」に対しての対策事項が後回しにされてる理由としては医療機関は専門性の高い職種が多く混在している環境であり、セキュリティリテラシーのレベルが不揃いであるという事、システム頼りのセキュリティ対策に依存しているという事が上げられると考えます。
これまでのセキュリティ対策は対策ソフトなどのシステムだけに頼った対策が主流でした。
しかし、現在の攻撃を分析していくとこのシステム頼りの対策では防ぐことが出来なくなっています。
このことは現在のランサムウェアの感染状況やEmotetの感染状況からも分かる事でしょう。対策ソフトなどのシステム防御が機能しているのであれば、このような現状にはなっていないはずです。
では、なぜシステム頼りでは防げなくなってきているのか考えてみましょう。
システム頼りでは防げない理由①「対策ソフトを迂回するマルウェアの存在」
対策ソフトと攻撃者の攻防はいたちごっこと言われてきました。その現状は現在も変わりありません。
防御する側が最新の対策ソフトを開発してもそれらを上回るマルウェアを攻撃する側は開発してきます。
近年では対策ソフトを検知されないよう対策ソフトを迂回して感染・実行していくマルウェアが一般的になってきています。
また、2022年10月頃には対策ソフトそのものを停止又はアンインストールさせるマルウェアも出現してきました。このような事例から対策ソフト、システムだけでの対策方法ではカバーしきれない状況になっています。
システム頼りでは防げない理由②「ソーシャルエンジニアリングの発達」
ソーシャルエンジニアリングと簡単に表現すれば「システムを使用している人の隙をつく・騙す」事です。つまり技術的な攻撃手法ではなく心理的な攻撃手法と言えます。
以前はソーシャルエンジニアリングといえば肩口からパソコン・スマホの画面をみてパスワードを盗むといった「ショルダーハック」、ゴミ箱をあさり機密文書を探す「トラッシング」などがありました。
しかし、現在ではビジネスメール詐欺やフィッシング詐欺メールなどにもソーシャルエンジニアリングの技法が活用されています。具体的には迷惑メールだと分からないように巧みな文章や緊急性を煽るような心理的な隙をつく技法を巧みに操ります。現在のサイバーインシデントの8~9割はメール経由だとされています。それだけ騙されているユーザーがいるという事でしょう。
ブラックハッカーの中の格言に「一流になりたければ技術を磨け。超一流になりたければ詐欺師になれ。」というのがあります。それだけソーシャルエンジニアリングが有効である事がこの言葉から伺えます。どれだけ高価で有能な対策ソフトを利用していてもユーザーを騙すことが出来れば簡単に侵入することが出来るのです。
医療機関のセキュリティ対策の問題点③「システムの全容を把握出来ていない」
医療従事者の中には「病院システム=閉域網」であると認識している方が未だに一定数以上いらっしゃいます。
しかし、そんなことは一切ありません。現在、医療業界でもICT化が進み多くの院内システムが外部システムと繋がるようになっています。
最近の攻撃事例に多いのがRDPの脆弱性を利用した攻撃になります。このRDPは電子カルテの遠隔保守など様々なシステムに利用されています。電子カルテが外部のシステムと切り離されているというのは間違えです。どこかで必ず外部のシステムと繋がっているのです。
2021年10月の高知県の半田病院、2022年11月の大阪の急性期・総合医療センターのインシデントはどちらもRDPの脆弱性を利用したマルウェアによって引き起こされています。
近年の医療の現場は急速なICT化によりセキュリティを度外視してシステムを繋げる風潮があります。
その為、システムの全容が把握出来ずにどのシステム同士がどの様に繋がっているのかを正しく把握出来ていない状況になっているのが現状です。
それにより脆弱性のある機器への対応やインシデントが起きた際の侵入経路、展開状況を把握するのに時間を要し被害を拡大させる原因になっています。
その為、システムの全容を正しく把握するという事は非常に重要な事であり、院内システムは外部と繋がっているという認識の上、利用・管理していく必要があるでしょう。
医療機関のセキュリティ対策の問題点④「セキュリティ対策への投資が難しい」
医療機関のセキュリティ対策において他の業界との大きな違いは「セキュリティ対策に対する投資が難しい」という点かもしれません。
医療機関は診療報酬によってコントロールされており、医師や看護師や薬剤師といった有資格者人的産業、MRIやCTといった大型装置産業でもあるため利益率が非常に低い業界とされています。
その為、医療機関はセキュリティ対策に回す予算が後回しにされてしまいます。
医療機関のセキュリティ対策の問題点の改善策はあるのか?
これまで、医療機関の情報セキュリティに関する問題点を考えて見ました。
最後にこれらの改善策について考えてみたいと思います。
改善策①「セキュリティに対する意識の改善」
サイバー攻撃で攻撃者が標的とする部分は「システムを使用している人」です。
その為、「人」へ対策は効果が見えにくいですが蔑ろにしてはいけない項目です。
また、セキュリティ対策ソフトなどのシステムだけでの防御では攻撃を防ぐことは出来ません。「人とシステムの対策のハイブリッドのセキュリティ」がこれからの時代必要となります。
医療機関の問題点としても挙げましたが医療機関のセキュリティに対する意識は他の業界以上に欠如していると考えています。
そこで、まず、行うべきことは「意識の改善」です。
意識の改善は短期的に出来るものではありません。長期的なスパンで考えて地道に改善を行う事が必要です。セキュリティ意識の改善を行う際の代表的な施策としては「セキュリティ研修」でしょう。
「セキュリティ研修」を行う際に大切なことは聞き流されないような内容にする事でしょう。その為には実際に起きた医療機関のインシデントを絡めた物にする必要があるでしょう。
医療機関のセキュリティの現状を肌に感じてセキュリティに対する危機意識を高めていただき、セキュリティに対する免疫を高める事が重要です。
改善点②「情報セキュリティに関する人材の利用」
医療機関において情報セキュリティに精通している人材は非常に貴重でしょう。
よく、「対策はベンダーに任せてるから安心」、「情報システム部があるから問題ない」という声を医療機関の方から耳にします。
しかし、それは何をもって安心と考えているのでしょうか?
確かにベンダーの方々は医療機関のIT事情に詳しいかもしれません。
しかし、ITと一言で言っても医療と同じように多くの分野が存在しており、専門でなければ分からない事も非常に多いのです。
ベンダーはあくまでベンダー。セキュリティの専門家ではないので任せきりにせず、自組織でセキュリティの人材を利用することが大切です。医療においても診療分野が細分化されているようにIT業界も内容によって細分化されています。確かに、一定の知識は要していますが完全に対処することは出来ません。セキュリティはセキュリティの専門家に任せるのが一番です。
これは、情報システム部にも同じ話です。医療機関の情報システム部では兼業で日々の業務をおこなっている所のほうが多いでしょう。そうすると、セキュリティ対策は後回しになり、最適なセキュリティ環境を構築することが出来ません。
その為、セキュリティに関する専任の人材を雇用するか、それが難しい様であれば、外部からの支援を受ける事も重要です。
改善点③「セキュリティ対策の予算の効率化」
医療機関のセキュリティ対策において一番の障害は予算だと考えています。
そこで、予算の効率化を図り、限られた予算で最適な対策を行っていくことが重要です。
その為には、上記でも示した通り、セキュリティの専門家の雇用、もしくは外部からの支援が重要になるでしょう。単に対策ソフトを導入しただけでは、予算の無駄遣いになってしまう可能性のほうが大きいです。
何を守るために、どの様に守るのか等をセキュリティ・利便性の面から考察して最適なシステムを導入する、そして、適切に運用・活用を行う事が最適で効率的なセキュリティ対策に繋がっていきます。
改善点④「システムの一元管理」
医療機関特有の課題である、システムの導入や機材の導入の際に情報システム部での導入と診療部門での導入という異なったルートが存在するという事です。
このように異なったルートによってシステム・機材の導入が行われてしまうとネットワークの管理や脆弱性の管理を統合的に行う事が出来なくなり、健全なシステム管理を行う事が出来なくなります。
どのシステムがどのように機材と繋がっているのか、どの端末が外部と繋がっているのかを管理する事が出来なければインシデントが発生した場合どこから対応すればよいかという判断を迅速に行う事が出来ません。
その為、システムの一元管理という部分は非常に重要な要点になります。診療部門でのシステム・機材を導入する際にはどの端末と接続するのか、外部との通信はあるのか、保守経路はどのようになっているのかなどを明確に行い、情報システム部などの管理部署に都度情報を挙げることが大事になります。
まとめ
これまで、医療機関の情報セキュリティの現状と問題点、それらに対する改善点をお話してきました。
近年、日本国内の医療機関に対するサイバー攻撃やインシデントの発生報告が多くなっています。
医療機関は他の業界と比べセキュリティが甘いとされています。そして、医療DXの波も押し寄せており、セキュリティが後回しにされています。このような状況から攻撃者は医療情報という特殊で機微な情報を求め、そして患者様の命・生活を人質に攻撃を加速させています。
「自分は関係ない」「100%安全」「閉域網だから大丈夫」という古い考えは捨て情報セキュリティに対して真摯に取り組む事が急務なるでしょう。
「情報セキュリティ対策のやり方が分からない」「現状の対策が正しいか不安」「セキュリティ人材が確保出来ない」「何からやればいいか・どこまでやればいいか分からない」「どこに誰に相談するばいいか分からない」などセキュリティについて分からない事があれば、いつでもご連絡頂ければと思います。
