★☆★JNSAメールマガジン 第230号 2022.2.11☆★☆
2022/02/11 (Fri) 10:00
★☆★JNSAメールマガジン 第230号 2022.2.11☆★☆
こんにちは
JNSAメールマガジン 第230号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
特定非営利活動法人デジタル・フォレンジック研究会 理事・「医療」分科会主査
江原悠介様にご寄稿いただきました。
【連載リレーコラム】
「医療機関向けランサムウェア対応検討ガイダンス」について
特定非営利活動法人デジタル・フォレンジック研究会
理事・「医療」分科会主査
江原悠介
2021年のJNSAセキュリティ十大ニュースのトップにも選ばれている通り、現在、
様々な分野でランサムウェアの被害が発生していますが、国内の病院も同様の
状況に見舞われています。病院でもランサムウェア被害は、報道されない事案
も含め、今年は特に多く発生しています。徳島県の町立病院で発生した被害事
例は多くの耳目に触れましたが、人の命を預かる病院の基幹系システム(電子
カルテシステム等)がランサムウェアに感染することは、患者診療の継続性に
深刻な影響をもたらし、極めて大きな社会的なインパクトに繋がります。
こうした状況のもと、厚生労働省は21年10月に「医療情報システムの安全管理
に関するガイドライン」という、国内の医療情報セキュリティに関するバイブ
ルに対して、今まで相対的に言及度が少なかったサイバーセキュリティ上の対
策要件をまとめた別添資料を特例的に公表しました。しかしながら、この資料
はサイバー攻撃全般を想定した観点で整理されており、当今のサイバー脅威と
して特にリスクの高いランサムウェアに対しての個別具体的な対策への踏み込
みという観点では、補足すべき事項が多く存在すると言えます。
また、国内病院はセキュリティに回せる経済的・人的な体力を確保できていな
いケースが圧倒的に多いことが実状です。IT専門組織もなく、相対的に院内で
ITに詳しい職員が(場合によっては兼務で)独りでシステムやセキュリティの
管理を引き受けざるを得ないという病院は国内ではむしろ一般的なほどです。
このような国内の病院事情を勘案した場合、厚生労働省が公表したガイドライ
ン別添資料を、少しITに詳しいだけの院内のIT担当者がランサムウェアという
直近のサイバー脅威に照らして独りで読みほどき、然るべき対策を考えること
は困難です。必要最低実施すべきことは何か、それを実施しないことによるリ
スクは何かにフォーカスした情報発信こそが現場への訴求において重要になる
といえます。
こうした考えのもと、デジタル・フォレンジック研究会の「医療」分科会では、
医療ISACの協力のもと、独りで院内セキュリティを担っている病院のIT職員を
主な対象として、今後のランサムウェアへの対応を考える上で、必要最低限実
施すべき事項を、出来るだけイメージ図等を利用して、セキュリティに詳しく
ない人でも読みやすくまとめた「医療機関向けランサムウェア対応検討ガイダ
ンス」を21年11月に公開しました。
このガイダンスは厚生労働省の別添資料をベースにしつつも、単独でも活用可
能という位置付けにしています。構成としては、病院のIT担当者がランサムウ
ェア対策を考える上で、病院業界の慣習上陥りやすい11件の落とし穴とそれに
対する対応策を整理したものです。対応策は必須・推奨の二区分とし、国内病
院固有の業務特性・慣習と結びつくため、最低限の検討・実施を行うべき必須
事項は4件 ---バックアップデータの退避、セキュリティベンダーとの連携、
ランサムウェアの危険性の周知、身代金支払いの要否検討に絞りました。これ
らの内容を、その理由とともに概説します。
1.バックアップデータの退避
病院では患者データのバックアップはサーバ装着型のDAT、または院内ネット
ワーク上のファイルサーバ等に保管される傾向が強いです。他の業態ではクラ
ウドへバックアップをセキュアに保管する運用方式も一般化していますが、情
報漏洩への強い懸念のもと、病院では特に基幹系システム(電子カルテシステ
ム等)を外部ネットワークと接続することに対する抵抗感が強いです。そのた
め、DATやファイルサーバのバックアップデータがランサムウェアで本体とも
に暗号化されないように、オフライン環境、あるいは場合によってはオフサイ
ト(クラウド)への退避も検討に入れるべきとしています。
2.セキュリティベンダーとの連携
ランサムウェア感染が拡大した病院事例群からは、院内システム上で感染が発
覚した後も、そのシステムの保守ベンダーに調査・復旧対応を依頼していたと
いう傾向が見られます。これは病院の多くがIT専門組織等を持たずベンダーに
深く依存しているため、「システムの困り事は全部そのベンダーに任せれば解
決する」と考えてしまうことによります。システム保守ベンダーはそのシステ
ムの専門家ですが、必ずしもセキュリティの専門家ではありません。事前にセ
キュリティベンダーとの連絡網を持っていれば、適時に然るべきアクションが
検討できるようになります。そのため、平時からセキュリティベンダーとの連
絡口を確保すべきとしています。
3.ランサムウェアの危険性の周知
感染が発覚したシステム・端末をネットワークから切り離し、調査・復旧作業
を行うとした場合、特に患者と対面する医療者は診療・治療上の不便を強いら
れるため、IT担当者への風当たりも強くなることが考えられます。「患者の命
とどっちが大事なんだ」と言われれば、IT担当者は作業を停止せざるをえませ
ん。しかし、それは感染拡大に繋がり、後々大きな被害となって返ってきます。
このような事態に陥らないように、ランサムウェアとは従来のウイルスとは異
なる危険性がある点を院長・理事長等がしっかり院内の関係者に周知し、有事
における協力を得られるようにすることが重要としています。
4.身代金支払いの要否検討
身代金を支払う・支払わないといういずれの選択肢においても、人の命を預か
る病院には他の業種と異なるリスク(法的なリスク含む)が想定されます。例
えば身代金を支払わなかった結果、本来参照できた患者情報に基づく治療が十
分行えず、患者が死亡するケースはどう考えるべきか。選択後の対応も考え、
弁護士等も含めた検討が必要であるとしています。
これらの対策群は病院業界の外部の方から見ると「なにをいまさら」というよ
うな内容も多いと思われます。しかし、国内の病院の多くはこうしたことにす
ら今まで対応することが困難であったという、深刻なセキュリティ危機のなか
にあります。そして、こうした病院により、我々が受ける地域の医療の大部も
支えられています。もし読者のかたで、このガイダンスを見て、こうしたポイ
ントも考えるべきでないかというフィードバックがあれば是非お願いしたいと
考えています。そのフィードバックは、セキュリティ危機にある病院をセキュ
リティ面で助ける貴重な<処方箋>になると信じています。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://docs.google.com/forms/d/e/1FAIpQLSeG4doCP_Pu0kHVaJAwMjsMQNqCEceGLQULdBE7ABPEjmo7-A/viewform?entry.2051377352=%E7%AC%AC230%E5%8F%B7
※googleアンケートフォームを利用しています。
【事務局からのお知らせ】
★2021年JNSA賞の表彰者を公開しました。
授賞式は、3月8日(火)Network Security Forum 2022(NSF2022)で開催します!
https://www.jnsa.org/jnsaaward/2021/winner.html
★「Network Security Forum」NSF2022
2022年3月8日、9日、10日に開催!!プログラム発表お待ちください。
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第230号
発信日:2022年2月11日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第230号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
特定非営利活動法人デジタル・フォレンジック研究会 理事・「医療」分科会主査
江原悠介様にご寄稿いただきました。
【連載リレーコラム】
「医療機関向けランサムウェア対応検討ガイダンス」について
特定非営利活動法人デジタル・フォレンジック研究会
理事・「医療」分科会主査
江原悠介
2021年のJNSAセキュリティ十大ニュースのトップにも選ばれている通り、現在、
様々な分野でランサムウェアの被害が発生していますが、国内の病院も同様の
状況に見舞われています。病院でもランサムウェア被害は、報道されない事案
も含め、今年は特に多く発生しています。徳島県の町立病院で発生した被害事
例は多くの耳目に触れましたが、人の命を預かる病院の基幹系システム(電子
カルテシステム等)がランサムウェアに感染することは、患者診療の継続性に
深刻な影響をもたらし、極めて大きな社会的なインパクトに繋がります。
こうした状況のもと、厚生労働省は21年10月に「医療情報システムの安全管理
に関するガイドライン」という、国内の医療情報セキュリティに関するバイブ
ルに対して、今まで相対的に言及度が少なかったサイバーセキュリティ上の対
策要件をまとめた別添資料を特例的に公表しました。しかしながら、この資料
はサイバー攻撃全般を想定した観点で整理されており、当今のサイバー脅威と
して特にリスクの高いランサムウェアに対しての個別具体的な対策への踏み込
みという観点では、補足すべき事項が多く存在すると言えます。
また、国内病院はセキュリティに回せる経済的・人的な体力を確保できていな
いケースが圧倒的に多いことが実状です。IT専門組織もなく、相対的に院内で
ITに詳しい職員が(場合によっては兼務で)独りでシステムやセキュリティの
管理を引き受けざるを得ないという病院は国内ではむしろ一般的なほどです。
このような国内の病院事情を勘案した場合、厚生労働省が公表したガイドライ
ン別添資料を、少しITに詳しいだけの院内のIT担当者がランサムウェアという
直近のサイバー脅威に照らして独りで読みほどき、然るべき対策を考えること
は困難です。必要最低実施すべきことは何か、それを実施しないことによるリ
スクは何かにフォーカスした情報発信こそが現場への訴求において重要になる
といえます。
こうした考えのもと、デジタル・フォレンジック研究会の「医療」分科会では、
医療ISACの協力のもと、独りで院内セキュリティを担っている病院のIT職員を
主な対象として、今後のランサムウェアへの対応を考える上で、必要最低限実
施すべき事項を、出来るだけイメージ図等を利用して、セキュリティに詳しく
ない人でも読みやすくまとめた「医療機関向けランサムウェア対応検討ガイダ
ンス」を21年11月に公開しました。
このガイダンスは厚生労働省の別添資料をベースにしつつも、単独でも活用可
能という位置付けにしています。構成としては、病院のIT担当者がランサムウ
ェア対策を考える上で、病院業界の慣習上陥りやすい11件の落とし穴とそれに
対する対応策を整理したものです。対応策は必須・推奨の二区分とし、国内病
院固有の業務特性・慣習と結びつくため、最低限の検討・実施を行うべき必須
事項は4件 ---バックアップデータの退避、セキュリティベンダーとの連携、
ランサムウェアの危険性の周知、身代金支払いの要否検討に絞りました。これ
らの内容を、その理由とともに概説します。
1.バックアップデータの退避
病院では患者データのバックアップはサーバ装着型のDAT、または院内ネット
ワーク上のファイルサーバ等に保管される傾向が強いです。他の業態ではクラ
ウドへバックアップをセキュアに保管する運用方式も一般化していますが、情
報漏洩への強い懸念のもと、病院では特に基幹系システム(電子カルテシステ
ム等)を外部ネットワークと接続することに対する抵抗感が強いです。そのた
め、DATやファイルサーバのバックアップデータがランサムウェアで本体とも
に暗号化されないように、オフライン環境、あるいは場合によってはオフサイ
ト(クラウド)への退避も検討に入れるべきとしています。
2.セキュリティベンダーとの連携
ランサムウェア感染が拡大した病院事例群からは、院内システム上で感染が発
覚した後も、そのシステムの保守ベンダーに調査・復旧対応を依頼していたと
いう傾向が見られます。これは病院の多くがIT専門組織等を持たずベンダーに
深く依存しているため、「システムの困り事は全部そのベンダーに任せれば解
決する」と考えてしまうことによります。システム保守ベンダーはそのシステ
ムの専門家ですが、必ずしもセキュリティの専門家ではありません。事前にセ
キュリティベンダーとの連絡網を持っていれば、適時に然るべきアクションが
検討できるようになります。そのため、平時からセキュリティベンダーとの連
絡口を確保すべきとしています。
3.ランサムウェアの危険性の周知
感染が発覚したシステム・端末をネットワークから切り離し、調査・復旧作業
を行うとした場合、特に患者と対面する医療者は診療・治療上の不便を強いら
れるため、IT担当者への風当たりも強くなることが考えられます。「患者の命
とどっちが大事なんだ」と言われれば、IT担当者は作業を停止せざるをえませ
ん。しかし、それは感染拡大に繋がり、後々大きな被害となって返ってきます。
このような事態に陥らないように、ランサムウェアとは従来のウイルスとは異
なる危険性がある点を院長・理事長等がしっかり院内の関係者に周知し、有事
における協力を得られるようにすることが重要としています。
4.身代金支払いの要否検討
身代金を支払う・支払わないといういずれの選択肢においても、人の命を預か
る病院には他の業種と異なるリスク(法的なリスク含む)が想定されます。例
えば身代金を支払わなかった結果、本来参照できた患者情報に基づく治療が十
分行えず、患者が死亡するケースはどう考えるべきか。選択後の対応も考え、
弁護士等も含めた検討が必要であるとしています。
これらの対策群は病院業界の外部の方から見ると「なにをいまさら」というよ
うな内容も多いと思われます。しかし、国内の病院の多くはこうしたことにす
ら今まで対応することが困難であったという、深刻なセキュリティ危機のなか
にあります。そして、こうした病院により、我々が受ける地域の医療の大部も
支えられています。もし読者のかたで、このガイダンスを見て、こうしたポイ
ントも考えるべきでないかというフィードバックがあれば是非お願いしたいと
考えています。そのフィードバックは、セキュリティ危機にある病院をセキュ
リティ面で助ける貴重な<処方箋>になると信じています。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://docs.google.com/forms/d/e/1FAIpQLSeG4doCP_Pu0kHVaJAwMjsMQNqCEceGLQULdBE7ABPEjmo7-A/viewform?entry.2051377352=%E7%AC%AC230%E5%8F%B7
※googleアンケートフォームを利用しています。
【事務局からのお知らせ】
★2021年JNSA賞の表彰者を公開しました。
授賞式は、3月8日(火)Network Security Forum 2022(NSF2022)で開催します!
https://www.jnsa.org/jnsaaward/2021/winner.html
★「Network Security Forum」NSF2022
2022年3月8日、9日、10日に開催!!プログラム発表お待ちください。
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第230号
発信日:2022年2月11日
発 行:JNSA事務局 sec@jnsa.org
*************************************