2022年3月10日、「医療・介護現場のDX・ネットワーク・セキュリティ解説セミナー」と題したオンラインセミナーを開催し、非常に多くの方にご聴講いただき、各社のソリューションにご興味をお持ちいただきました。ご聴講ありがとうございました。
本記事は以下の記事の後編となります。
基調講演である「おうちにかえろう。病院のDX」と、ヤマハ社による講演レポートは以下よりご覧ください。
特別講演
セキュリティ対策はカルテシステムと同じ予算確保を。 ~目の前に迫る脅威に対して予算化するだけの理由~
イーズトラスト合同会社 CIO 高橋 光則氏
昨今は医療業界のICT化が加速しており、電子カルテの導入率は15年前と比べ30%ほど上昇した5割弱となっています。しかし、運用効率化はできていても、それに伴ったセキュリティ対策までは手掛けられておらず、サイバー攻撃の被害に遭うケースが増加しています。
公益財団法人医療機器センターによる医療機関の情報システムの管理体制に関する実態調査によれば、規模が大きい病院であれば専任の担当者・部門が存在しますが、そうでない場合に専任担当者を配置していることは少なく、そこまでのコストを掛けられていないことが読み取れます。
ですが、情報システム部門はネットワーク・システムが安定して稼働するよう、日々、ハードウェアやネットワークのトラブルの障害予知・対応や、環境改善、セキュリティ対策などの重要な役割を担っており、電子カルテなどを安全に安定して利用するには重要な存在と言えます。
※なお、現在よく見かけるネットワーク構成やセキュリティ対策については以下資料をご参照ください。
- 病院へのサイバー攻撃の脅威の多くはセキュリティパッチの未適用が原因
徳島県の公立病院が受けたサイバー攻撃ではUTMのセキュリティパッチ未適用による脆弱性をついた攻撃に加え、ダークウェブで販売されていたID/PWがたまたま合致してしたというものでした。同院は2か月間のシステム停止とシステムの再構築で2億円という費用が掛かることになりました。
こうした攻撃被害は多々あるものの、多くの病院ではPACSなどの機器は導入時のままパッチを当てられずに放置されているケースがよくあり、常に危険にさらされています。
- 厚労省などの団体が出すセキュリティ対策強化指針を参考に安全で安定したシステム運用を
これに対して、厚生労働省は地域医療や、救急・手術ができないなどの病院機能停止による長期混乱を懸念し、再三にわたってセキュリティ対策強化に関する注意喚起を行っており、同時に医療情報システムの安全管理ガイドラインの公開、病院がサイバー攻撃の被害に遭った場合、厚生労働省への報告を促しています。
ガイドラインのすべてを読むことは難しく、病院の実態とかけ離れていることがあるとは思いますが、システムの安全な運用のための管理方針の指針です。不足しているセキュリティ対策や災害時のBCPシミュレーションなどにご活用頂ければと思います。
なお、こうした注意喚起は医療ISACやiMISCAといった団体も行っており、医療分野におけるセキュリティ情報やセキュリティ人材の育成についての資料を公開しています。こちらも参考にご覧ください。
- まずはこれから始めよう、セキュリティ対策
システム・セキュリティ担当者の育成・体制づくり、研修制度の整備や、ウイルス対策や侵入の検知・対処を行うEPP、EDRの導入、多要素認証をお勧めします。そして各システムへのパッチ適用を忘れないようにしましょう。
すぐに始められるセキュリティ対策点検箇所は次の通りです。ご参考にお使いいただきつつ、対策に悩まれたら専門家に相談していただければと思います。
当社は電子カルテ等のシステム導入だけでなく、セキュリティ対策コンサルティングも実施しています。何かあればぜひご相談ください。
事例とソリューション紹介
医療・介護現場で活用して欲しいDX&セキュリティソリューション
医療・介護現場で活用して欲しいDX&セキュリティソリューション
株式会社ランシステム システム外販部 部長 黒澤 一秀
現在、自遊空間ではDX戦略として、入会手続き、入場、QR鍵、精算、清掃解除、接客といった業務に対し、積極的に無人化を進めており、人材不足問題の解消に取り組んでいます。
また、従来、紙などで管理していた作業をアプリ化することで約600時間の作業時間短縮に成功しています。
これらのDX化には以下のソリューションを活用しており、導入後はクレームの減少、サービス品質向上、離職率の低下、コスト削減・人手不足解消、ナレッジの蓄積と蓄積したデータの分析が可能になるといったメリットが生まれています。
・遠隔接客サービス「RURA」
専門的な知識を持ったスタッフが遠隔で問い合わせに対応します。問い合わせの内容に応じた画面表示も可能です。
膨大な映像処理が発生するため、当社ではヤマハルーターとIPマルチコネクトによって安定した通信環境を実現しています。
・モバイルアプリ作成ツール「Platio」
プログラミング言語を使用せずに業務アプリケーションを作成できます。パルスオキシメーターや血圧計、体温計体重系統との連携が可能です。テンプレートを改造してアプリを作れるため作成が容易です。医療介護現場で使用できそうなテンプレートが多数用意されています。
・AIとIoTで高齢者ヘルスケア「eMamo」、ビデオ通話製品「eBell」
ヘルスケア製品やサービスと連携し、介護効率の向上と見守り、自立支援をサポートするプラットフォームです。おうちにかえろう。病院がナースコールに変わり採用したビデオ通話製品eBellとも連携が可能です。
当社はおうちにかえろう。病院のネットワーク構築を実施しました。同院のネットワーク構成は下図の通りです。
- まとめ
これらのソリューションを活用したDX環境を安心・安定して活用するためには同時にセキュリティ対策を行う事が重要です。当社はバランスのいい提案を心掛けておりますので、何かあればぜひお問い合わせください。
F-Secure社によるソリューション紹介
エフセキュア株式会社 サイバーセキュリティ技術本部 シニアセールスエンジニア 中谷 忠司氏
- F-SECURE ELEMENTS EPP
クラウド管理型のソフトウェアとなっており、大きく4つの多重防御機能を備えた多機能な製品です。
・第一階層:攻撃を受けない環境整備(脆弱性対策、USB等外部デバイスからのウイルス侵入対策)
・第二階層:ブラウザ保護(Webサイトからのウイルス侵入を防御)
・第三階層:インターネット防御(ネットワーク経由での不正侵入を防御)
・第四階層:ウイルスとスパイウェア防御(ウイルス検知、駆除、ブロック)
さらに、2008年以降に搭載された振る舞い検知機能によって、既存のマルウェアだけでなく、亜種・新種のマルウェアに対しても対応が可能になりました。さらに機械学習機能が搭載されているため、日々強化されています。
また、日々忙しい医療現場の方の手間にならないよう、ソフトウェアアップデート情報を一覧で管理、管理ポータルから自動でパッチ適用できますので、重要なパッチ適用を見逃しません。
- ELEMENTS CONNECTOR
インターネット環境に接続せずに隔離した環境であっても、業務効率向上などの目的のためにクラウドサービスの利用を望むケースがありますが、その場合、特定通信によるセキュアなネットワークが必要となります。そこでELEMENTS CONNECTORを経由すれば、隔離ネットワーク上にあるシステムが外部のクラウドサービスと直接通信を行う必要がなく、セキュアな通信を担保します。
本製品は自治体で高評価を頂いているものですが、自治体同様、隔離されたシステムが多い病院でも同様に活躍できる製品だと考えています。
- EPPとEDRの違い・役割について
EPP製品の役割はマルウェアの感染、侵入を止めるものですが、昨今の攻撃は完全に止めることが難しく侵入を許してしまうケースが発生しています。そうした対策が難しいマルウェアの感染・侵入を検知し、潜在的な脅威と問題をいち早く明らかにするのがEDR製品です。
そのため両製品を併用することで、電子カルテやDXに伴うデータの具現性を上げることができるのではと考えています。
なお、EDRの仕組みは大きく二つあり、ログを中心に侵入したものの活動を検知するものと、アプリケーションやOSの細かなイベントをすべて診断してマルウェアの侵入を確認する方法があります。
ログベースの場合、巧妙な標的型攻撃はログを残さないことが多いため、当社のEDRはイベント診断を採用しています。これによって収集したデータを機械学習で解析し、普段の運用ではありえない動きを検知しています。
ただ、イベント診断の場合、排出されるデータ量は膨大なものになるため、忙しい医療現場での確認は大変になります。そのため、振る舞い検知を搭載し、重要度の高いものに絞り込んで対応、お客様の負担を軽減させることが可能です。
パネルディスカッション
医療・介護現場のDXとセキュリティに関するパネル
パネリスト:
TEAM BLUE 代表 安井 佑氏
ヤマハ株式会社 コミュニケーション事業部 マーケティング&セールス部 国内営業グループ 主事 里吉 一浩氏
イーズトラスト合同会社 CIO 高橋 光則氏
エフセキュア株式会社 サイバーセキュリティ技術本部 シニアセールスエンジニア 中谷 忠司氏
株式会社ランシステム システム外販部 部長 黒澤 一秀
医療介護施設はライフラインであり、今後もより一層の効率化、利便性の向上が求められています。
そのうえで、ITが果たす役割は大きく、それを支えるネットワークにはセキュリティの確保と高速さが前提となっています。
そこで、本パネルディスカッションでは、各分野で積極的に活動している今回の登壇者の皆様にご登壇いただき、「医療・介護現場のDXとセキュリティ」をどうすべきかについて議論いたしました。
まず目指すべき病院のDXや、病院でDXが進まない理由について安井氏、高橋氏を中心にお答えいただきました。
安井氏は、病院のDXを阻む要因には、命が係わる現場において、改革のためのソリューションを提供する業者側が、情報漏洩やシステムの停止などが起きてしまったときに考えられるリスクに腰が引けてしまうこと、そして病院の医者を中心とする体制では、医療分野外の知識が求められるDXに対応しきれないという問題があると話しています。
こうした背景から、病院もシステムを提供する側も、絶対に停止しないシステムやネットワークはないことを前提に、BCPを含め、どうすればなるべくシステムを継続させられるかを考えること、そして各分野の専門家の育成・確保や協力を得ていく必要があるとしています。
さらに昨今、医療現場では医療データの活用も求められており、新しいシステムや取り組みが必要な時代になったことを取り上げ、それらを含めた新しい取り組みによって発生するリスクへの準備・対策も含めた対応を考えていく必要があることが語られました。
その後、政府が公開しているガイドラインについての考えやDX時代の病院ネットワーク構築、セキュリティ対策で必要なことについて、ネットワーク機器選定の観点からは里吉氏が、セキュリティソリューション選定の観点を中谷氏、業者選定で重要なポイントについては黒澤が中心となってお話しました。
詳しくは後日公開されるパネルディスカッション動画をご確認ください。
前編は以下からご覧いただけます。