お知らせ
【識者の眼】「医療DXとセキュリティは表裏一体」近藤博史
「医療分野のサイバーセキュリティの遅れと医療DXの遅れは同源」である。逆にその対策を考えるとき「医療DXとセキュリティは表裏一体」と言えると思う。しかし、日本の医療機関のサイバーセキュリティ対策に危惧を感じる。販売業者のウイルス検知ソフト無料講演会やWebセミナーが多数行われ、医療機関の担当者は購入のための予算を経営者に要求し、経営者はこれさえ購入すれば対策は万全と考える。
「ウイルス検知ソフトはウイルスを検知することができないこともあり、設定を制限すれば、ウイルスを検知する必要もない」。組織の入口でウイルスを検知していた頃は、ウイルスのプログラムファイルのパターンを認識していた。これに亜型が増え検知できないものが増えると、サンドボックスという実際に挙動を見る方法や人工知能を使ったパターン認識もできた。しかし、2019年頃から部品の状態で入口を通過あるいは内部の部品を使うなどして、端末上で初めてウイルスが完成するものが増加した。これによりEDR(Endpoint Detection and Response)と呼ぶ新しい対策が必要になった。EDRはパターン検知ができないものもあり、端末上で完成した「ウイルス疑い」をサーバに保管して後日確認する機能もあるが、あまり使われていない。一方、設定で端末上に新たなソフトを導入できなくすることも可能で、この場合ウイルス検知ソフトは不要になる。
先日、私が会長をする日本遠隔医療学会の第28回学術大会が岡山県で開催され、増加する高齢者のフレイル対策や独居老人の見守り、人口減少による医療過疎地のオンライン診療、遠隔医療、遠隔介護システムの発表が多くあった。参加者から「電子カルテの導入をしたいがセキュリティの関係上、導入していない」との意見があった。セキュリティはシステム開発を制限している。一方、「画像や動画の送付システムの開発が困難でメール添付やLINEの利用を考えたい」との意見もあった。一体化したシステム化とシステム化できない部分を別のサーバ管理者に漏洩する危険のあるメール添付やLINEを併用するリスクとコストを評価すべきである。
医療DXとセキュリティは表裏一体で考える必要がある。情報セキュリティマネジメントシステム(ISMS)では、①組織をつくり、②範囲を決め、③そこにある資産台帳をつくり、④資産をC.I.Aで分類し、⑤リスクを分析して、⑥セキュリティポリシーを作成し、⑦現場で適応し検討する。その中で検知ソフト、標準化、最適な技術導入などを考える。そして、⑧定期的に評価し、⑨改善するPDCAサイクルを回す。
⑥、⑦では侵入経路を想定して対策する必要がある。これは家やお城のように侵入経路を想定することになる。多重防御と監視が重要であり、重要な物は城の天守閣のような本丸に収容する。城の入口は平門よりも枡形が安全で、これは2重門でその間に空間を配置し、情報技術のFireWallのような構造です。本丸に入る者は武士に限定するように標準化して形式を揃えて検知しやすくする。天守閣から全体が見渡せると挙動の怪しいものがよくわかるので仮想サーバで管理を容易にする等検知以外にすることがある。このような基本の教育が重要で学会がするしかないと考える。
近藤博史(日本遠隔医療学会会長、協和会協立記念病院院長)[情報セキュリティマネジメントシステム]
