[No.65] 医療現場に必要なサイバーセキュリティ

医療業界におけるサイバーセキュリティ活動の位置づけ

近年、医療業界でのサイバーセキュリティ対応が求められています。国内では医療法や薬機法においてサイバーセキュリティへの対応が明文化され、病院の環境や、使用する設備・機器をセキュアにしなければならなくなりました。また、セキュリティ対応のための規格が策定され、法規準拠のために活用できるようになりました。

医療業界におけるセキュリティインシデント事例

病院において、サイバーセキュリティインシデントが発生しています。病院内のさまざまなシステムがランサムウェアに感染し、医療業務に関連するシステム停止などの被害につながっています。

ランサムウェアの感染経路はさまざまですが、公表されている情報としてはVPN機器から侵入されたケースが散見されます。VPN機器は常にインターネットに接続されているため、脆弱性があると外部から病院内ネットワークへの侵入経路となる可能性があります。さらに病院内のPCや設備に脆弱性があると、ランサムウェアを仕込むなどのさまざまな攻撃につながる可能性があります。

インシデント事例から学ぶ対策

VPN機器は常にインターネットに接続されているため、攻撃の対象となる可能性が高く、より入念な脆弱性情報の管理と対応が求められます。また、万が一侵入された場合に備え、病院内のPCや設備それぞれにセキュリティ対策を施し、多層防御の考え方で防御することが重要です。さらに、最悪の事態として、システムの停止やデータの損失が発生しても事業が継続できるよう、スピーディに対応可能な事業継続計画（BCP）を策定しておくことが重要です。