2022年においても国内の医療機関においてランサムウェア被害が多発している状況である。
2022年10月には国内の医療機関でリモートメンテナンス用装置として多用されているForitnet社製品を対象とした深刻な脆弱性が新たに存在することが公開され 、当該脆弱性が放置された場合、外部の第三者が製品の管理画面に容易にアクセスし、ネットワーク内部へ侵入を行えるリスクが指摘されている。
こうした脆弱性に対して、JPCERT/CCやIPA等もパッチ適用の必要性の注意喚起を行っている状況下において、大阪急性期総合医療センターが、給食管理サービスを提供している外部事業者が利用していたFortinet社の製品の脆弱性が悪用され、ランサムウェア被害を受け、診療業務の継続性に深刻な被害が発生したことは記憶に新しい。
厚生労働省が2022年11月に本件を受けて、医療機関が有する外部との接続経路を棚卸したうえで、適切なセキュリティ対策を講じることを緊急周知しているように、いまや医療機関の診療系ネットワークを外部と遮断した無菌室であるため、セキュリティ面で問題がないと考える「安全神話」は完全に崩壊したと言える。
一方、2022年1月~2月にかけて医療ISAC/四病院団体協議会によるセキュリティアンケート調査結果からも把握できる通り、国内の医療機関の多くは経済的・人的リソース不足により、こうした製品の脆弱性管理も含めて、医療情報システムのセキュリティ管理業務は外部ITベンダに依存せざるを得ない状況である。
医療機関の基幹系システム=電子カルテシステムには高い可用性が求められることから、リモートメンテナンス接続経路が外部ITベンダにより設置されることはほぼ一般的であり、医療機関はこうしたリモートメンテナンスの保守業務も医療情報システムを提供する外部ITベンダに委託しているが、その役割関係を明確に契約上で定義することはあまり実施されていないことも実情である。
上記の国内医療機関を取り巻く現状を踏まえ、今回、医療ISACは全国保険医団体連合会(保団連)、および日本病院会(日病)とそれぞれ、リモートメンテナンスセキュリティ、外部ITベンダとの契約管理・コミュニケーション状況についてアンケートを行い、その結果を分析した。
分析結果はアンケート回答全体に対するもの(第2章)、それらを病床規模別に分類して分析したもの(第3章)として取りまとめている。
特に今まで20床以下のクリニックを中心としたセキュリティ管理状況の取組はフォーカスされていなかったため、病院とクリニックを横断的に分析した際の新しい洞察が得られている。
なお、日本病院会のアンケート調査項目では、回答組織が利用している電子カルテ/医事会計ベンダの名称も回答頂いたため、第4章では、その情報も含め、経産省・総務省GLが求めるベンダにおけるリスクコミュニケーション状況を追加的に分析している。
本分析結果が医療機関のセキュリティ向上の何らかの一助になれば幸いである。
最後に、国内医療セキュリティの向上に向け、本アンケートにご尽力・ご協力いただいた全国保険医団体連合会、及び日本病院会に感謝を申し上げます。ありがとうございました。