医療業界のビッグデータが本格化し、患者の診療記録や健康記録などを含む個人情報を活用し、新薬開発や未知 の副作用の発見などに繋げる動きが活発化している。しかし、個人情報の取り扱いを一歩誤ってしまうと、業界や企業として大惨事を招く可能性もあるため、慎重にセキュリティ対策を行う必要がある。そんな医療業界向けに、マクニカネットワークスが「押さえておくべき!医療業界のデータ利活用事情とセキュリティ【2021年最新】」と題してセミナーを実施した。その内容について、詳しく見てい きたい。
01:対応急がれる「医療機関へのサイバー攻撃」、 その実態と対策を語る
最初に国立国際医療研究センター(NCGM)にて医療情報基盤センター長を務めており、2020 年 4 月に発足した国立高度専門医療センターにて 医療研究推進本部 データ基盤課長も兼務している美代 賢吾氏が登壇。 日本にある 6 つのナショナルセンターの 1 つであり、現在は新型コロナウイ ルスの対策拠点となっているNCGMの紹介を行ったうえで、医療機関向けのサイバー攻撃の実態と対策について語った。
医療機関に対するサイバー攻撃の現状
現在のサイバー攻撃には、2020年あたりから大きく状況が変わってきている印象を持っている美代氏。「我々のセキュリティ装置でさまざまな攻撃をブロックしますが、2019年、2020年にかけて攻撃が急激に増えており、2021年の現時点では月100万件を超える攻撃がNCGMに対して行われている」。おそらくこの傾向は同病院だけでないはずで、ステージが完全に変わってきていると現状について説明した。
そんな状況下で、医療機関内部ではどんなことができるのだろうか。実際の現場の病院職員が持つ意識は、電子カルテは物理的に分離されているから大丈夫だというものが多いようだが、実態は地域連携やリモートメンテナンスなど多くの口が用意されており、決して安全ではないと美代氏は指摘。しかも、情報そのものを使えない状態にして身代金を要求する、つまり情報取得ではなく金銭目当ての攻撃が増えている状況にあるという。
そのため、情報管理部門に対して対応の徹底を要求する方も少なくないが、情報管理部門だけに任せきりではリスクに対して備えられないと指摘する。これまでの事例でも、内部関係者の過失などが引き金になったこともあり、医療関係者や職員全員が当事者意識を持つことが重要だと説いた。
また自分の腕を誇示したい愉快犯の犯行が多かった10年ほど前に比べて、今はメールタイトルを見て職員が開きたくなるようなメールを送りつけ、大量の個人情報が漏洩した標的型攻撃メールのように、金銭や情報を搾取するというビジネスが目的に代わってきている。「ツールがシステマチックに提供され、誰でも攻撃して金銭の回収までできるような時代になっている」と現状について語った。
具体的な対応事例を生かすNCGMの対応
ここで、とある大学に対して行われたフィッシング攻撃に関する事例について触れ、「この事例では、フィッシングメールの存在が明らかになった翌日にブロック設定を行うという遅い対応で、かつ翌月に不正転送の設定が発覚し、10日後に自動転送設定を禁止するなど、全体的に対応の遅さが目立った」と指摘。
実はNCGMにも同様のフィッシングメールが届いており、その動きを把握するべく意図的にパスワード詐取されてみたところ、わずか10分かか
らずにアタックを開始するというスピードだったことが明らかに。つまり、翌日の対応ではとても間に合わないという状況になってしまうのが現状だと分析する。
実際にNCGMでは、利用者からの通知を受けて調査および遮断対応を実施し、メールを受信した利用者の特定やパスワード変更依頼、厚生労働省など関係機関への通知を行っているが、いずれにせよ一刻も早い利用者からの連絡やシステムでの検知が必要だと説明する。
また、IDが乗っ取られることを想定し、以前から多要素認証によってIDやパスワードだけではセンター外からのアクセスを不可にしており、従来から自動転送を禁止に設定しているなど、事前対策も行っていたという。
「パスワードは盗まれても気づかないが、スマートフォンを紛失するとすぐに気づく。多要素認証でも気づきやすいものを組み合わないと難しい」と美代氏。
セキュリティ対策における教育の重要性
標的型攻撃メールについては、より巧妙に相手が開くように仕組まれているものを指すが、警察庁に届け出があった件数でみると、平成30年までは増え続けているがここ数年で年4000件ほどに推移しているものの、実際の攻撃はもっと多くあるとみられている。現実的に届く標的型攻撃メールは、誰が見ても怪しい不審メールではなく、アカデミックな業界は特に論文名や過去の業績、分野や名前も含めてインターネット上に公開されてり、そんな情報をもとにパッと見ただけでは不審なメールとは見破れないメールが送られてくるという。
実際の対策については、情報セキュリティポリシーの策定や監査、ペネトレーションテストの実施などはもちろん、情報セキュリティ機器の導入やSOCサービスの活用なども重要になるが、セキュリティ関連業務の労力を減らすためにも教育が非常に大切だと力説する。「たとえシステムが機能してスパムとして隔離しても、利用者が隔離フォルダから取り出して開封してしまい、問い合わせをクリックして不正通信検知警報が出て抜線したものの、2時間後に自分でウイルススキャンをして安全だと自己判断し、再びネットワークにつなげてしまうといった事例も発生している。どんな対策をとったとしても、利用者のセキュリティリテラシを高めていくことが大事」と美代氏。
ただセキュリティ教育の難しさは、相手方にそれなりの負担を強いてしまうこと。利用者の行為に制限をかけたり追加の作業を求めたりなど、理解してもらうことは大変だ。「教育においては、院内でのインシデントはもちろん、社会的な話題になった事件を解説していくことで意識の変化を促し、やらなければいけないことの意義を継続的に伝えていくことで、職員の理解も変わってくる」と力説する。
最後のまとめとして、攻撃に気づくような仕掛けとしての装置やサービスの導入はもちろん、事例紹介や標的型合計に対する訓練など、利用者が安易に踏まないような教育を継続的に実施しながら、おかしいと感じたときに気軽に相談できる窓口を設置して置くことが大切だと説く。「今後ネットワーク、クラウド化が医療でも進んでいくことを考えると、サイバー攻撃対策は組織への投資であり、必要なのは間違いない。お金の投資だけでなく、人への投資を通じてサイバー攻撃に強い組織づくりを進めていくことが重要だ」と最後に締めくくった。
02:医療情報システム提供事業者向け新ガイドライン対応におけるキーポイント
続いて、ゲスト講演として、NRIセキュアテクノロジーズ株式会社(以下「NRIセキュア」)コンサルティング事業本部ストラテジーコンサルティング部セキュリティコンサルタント木村匠氏が登壇し、医療情報システム提供
事業者向けに新ガイドライン対応におけるキーポイントについて紹介した。
総務省・経済産業省ガイドラインの概要
まずは総務省・経済産業省ガイドラインの策定に関して検討プロジェクトに参画した木村氏自身の立場も踏まえて、それぞれの法律やガイドラインの概要について触れた。
具体的な法律として挙げられるのは、個人情報保護法だ。この個人情報保護法に関して医療IT事業者が留意すべきは、健康診断や診療の結果を含む情報などは要配慮個人情報に該当するため、取得や第三者提供には原則として本人の同意が必要になり、オプトアウトによる第三者提供は認められない点だという。「昨今では、2020年6月に改正個人情報保護法が公布され、2022年4月に施行予定である。法律文書に書いてある内容に関する解釈や事業者に求められる対策がこれからガイドラインにて公開される予定となっているため、今後注視する必要がある」と語る。
そしてガイドラインについては、従来の「3省3ガイドライン」が2020年8月に「3省2ガイドライン」へ統合されたと説明。大きくは厚生労働省のガイドラインと、総務省・経済産業省ガイドラインに分かれており、厚生労働省ガイドラインは主に医療機関が対象、一方で総務省・経済産業省ガイドラインは医療情報システムを医療機関に提供しているいわゆるベンダーが対象となっているものだ。
この両ガイドラインについて対象事業者が留意すべき点については、セキュリティ対策について、医療機関とベンダーとで適切に役割分担をするということが、これまで以上に重要視されていること。その前提として、医療情報システムにどんなセキュリティリスクが存在するかについて共通の認識を持つ必要性が強調されて書かれており、「特に後者のガイドラインは、リスクベースでのセキュリティ管理を実施すべきだという考え方に立っている」と言及する。
ガイドラインの具体的な改定内容
ここからNRIセキュアが改定作業に関わった総務省・経済産業省ガイドラインについて、主な改定内容について紹介した。具体的には、リスクベースアプローチの採用、医療機関とのリスクコミュニケーションの重視、そして医療情報の取り扱いにおいて留意すべき点や制度上の要求事項の明確化という3点である。
ガイドラインの対象事業者は旧ガイドラインから変更はないが、IaaSなどのパブリッククラウドを活用して医療情報システムなどを提供する場合、提供ベンダーにてクラウド環境も含めてリスクアセスメントを実施することが求められているという。また、医療情報システムなどのサプライチェーンの一部として機能している場合も対象に含まれている点、そしてガイドライン内で求められているプライバシーマークやISMS認証の取得を行っただけでは、このガイドラインの安全管理水準を満たしていないという点に注意すべきだと指摘する。
リスクベースアプローチは、一律の要求事項を定めるのではなく、顕在化しうるリスクの内容に応じた対応方法の選択を実施する手法のことで、実施すべきセキュリティ対策となるWhatを一律に定めず、セキュリティ対策をどのように導くべきかというHowに関する項目を定めている。「リスクベースアプローチは、対策すべきリスクに対して最適な対策方法を柔軟に選択できるのがメリット。ただし、対策を導くためのリスクマネジメントプロセスを適切に実施する必要がある点に注意すべき」と説明する。
対象事業者に求められるリスクマネジメントプロセスとその要点
では、ガイドラインのなかで対象事業者に求められるリスクマネジメントプロセスをどう考えていくべきなのか。木村氏は「ベンダー側が考えるべきリスクマネジメントプロセスですが、発注者側の医療機関としては、リスクアセスメントやリスク対応などがもれなく実施されているかどうかしっかり
確認していただきたい」と指摘する。具体的なリスクマネジメントプロセスは、「リスクアセスメント」「リスク対応」、そして記録作成および報告を行う「リスクコミュニケーション」の3つに分類できるという。
リスクアセスメントについては、最初に実施すべきはリスクの特定で、システムにおけるライフサイクルごとの情報の流れ、つまり情報流を特定することだという。そのためには、自分たちが提供する医療情報システムの全体構成図を作成する必要がある。これには、機器や記録媒体の種類や場所の特定をはじめ、接続形態や人やシステムが情報をどのように処理しているのか、といった内容が含まれる必要がある。
「ポイントとしては、対象となるシステムの「開発「」運用「」契約終了」すべてのフェーズにおける情報の処理を洗い出すこと、そして複数の事業者が関与する場合はサプライチェーン全体の構成を明らかにすること」だと力説する。
そして全体構成図を作成した段階で、今度は構成図のなかで“誰が、どこで、どの機器・媒体で、何を、どうするのか”という情報流を特定していき、それぞれ情報流と脅威・リスクの紐づけを実施していく。「情報流については、アプリケーションだけでなく、プラットフォームやインフラに関する部分も含めて洗い出すことがポイントの1つ。またガイドライン上に例示された脅威はあくまで一例であり、対象システムの特徴を踏まえて脅威を考慮していくことが重要」と説明する。そして、特定したリスクに対して、影響度や顕在化率に基づいてリスクレベルを算出、それぞれのリスク基準に応じて対応要否を検討する流れだ。
そして2つ目のリスク対応については、その対応方法を「リスク低減」「リスク回避」「リスク移転」「リスク保有」から選定していくが、「ガイドラインでは、原則としてリスク低減を選択することが推奨されているが、リスクの回避や移転、保有を選択する場合は、事故発生時の医療機関の信用問題などについて懸念が残るため、丁寧に説明しながら合意形成が必要」だと指摘する。基本のリスク低減を選択した場合は、技術的な対策だけでなく、「人的・組織的」「物理的」の観点も含めて複数の対策を検討し、可能な限りリスクを低減していくことが必要だと説く。さらに、対象事業者である自社の役割と医療機関も含めて役割を明確にすることも忘れてはならないポイントだ。
最後のリスクコミュニケーションは、リスクアセスメントやリスク対応を検討した結果となるリスク対応一覧を含めて情報提供文書をとりまとめたうえで合意を図っていきながら、合意が得られた段階で運用管理規程を作成することになる。「合意形成は契約前に実施してその後は不要だと思われがちだが、契約中や契約終了(当該サービスの利用終了)の段階まで見すえたライフサイクル全体で合意形成が重要になってくる点はしっかり認識いただきたい」と指摘する。
まとめとして、まず取り組むべきは、ガイドライン記載のリスクマネジメントプロセスに則って、自社が提供する医療情報システムなどに存在する脅威・リスクを明確化、可視化することだと改めて説明。その際に、リスクレベルの設定の仕方や具体的な対策の策定について、旧来のガイドラインと比べて裁量が大きくなっているため、質の低いセキュリティ対策では本末転倒になってしまう恐れもあると指摘。
「質の高いセキュリティ対策を選定しつつ、効率的な対策一覧が導き出せるかが重要。そして、医療機関などとのリスクコミュニケーションでは、契約前だけでなくサービス提供のライフサイクル全体にわたる“線”の活動が大切になるため、医療機関に対して理解してもらいやすい形での文書や成果物を整理してくことを意識いただきたい」と最後に締めくくった。
03:医療業界における安心安全なデータの守り方とは?
最後に登壇したのは、「医療業界における安心安全なデータの守り方とは?」と題して、マクニカネットワークスThales製品担当の前田弥紗世が登壇し、医療業界での事例を踏まえながら、安心安全なデータ保護の方法やThalesソリューションについて詳しく語った。
医療業界における安心安全なデータの守り方とは?
まず医療分野におけるビジネスの変化について触れながら、個人情報をはじめ、病歴やワクチン接種の情報などを含めて今後はデータの連携や共有が加速されると予測。また、マイナンバーカードや保険証の連携などもあり、今後は氏名や住所、決済情報、医療情報、調剤情報などが自治体や病院間、研究機関のなかでデータ連携、共有が加速していくと説明する。その意味でも、機密データの取り扱いには十分注意する必要があり、改正個人情報保護法や3省2ガイドラインなども参考にしながら、個人情報に関するデータ保護は自社での責任において厳格に管理していくことが必要だと説明する。
そんななか、個人情報などの機密データを安全に守っていくには、どのようなポイントに留意する必要があるのだろうか。一般的な機密データを守る場合、ファイアウォールなどを用いた侵入対策やログ監視などによる拡大対策、そしてWAFをはじめとした漏えい対策といった多層防御を行い、データにたどり着く前のそれぞれの壁で承認されないアクセスをブロックしていくのが一般的だ。このなかで、外部対策だけでなく、内部対策としても活用されるデータの暗号化に特化して話を進めていくと説明する。
暗号化は、データを安全に守るための技術として広く普及しており、データを送る側が暗号化し、受け取る側が復号することで、万一途中で盗聴したとしても簡単に解読できないような仕組みであることは知られているところだろう。ただし、暗号化を実施しただけで大丈夫かというと、決してそうは言いきれず、「暗号化したデータが流出しても絶対に解読できないことが最も重要になってくる」と前田は指摘する。
暗号化したデータを守るためには、大きく3つのポイントがあると説明する。それがDESやAESといった「暗号アルゴリズムの強度」、何で暗号化しているのかという「暗号化モジュールの強度」、そして暗号鍵がしっかり保管されているかどうかという「強固な暗号鍵管理」だ。特に忘れられがちな暗号鍵管理については、暗号データと暗号鍵を分けて保管することが大切だと力説する。もちろん、暗号鍵の管理については、保管だけでなく、生成から保管、配布、利用、そして廃棄までのライフサイクルをしっかり管理する必要があるという。つまり、安全なデータ保護の方法は、データの暗号化とともに、必要な人だけが復号できるアクセス制御、そしてデータ保護のポリシーや鍵の一括管理など統合的な鍵管理が必要になってくる。「これらデータ暗号化やアクセス制御、そして鍵管理を実現するものが、HSMと呼ばれるハードウェア内部に鍵を保管するソリューションになってくる」という。
Thalesソリューション概要
ここで、データ保護として有効なHSMの代表的なソリューションの1つであるThalesソリューションをベースにしたデータ保護の仕組みについて紹介した。具体的にはThales社が提供するCipherTrustManagerと呼ばれる製品を使ったソリューションで、顧客が保護したいデータの所在に応じてレイヤーごとにデータを保護できる。ここで、よく話題となる3つの想定課題に対して、どのように対策できるのかについて解説した。
まずCase1では、ストレージのデータ暗号化機能を使っている場合だ。多くの企業で利用されてるストレージには暗号化機能が備わっており、その機能を使っていると回答するケースが多いが、暗号鍵自身は管理されていないことが多い。また、複数のストレージを利用している場合、暗号鍵をそれぞれ管理しなければならず、管理コストも負担が大きい。
そこで役立つのが、HSMとものKMIP(KeyManagementInterop-erabilityProtocol)と呼ばれるソリューションを組み合わせたものだ。ストレージの暗号化機能で使用している暗号鍵をHSMであるCipher-TrustManagerにてセキュアに管理することができ、KMIPに対応している他社ストレージ製品の暗号鍵も一括管理が可能になる。「CipherTrustManagerによって鍵保管、鍵のライフサイクル・ポリシー管理を一括で行うことで、課題となっている管理コストの削減に大きく貢献する」と説明する。
Case2では、クラウドサービス事業者にデータを預けている場合だ。業界に限らずクラウドサービスの利用が進んでおり、テレワーク環境でも場所を意識せずに利用できる点がクラウド利用をさらに加速されている現状があることはご存じの通りだろう。ただし、クラウドサービスを利用する場合でも、預けているデータの保護は利用者側の責任となるため、どんなデータをクラウド側に保管しているのか、そのデータが安全に保護されているかどうかをきちんと把握する必要があると説く。ここでも、多くの企業が機密データの暗号化を実施しているものの、暗号鍵の管理にまで意識が及んでいないケースが多い。HSMを利用することで、自分たちで暗号鍵を管理するBYOK(BringYourOwnKey)ソリューションが役立つものになる。CipherTrustManagerとCipherTrustCloudKeyManager(CCKM)を組み合わせることで、各クラウドサービスが提供しているBYOKサービスを活用しながら、HSMにて生成した独自の暗号鍵を用いてクラウドサービスにその独自の鍵を安全な形で転送、定期的な鍵の更新なども含めてライフサイクル管理が一括で可能になるわけだ。「AWSやAzureなどマルチクラウド環境であっても、1台のHSMを使うことで鍵管理が一括で実現できるため、管理コスト軽減につながってくる」。
そのため、自分たちで鍵管理することでベンダロックインを回避し、各クラウドベンダが提供する鍵管理サービスを利用する際に発生するコストを減らしたいというグローバル企業で多く採用されているという。なお、CCKMにはダッシュボードやレポート機能が備わっており、暗号鍵の使用状況が管理できる点も製品の強みの1つだと説明する。
Case3では、データベースに暗号化されてない生の機密データが保存されている場合だ。通常はファイアウォールやフィルタリングなどの侵入対策は実施しているものの、内部不正対策にまでは及んでおらず、暗号化によるデータ保護が実施されていないケースも少なくない。
その場合に有効になるのが、透過暗号と鍵管理のソリューションだ。Thales社が提供する透過暗号エージェントを活用し、データベースやファイルサーバ内の機密データに対して透過的に暗号化することが可能になり、暗号鍵の保護はHSMであるCipherTrustManagerが実施することになる。この透過暗号エージェントでは、ユーザー単位で暗号/復号処理を制御することができるため、社内のメンバーであっても権限がなければ元のデータを閲覧することができない仕組みを構築することが可能だ。
「悪意のあるデータベース管理者やシステム管理者がデータを搾取しようとしても、暗号化されたままの情報しか出てこないため、内部不正対策に役立つことになる」と前田は説明する。
医療業界での事例とマクニカネットワークスの取り組み
ここで、医療業界における事例について紹介した。1つ目は米国DeltaDental社の事例で、米国の個人情報保護が規定されているHIPPA準拠に向けて、データベースやファイルサーバに保存されている顧客情報の安全な保護を目指しており、既存システムに大きく手を加えずに運用に手間をかけない仕組みの導入だった。そこで選択したのが、Thales社の透過暗号ソリューションだった。導入期間は9か月ながら、手間なく導入でき、ユーザーに影響なく導入できたことが喜ばれた事例だ。
次に紹介したのが、米国で数百店舗を展開するドラッグストアの事例。膨大な個人情報をファイルサーバに保持していたが、店舗ごとに個別の対策を実施していたことが大きな課題となっていた。セキュリティ対策を統一するにあたって、最小限のコストで顧客情報の保護を検討したという。
この事例では、透過暗号およびストレージの鍵管理であるKMIPのソリューションで、センターにて鍵管理を一元管理できるようにあったことで、大幅なコスト削減につながっただけでなく、今後の拡張時にもエージェントの導入だけで拡張していくことができたことが大きな効果だったという。
最後に、マクニカネットワークスでは、顧客ごとに抱えている課題のヒアリングや最適なソリューションの提案を行っている。POCにおける導入、技術支援や販売後の保守サポートも手掛けている。
医療業界においても、センシティブな情報となる個人情報がますます重要度が高まっていくなか、取り扱い次第ではビジネスに大きな影響を与えることになる。適切なデータ保護対策を行うことにより、対策された環境でデータの利活用や共有を行うことでビジネスの発展につなげていくことができると説いた。自社が管理する機密情報のデータ保護対策について課題がある方は、ぜひご相談いただきたいと最後に締めくくった。